从小米Yeelight在欧洲上线受阻说起

近日来，诸多互联网企业都不约而同地搞起了“大动作”：包括腾讯在内的各大互联网企业纷纷更新用户协议、隐私政策；美国《洛杉矶时报》《New York Daily News》等媒体机构突然停止对欧盟地区提供服务；Steam开始对16岁以下欧洲玩家做出额外限制，甚至添加了“一键删除账号”功能；我国以收集用户习惯数据为特色功能的小米智能硬件生态链旗下智能灯Yeelight也于5月23日晚宣布停止为欧洲用户提供服务。

这些“大动作”的产生都与个人数据保护领域一项“大事件”有关--《通用数据管理条例》（General Data Protection Regulation 简称GDPR）的全面生效。GDPR一经生效便在世界范围内掀起了轩然大波，在目前的情势下，有的企业积极调整、严阵以待，也有企业畏惧合规风险，撤出市场，更有为数不少的企业身处险境而不自知。可以预见的是，GDPR所带来的个人数据规制浪潮将为全球互联网企业的发展带来极大的机遇与挑战。

“史上最严数据保护条例” “用户数据宪章”

2018年5月正式生效的《通用数据保护条例》（GDPR）是欧盟委员会酝酿多年的一部数据保护法令，旨在通过规范数据处理行为，保护个人用户的数据隐私。该法规因其监管内容之细，适用范围之广，惩罚力度之强而一经出台即被媒体称为“史上最严数据保护条例”。对此最直观的表现便是：在GDPR生效的第一天，Facebook和谷歌便被控强迫用户同意共享数据而面临数十亿欧元的罚款危机。而在其生效短短数十日内，已经有几十家公司被投诉而开始被监管机构调查。

GDPR针对新时代下大数据、云计算等商业新生态对个人数据的冲击与威胁，建立起强大而统一的数据保护框架。从具体内容上看，GDPR中主要有以下重要规定：

①六个基本原则：在设计个人数据利用的问题上，数据控制者与处理者必须遵循合法、合理、透明原则，目的限制原则，最小化适用原则，准确使用原则，限期留存原则，安全使用原则。

②六大合法性基础：我国立法当中主要以用户的同意作为认定数据处理合法的标准，而GDPR在此基础上完善了对“主体同意”的确认方法，并在此之外补充了“为履行法定义务”“为实现公共利益”“为实现用户的合同目的”“为用户的核心利益”“为追求企业或第三方所追求的正大利益”五个认定标准。

③较为完备的主体权利：用户对其自身数据信息享有知情权、变更权、被遗忘权等重要权利，同时与权利相匹配的，GDPR还提供了充分的权利救济方式。

④严格的跨境传输：GDPR对用户的数据信息跨境传输施加了严格的限制，其中具有代表性的是充分性认定国家清单制度的应用（我国不在其中）。

图片转自公众号“数字通信世界”

首先，GDPR虽然是欧盟法令，但基于其确认的长臂管辖（Long arm Jurisdiction）机制，此法令的辐射范围可以扩张到全球。GDPR所规范的企业主要包括以下两种：

1.设立于欧盟内部的企业，无论其数据处理行为是否发生在欧盟

2.对欧盟内自然人提供商品或服务的企业，无论所提供的商品或服务是否收费

基于此，不仅我国企业在欧洲境内设立或收购的子公司将直接受到GDPR的规制，那些在欧洲开展国际业务而获取了相关用户数据的企业同样需要遵守法令的规定。任何意图在欧洲开拓市场的企业都须警惕GDPR所带来的合规风险。GDPR并不是舶来的宣传指引，而将是与企业生存利益直接相关的强制性法律规范。

