GDPR将实施,腾讯阿里百度等巨头若触规则将遭到重罚
蓝鲸TMT记者 赵晨希
距离GDPR正式施行已经不到半个月的时间。2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法》(General Data Protection Regulation,以下简称GDPR)。该法案将于今年5月25日正式生效。
GDPR意味着什么?对个人信息保护以及监管“覆盖面最广”,“前所未有”,“史上最严”的程度,可以窥见一些端倪。
相较于欧盟1995年的《数据保护指令》(95指令),2002年修订的95指令《隐私与电子通讯指令》,2009年修订的《欧洲Cookie指令》。GDPR的严苛体现在,不受物理空间限制,个人数据范围更加详尽,惩戒空前,主体拥有拒绝权,违规后企业响应速度快,向欧盟经济区(EEA)外的个人数据传输严格限制,企业数据处理活动安全可见等等。
GDPR第三条地域范围规定,“本法适用于设立在欧盟内的控制者或者处理者对个人数据的处理,无论其处理行为是否发生在欧盟内”,“本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内”。通俗的来讲就是,不论企业在不在欧盟,只要在欧盟进行“数据支付对价”,“数据监控”就受GDPR限制。
第二十条规定,“数据主体反对以直接营销为目的的处理,则个人数据不得再为此目的而被处理”,即用户可以直接拒绝企业以商业目的收集处理个人数据。
第八十四条规定,违规处罚罚款为2230万美元或者处罚前一个财年全球收入的4%,以较高者为准。
“新鲜事物”
4月初,美国社交巨头Facebook发生了大规模数据泄露事件。Facebook创始人兼CEO在美国国会作证时表示,“GDPR是一个新事物”,可见Facebook应对GDPR并不充足。
根据HubSpot发布的研究报告显示,在受访的363位商业领袖和营销人员中,只有36%听说过GDPR,1/3的受访者知道GDPR何时生效,不到一半的企业准备好迎接GDPR。22%的受访者没有任何应对措施,26%的受访者将减少定向广告。
不仅仅如此,根据2017Veritas的调查显示,那些自认为满足GDPR的企业真正合规的只有2%。
GDPR的杀伤力体现在不但会影响到以大数据分析为根本的互联网企业,同时影响大数据、物联网、智慧城市、云计算、人工智能等前沿技术的深入研究。
Facebook、谷歌、Twitter等互联网公司的本质是数据公司,收集用户网络数据,进行用户肖像绘制。根据用户肖像的特征喜好投放相应的广告,或者将收集到的用户数据倒卖给第三方数据公司用于群体分析。
Facebook上个月大规模数据泄露事件,就是未经用户允许擅自将收集的到大量用户个人数据提供给了剑桥分析数据公司。
近年人工智能(AI)异常火热,国内互联网公司百度提出all in AI。阿里巴巴在AI领域投资广泛,触角从底层芯片延伸到应用层。未来阿里巴巴可能将AI技术融入物流、电商、无人店,云服务等细分领域。此外,国内手机厂商华为、中兴、OPPO、Vivo等都将AI手机作为未来的一个重要发力点。
值得注意的是,人工智能其中最重要的研究领域就是数据智能,也就是说收集数据进而智能分析,得出结论。GDPR规定用户有权利拒绝互联网公司收集用户信息的请求,意味着互联网公司将收集不到用户信息。没有用户数据信息或者收集的用户信息不全面势必影响到人工智能的分析结果,这是GDPR的实施直接限制大数据、物联网、云计算、人工智能等研究最直观的结果。
重视远远不够
反观国内,当用户在安卓市场、苹果应用商店下载各类APP时,如果用户在安装完毕后,拒绝了所有同意获取用户各类信息的请求,用户将无法正常使用APP。
在今年中国高层发展论坛上,百度CEO李彦宏一句“中国人对隐私问题没那么敏感,很多情况下愿意用隐私交换便捷性”引起轩然大波。从侧面也可以看出国内互联网公司对个人隐私数据保护这块重视远远不够,没有上升到企业决策战略层。
国内近几年个人信息侵权事件屡见不鲜,2018年1月,支付宝诱导用户“同意”服务,用户在查看年度账单时支付宝默认选项勾选《芝麻服务协议》,这些条款中恶劣之处在于,支付宝可以将用户的全部信息进行分析并推送给合作机构,不支持用户撤销第三方的信息查询授权。
