史上最嚴數據保護條例GDPR生效，對你我而言意味著什麼？

來自專欄 FreeBuf

GDPR 的全稱是 General Data Protection Regulation，即《通用數據保護條例》。這項法案在 2012 年 1 月份就已經起草，經過 4 年的探討與協商，歐盟於 2016 年 4 月正式通過這一條例並宣布試行，到 2018 年 5 月 25 日（即今天）正式全面施行。由於 GDPR 規定，企業一旦違反這一條例，最高可面臨全球營業額 4% 的罰款，因此被冠以「史上最嚴數據保護條例」的稱號。此前，不論是 2017 年的幾起大型數據泄漏事件，還是近期鬧得沸沸揚揚的 FaceBook 與劍橋分析公司收集用戶數據事件，都在暗中慶幸自己沒撞上 GDPR 的正式實施。否則，他們面臨的情形將比現在更為嚴峻。

這樣一部法律條例正式施行之後，會在全球範圍內引起怎樣的風波呢？筆者在此從 GDPR 的內容、適用範圍以及幾大企業的反應，粗略解讀一二。

關於 GDPR

早在1995年10月24日，歐洲議會與歐盟理事會就頒布了《關於涉及個人數據處理的個人保護以及此類數據自由流動的第95/46/EC號指令》(簡稱「數據保護指令」)，用於協調與統一成員國數據保護法，促進個人數據在成員國之間自由流動，但是這一指令在各國落地實施過程中並不順利。此後，歐盟也相繼頒布了其他一些數據保護的規範，也都難以平衡迅速發展的科技和個人信息保護之間的矛盾。直到 2012 年 1 月 25 日，歐盟委員會公布了 GDPR 草案，在 2016 年 4 月 8 日和 4 月 16 日由歐盟理事會和歐洲議會通過，替代了數據保護指令。與以前的法案相比，GDPR 的內容更加豐富，還在序言部分添加了 100 多條輔助理解與適用的條款。在執行方面，每個歐盟成員國都應將 GDPR 與本國法律結合起來，設立專門的 GDPR 負責人負責落地。

作為「史上最嚴」的數據保護條例，GDPR 的內容有以下幾個特點：

一、適用範圍廣

在地域上，雖然 GDPR 是歐洲的立法，但其規定的適用範圍缺不僅限於歐洲。業務機構設在歐盟境內並從事個人數據處理的組織自然在 GDPR 管轄範圍之內，而非歐盟成員國企業在歐盟境內未設立業務機構，但卻處理歐盟境內的個人數據，為歐盟境內的數據主體提供貨物或服務，無論數據主體是否被要求付費，也都適用 GDPR。此外，如果非歐盟成員國企業對數據主體在歐盟境內的行為進行監控，也適用 GDPR。

這意味著，無論企業的業務機構是否設立在歐盟境內，或者其數據處理或控制行為是否發生在歐盟境內，只要其數據處理行為涉及到歐洲公民，都需要遵守 GDPR 的規定。因此，許多擁有國際業務的大企業都需要注意。

就主體範圍而言，GDPR 則直接適用於數據控制者和數據處理者（Data Processor，代表數據控制機構處理數據的實體）。對於這些主體，GDPR 規定了信息安全措施、未經許可不能轉委託、記錄保存、協助義務等一系列義務。而且，GDPR 明確規定信息處理者如違反數據保護的義務則可能受到行政處罰或承擔民事責任。

二、受保護者權利多

GDPR 所保護的個人數據範圍廣泛，包括個人姓名、政府身份證號碼、位置信息、IP地址、Cookie 等，既涵蓋真實世界的信息，又涵蓋網路世界的信息。GDPR 所保護的對象稱為數據主體。除了常規的權利之外，GDPR 新增的幾個重要數據主體權利如下：

信息泄露通知：一旦發生數據泄露事件，必須在知曉數據泄露事件發生後的 72 個小時內向主管監管機構報告。數據處理者還需要在第一時間通知用戶和數據控制者。

訪問權：數據主體有權從數據控制者那裡獲取信息，以確認數據控制者是否要對與他們相關的個人數據進行處理、處理地點、處理目的。此外，控制者應以電子格式免費提供一份個人數據的副本；