除去GDPR广泛的国际性影响之外，对于我国企业而言，迅速熟悉GDPR，完善合规工作，还有特别重大和紧急的意义。主要有以下两个原因：

（1）从宏观形势上看，我国企业很有可能成为GDPR规制的重灾区

①随着“一带一路”战略的施行与开放政策的不断深化，国内企业“走出去”的情形越来越常见，而人口众多、经济发达的欧洲地区则是企业发展国际业务的“兵家必争之地”。我国诸多企业已经在欧洲积累了庞大的用户群。例如国内极为火热的手游“王者荣耀”的海外版在上线欧洲、北美地区之后，本地注册用户已经超过两亿，每日活跃用户高达8000万。如此规模的用户基础除了可观的海外收入外，也为数据合规风险埋下了伏笔。

②从GDPR的监管逻辑上看，今后对中国企业的监管力度可能会加强。对于Facebook、谷歌这样实力强劲、经验丰富的互联网企业，监管机关在进行调查时的阻力大、耗时长，也较难得到理想的效果。与之相比，我国国内企业由于意识、经验等方面的缺乏，无疑是较容易突破的“软柿子”。特别是在我国企业在世界市场上占有率逐渐抬升的情况下，监管机构对中国国内企业的重视将会将来监管压力的加重。

③与前述趋势相矛盾的，目前我国企业对于用户数据保护的自觉意识仍十分缺乏，整体合规程度低。百度CEO李彦宏在2018中国发展高层论坛上所做的关于中国网民“愿用隐私换便捷”的公开言论正反应了这一点，而南都信息中心对企业隐私政策的测评更显示样本中50%的APP存在越限获取用户信息的情形，整体上不合规企业所占比例甚至高达80%。这样的情势下，若GDPR监管机构对国内有关主体进行严格检查，结果可能将是十分惨烈的。

（2）从微观角度上看，GDPR对企业自身发展具有重大指导意义

①通过推动合规工作，规避巨额惩罚

GDPR对于违反其规定的数据控制者和处理者采取的主要救济措施是罚款。根据GDPR的惩罚规则，违规企业将面临最高2000W欧元或本年全球营收4%的罚款（以二者间更高的为准）。以亚马逊为例，按照2017年的全球营收计算，若其违反GDPR规定，则其将面临高达71亿美元的罚款。这种程度的处罚，对于任何企业都将是沉重的打击，因此尽快实现GDPR框架下最低限度的合规对国内企业而言是非常必要的。

②指导企业更好地适应国内立法趋势

随着国内外法律体系的完善，其受到国内、国际双重规制的情形将十分普遍。可以看到，对用户数据信息的保护是世界范围内立法发展的趋势，我国近年来出台的《网络安全法》《关于处理侵犯个人信息 解释》《信息安全技术个人信息安全规范》也反映了我国立法对个人数据保护的重视程度在逐渐提升。

从内容上看，对GDPR的合规管理和对国内规制的调整是相辅相成的，对GDPR规则的了解也将有助于我国企业适应国内立法的要求，从而更好克服“双重压力”

③促进企业竞争力的提升，推动企业战略发展

在互联网经济下，用户对自身数据信息保护意识不断增强，用户在挑选产品、选择服务时将不仅会考虑传统的产品质量等问题，也会逐渐关注其对自身数据信息的处理情况等新因素。而企业对GDPR的合规情况必然成为用户考量其产品数据保护情况的重要客观依据。在对此问题有所懈怠的企业也将在日趋激烈的市场竞争中处于劣势。

另一方面，对数据保护的国家共识和保护力度整在提升，对于个人数据信息保护情况很可能成为特定市场准入条件与行业门槛的一部分。若企业连门槛都够不上，就更谈不上收益与扩张了。

GDPR的出台作为个人数据保护的一个里程碑，对世界范围内用户的数据信息保护具有重要的意义。而作为以盈利为主要目的的企业而言，GDPR更像是一把筛子，以合规状况为标准对企业进行筛选，在激烈的竞争下，筛选的结果往往是“留者生，去者亡”。综上，对GDPR的合规情况将直接影响企业的生存发展，相关企业必须保持警觉重视的态度。

在认识到GDPR的重要性后，如何准确理解GDPR中各项制度的内容，又有那些合理可行的合规途径呢?

作者将嗣后撰文予以介绍。

注：感谢实习生黄宇哲为这篇文章做的支持工作。