由于勾选协议的位置隐蔽处于边角,字体非常小,很多用户在没有注意到的情况下就勾选了同意。导致很多用户将年度账单晒到朋友圈后都没有发现任何异常。支付宝绝不仅仅是个案,这是很多“流氓软件”互联网营销的惯用伎俩。
“互联网公司要更加重视对用户数据的保护,目前来看,它们的重视程度远远不够。一方面,要在公司业务流程方面加强监控,避免内部人导致的数据泄露,建立更加严格的数据管理规范;另一方面,加强数据保护技术的研发,尤其是对抗黑客数据窃取和攻击方面的技术。”中国软件网研究员欧应刚对蓝鲸TMT记者说。同时,“国内需要再经历几起比较严重的数据泄漏事件,才能加快数据保护的进程,只有痛过之后才能推动改变。”
未雨绸缪
2018年亚洲博鳌论坛上,我国再次倡导“一带一路”中的“走出去”。阿里巴巴一直致力于全球化战略布局,系统的进入国际市场。马云2015年提出:“未来海外市场要占到阿里收入的一半”。
根据阿里巴巴集团公布的2018年第四季度财报(阿里巴巴财年不用于自然年,每年4月1日开始3月31日结束)显示,在全年营收2502.66亿中,零售营收占据总营收的一半以上。强劲增长的背后一方面是核心电商,另一方面是具有增长潜力项目的投资。其中,阿里云收入同比增长101%,继续保持了往年的高增长率,担当阿里巴巴国际化的重任。
根据智研咨询发布的《2017-2022年中国云计算市场行情动态与发展前景预测报告显示》2017年全球云计算市场中,英国、德国、法国等为代表的欧洲市场占据21%市场份额,仅次于北美地区的56.5%位于第二。对于阿里巴巴、腾讯、华为等有云计算业务的企业来说,欧洲市场无疑是相当重要的。不可避免的将会与亚马逊、谷歌、微软展开云端战争。
今年年初,《纽约时报》曾报道谷歌商店超250款安卓手游通过麦克风“监听”用户收看的电视节目,苹果应用商店也有类似情况发生。根据腾讯发布的2017年财报显示,社交网络、网络游戏占总营收60%,网络广告占比19%。而此前,媒体披露腾讯一直低调在欧美市场拓展微信支付、游戏等项目。无论是游戏隐私方面还是社交APP方面腾讯今后可能需要投入更多精力来规避个人隐私风险。
特别是,欧洲市场是全球绝大部分奢侈品的“发源地”,每年有大量中国游客涌入欧洲进行奢侈品购买。国内用户在习惯了支付宝、微信支付以后,面对欧洲市场“手持大量现金”,“信用卡交易”存在不适。这也是阿里巴巴、腾讯致力于在欧洲大力度推广电子支付的缘由。
根据2018年5月5日发布的《2017-2018中国企业“走出去”调研报告》显示,中国企业在金融、保险、证券、生物技术、医疗健康以及TMT行业海外投资有所上升。2017年企业走出去,六成以上受访企业在涉外合同中遇到适用法律问题和争议解决问题,其中适用法律问题尤其突出。北京大学软件与微电子学院信息安全系教授也对蓝鲸TMT记者直言,“国内企业将会与欧盟数据交流时遇到大量麻烦”。
在今年美国旧金山举行的RSA大会上,360公司技术总裁、首席安全官谭晓生表示,人们隐私保护意识日渐提高,近期Facebook事件的爆出就是最好的例子。再加上GDPR的颁布,影响十分深远。
互联网评论员刘兴亮对蓝鲸TMT记者表示“所有的互联网企业去欧盟运营都必须遵守GDPR条例,中国的企业在用户数据保护方面做的不够好。同时,很多国际企业也做的不到位。”
4月13日,腾讯QQ向国际版用户通知,宣布5月20日起停止为欧洲用户提供服务。尽管腾讯当天晚间及时否认了该消息,也不得不让人猜想是否与GDPR的施行有关。
“毫无疑问,任何一家跨国公司去任何一个地区运作,一定要符合当地的法律法规。这项法律法规是否严苛到影响主业需要打一个问号,这个过程需要达到一个妥协。如果实在不行,只能退出这个市场。”刘兴亮对蓝鲸TMT记者说。
针对今后我国互联网企业国际化问题,刘兴亮说,“GDPR是欧盟的一个区域性条款,我国的企业需要持续改进。过去法律过于宽泛,会滋生很多灰色地带。未来我国注重用户隐私一定会取得进步,但是进步速度可能不会那么快,未来的趋势一定是朝着保护个人隐私数据的方向前进。”
无论是阿里巴巴、腾讯还是其它互联网公司,如果不重视GDPR,其拓展欧盟业务。涉及到大数据、云计算、淘宝商城、微信QQ聊天、微信支付、前沿AI研究等项目一旦违规必将受到严厉惩罚,面临巨额罚金,相关业务更可能直接停摆。