被遺忘權：數據主體有權要求數據控制者清除他/她的個人數據，停止進一步傳播數據，並儘可能使第三方停止處理數據；數據主體還可撤銷之前授權同意與數據處理相關的選擇；

可攜帶權：數據主體有權接收與自己相關的數據，並有權將這些數據發送給另一個數據控制者。

隱私保護設計：數據控制者應當以有效的方式實施適當的技術和組織措施，滿足本條例的要求，保護數據主體的權利。即在系統設計起步就納入數據保護，而不是系統開發完成後再增加保護。

此外，GDPR 對未成年人的數據保護也有特殊要求：企業和組織取得父母的同意，才能處理 16 歲以下兒童的個人資料。

三、對數據處理要求更嚴格

GDPR 規定，在數據處理過程中，必須以清楚、獨立、清晰的方式向數據主體表達其用戶條款，以獲得數據主體的同意；同意許可必須容易撤回（可以理解為：一鍵點擊同意，也能一鍵撤回同意許可）；同意許可必須基於主體自由意志做出，且同意處理的數據範圍不可超過必要限度。

此外，GDPR 還規定，員工數量在 250 人及以上的企業或機構必須記錄數據處理活動的過程、相關人員和數據接收者。員工數量在 250 人一下的企業，如果理數據方式可能給數據主體帶來高風險，威脅他們的權利和自由，也必須做出記錄。如數據處理行為的性質、範圍、內容和目的可能對自然人的權利和自由產生高風險時，數據控制者在進行數據處理之前應當進行影響評估（並做記錄）以此替代將數據處理活動（以及類似於國際數據傳輸等活動）通告數據保護主管機構的一般性責任。

如果控制者和處理者需要經常系統地監控數據主體，而且監控的規模較大、數據種類特殊或涉及到刑事定罪以及違法行為，則必須設立數據保護官（DPO）。非歐盟企業也要遵守這一規定，在歐盟當地設立 DPO。

四、處罰嚴厲

GDPR 的處罰涉及行政處罰和民事處罰。

行政處罰分為兩類，對數據控制者和數據處理者都適用。第一類針對違反隱私保護設計，以及默認隱私保護，沒有實施充分的IT安全保障措施、違反數據泄露通知要求等違法行為，處以最高 1000 萬歐元或者上一年度全球營業收入的 2%，二者取其高；第二類針對違反數據處理原則，數據處理沒有合法基礎、違反同意要求、侵害數據主體的合法權利等違法行為，處以最高 2000 萬歐元或者企業上一年度全球營業收入的 4%，二者取其高。

民事處罰也分為兩類。就對外的被侵權數據主體而言，為了確保其獲得有效賠償，數據控制者和數據處理者就信息主體的全部損失承擔連帶責任。而在內部的責任分配上，數據控制者就其違反GDPR規定的數據處理行為擔責；數據處理者只對其未遵守GDPR規定的特別是針對數據處理者的義務或者其超過數據控制者的合法指示的行為造成的損失擔責。

當然，這些處罰也會根據行為的性質、主管狀態以及違規事件發生後的應急響應情況等多重因素綜合考量，並對中小企業給予一定的豁免權。

大企業別無選擇，小企業無能為力

在 2016 年通過之後，相關企業已經開始著手進行整改。而就在 GDPR 今日正式施行前夕，也有不少巨頭公司紛紛推出了自己的整改措施。Facebook、Twitter、Instagram 和Airbnb 等已經開始通知其歐洲用戶關於用戶條款的更改。面對 GDPR，企業的反應主要分為三種。

第一種是針對歐盟用戶，推出相應的數據保護措施。例如，5 月中旬，FaceBook 向歐洲用戶說明數據使用要求並請求用戶授權面部識別許可，以便為用戶提供更多選擇。而關於此前的 FaceBook 和劍橋分析公司醜聞，歐盟司法專員 Vera Jourova 在接受採訪時表示，由於 GDPR 的條例沒有追溯效力，所以不會對 FaceBook 採取嚴厲處罰。否則，FaceBook 可能會被罰破產。但從今天起，它將處於歐盟的嚴厲監管之中。

第二種是將整改範圍擴大到全球用戶，如微軟和蘋果。由於這些公司業務線龐雜，用戶數量巨大，單獨將歐盟用戶區分出來並制定相關數據保護條例更加艱難。因此，他們只能面臨全球用戶推出保護策略。

本周，蘋果宣布上線全新的「數據&隱私」網站，用戶可以在這裡下載所有與 Apple ID 關聯的數據（包括購買記錄，應用使用歷史、日曆、提醒事項、照片、儲存在iCloud的文檔、Apple Music和Game Center數據以及AppleCare支持歷史。與此同時，用戶還可以徹底刪除Apple ID）。蘋果的這些規定符合 GDPR 關於數據主體訪問權、被遺忘權、可攜帶權的要求，而且目前適用對象是在歐盟、冰島、列支敦斯登、挪威和瑞士註冊的 Apple ID，其中含義不言而喻。蘋果表示，預計在 2018 年底前完成在其他國家的服務推廣。

微軟則表示，將按照 GDPR 的要求，面向全球用戶推出隱私保護服務。其新舉措包括：在賬戶面板中添加新的控制項、更新所有用戶隱私聲明、在 http://microsoft.com/gdpr 上發布門戶，列出與 GDPR 兼容的措施。

第三種對於歐盟用戶而言可能不是個好消息。一些不願意處理 GDPR 合規性的公司直接關閉了針對歐盟用戶的業務。包括 Verve（網路營銷）、Ragnarok Online（在線遊戲）、Super Monday Night Combat（在線遊戲）、Unroll（電子郵件訂閱服務）、Brent Ozar Unlimited（軟體供應商）、Tungle（遊戲軟體提供商）以及 Drawbridge設備身份服務）等在內的多家企業都位列其中。

國內企業怎麼做？

早在四月初，QQ 國際版就推送消息，稱從 5 月 20 日開始將停止對歐洲用戶的服務。雖然最後騰訊官方回應稱 QQ 國際版在歐盟地區不會下線，會繼續為該地區用戶提供服務。但也提到，只有更新到 5.0/6.0 版本的 QQ 國際版可繼續使用，舊版本則在 5 月 20 日停止使用。

在 APP store 搜索 QQ 國際版，能看到最新版本是 5.0.1，其中隱私政策的更新時間是 2018 年 5 月 23 日，詳細說明了所搜集的信息類型、存儲和使用方法、信息共享對象、數據處理地點（中國）、信息保留時長等內容。不難看出，新版本為符合 GDPR 的要求，做出了不少修改。

另一位國內社交通信巨頭微信也在一周前剛剛更新了國際版微信的隱私條款。更新後的條款詳細說明了信息的使用規則、存儲地點、適用法規等。國際微信的用戶信息會被存儲在加拿大安大略省或者香港。對歐盟、澳大利亞和美國的用戶有不同的適用法規，條款爭議或爭端會提交至香港國際仲裁中心仲裁解決。

值得注意的是，微信國際版的隱私政策中對信息的保留時間也有明示：未登錄賬號時間達到 180 天后，賬號信息會被刪除；聊天記錄會被存儲72小時，隨後永久刪除。

除了隱私政策以外，中國用戶與國際用戶的使用條款也有顯著的區別。微信國際版有一個與中國版不同的公眾號系統，管理地址在http://admin.wechat.com（中國版地址：http://mp.weixin.qq.com），國際公眾賬號的消息推送不能推送到中國用戶的手機上。

面臨 GDPR 的嚴格要求，不論是巨頭還是小公司，都不得不給出反饋。總體而言，企業可以從以下幾點做好準備：

1. 了解自己到底存儲了哪些數據以及數據存儲的地點；

2. 除了企業內部的安全，還要確保供應鏈（供應商、合作夥伴）的安全；

3. 結合企業自身規則，與 GDPR 融合；

4. 尋求專業的法律諮詢

GDPR 對普通公民有何影響？

GDPR 的實施對於歐盟公民而言，無疑是大好消息。他們的數據從此將處於妥善的保護之中，而且對自己的數據還有主動權，可以選擇被遺忘或者遷移等。

對於非歐盟用戶而言，也能享受到一些紅利。有很多大公司藉此次 GDPR 的契機，將數據保護政策擴展到全球用戶，因此，很多非歐盟用戶也能享受到一定程度的保護。但是，他們獲得的相關權利並沒有法律的保護。就算遇到違規情況，非歐盟用戶也無法申訴。

對於國內公民而言，情況則有些複雜。某互聯公司的歐洲執行官曾匿名表示：

中國的用戶如果看到自己的數據能換來某些利益，他們都不會介意分享自己的信息。哪怕是朋友圈那種砍價或者點贊抽獎的蠅頭小利都會讓他們趨之若鶩。

這番話不禁讓人為國內用戶感到悲哀。一方面，企業不尊重用戶隱私保護，很多人無可奈何；另一方面，用戶自己也沒有隱私保護意識。兩個方面互相作用，造成國內嚴峻的隱私保護現狀。

也許此次 GDPR 正式實施之後，能展現國內外關於數據保護在政策方面、意識方面以及實施層面的區別，進而引起一部分人的重視。這也不失為 GDPR 對全球安全環境的正面作用了。

成效如何，有待觀察

值得注意的是，此次 GDPR 的正式施行並非贏得滿堂喝彩。除了企業所面臨的緊張與壓力，還有很多安全專家表達了他們的擔憂。

有專家表示，很多小公司反應過度，向客戶發郵件提醒可以選擇退訂服務，並提醒用戶進行安全檢查或更新，如果客戶沒有及時回復，很可能被默認為選擇不保留數據，最終數據遭到公司的刪除。此舉可能會讓這些公司失去一些重要客戶。

還有專家認為，由於 GDPR 會帶來合規負擔，給企業造成更多成本，會導致某些企業處於競爭劣勢。2013年，英國信息委員會辦公室（ICO）委託倫敦經濟學院進行了一項相關調查研究。其中重要發現之一是，大多數企業無法可靠地量化它們在數據保護上的投入。而在 GDPR 實施後，運營成本可能會出現怎樣的增長，也同樣難以準確量化。

此外，加密貨幣信息安全公司 CipherTrace CEO、APWG 主席 Dave Jevans 則直接表示：

GDPR 會對互聯網整體的信息安全造成負面影響，也將在無意中幫助信息安全罪犯。由於限制了對關鍵信息的訪問，新法律將嚴重阻礙對信息安全犯罪、加密貨幣盜竊、釣魚、勒索軟體、惡意軟體、欺詐和加密劫持的調查。很可能犯罪分子都會湧入歐洲，因為正當途徑獲取數據變得更難，進而喪失對非法途徑的監督。

當然，這一評論也許稍顯過激，因為 GDPR 的條款中也明確指出：執法部門或當局在預防、調查、偵查或起訴刑事犯罪或執行刑事處罰（包括保護公共安全、防範威脅）時產生的數據處理行為不受到 GDPR 的管控。但是，以上行為應當受到歐盟更加細化的法案（《歐洲議會和理事會（歐盟）2016 年第 680 號指令第 7 條）的約束，在約束之下，也許難免有所掣肘。

普通公民自然樂於看到自己的數據受到保護。但 GDPR 是否會成為歐洲政府打壓競爭對手的棋子？嚴格的規定是否會導致企業投入寶貴的時間和資源來確保合規最終阻礙發展和創新？是否會導致人們太過於重視企業而忽視網路犯罪才是個人數據最大威脅這一事實？這些問題，都有待時間的考證。

參考來源

https://www.twobirds.com/~/media/pdfs/gdpr-pdfs/bird–bird–guide-to-the-general-data-protection-regulation.pdf?la=en

http://www.privacy-regulation.eu/en/recital-19-GDPR.htm

https://www.cnet.com/how-to/what-the-gdpr-means-for-facebook-the-eu-and-you/

https://www.securityweek.com/eu-data-protection-may-trigger-global-ripple-effect

https://www.bleepingcomputer.com/news/microsoft/microsoft-will-extend-gdpr-privacy-protections-to-all-users-not-just-europeans/

http://m.thepaper.cn/newsDetail_forward_2148970

原文鏈接

史上最嚴數據保護條例GDPR今日生效，對你我而言意味著什麼？ - FreeBuf互聯網安全新媒體平台 | 關注黑客與極客

*本文作者：AngelaY，轉載請註明來自 http://FreeBuf.COM