欧盟推史上“最严数据法”，隐私成了所有互联网巨头的命门

“

欧盟的隐私保护法正在面临自1995设立以来最大的改革。今年5月25日，一项被称为“史上最严”的数据保护法案从布鲁塞尔发出，在欧盟开始全面执行。

”

这项名为《通用数据保护条例》（简称GDPR）的法案，因其详苛的规定、广阔的适用范围、高昂的罚款，早在其正式生效之前便已引得各方高度关注。该法案的生效似乎也在提示，一场数字时代的旋风即将来临。

GDPR重构互联网治理秩序

为互联网秩序提供基本合规框架

GDPR的宗旨在于协调整个欧盟的数据隐私立法，让人们更好地掌控自己的个人数据，其将彻底改变各类组织处理和使用他们收集的个人数据的方式。

GDPR主要从个人对其信息的控制权、信息控制者、处理者的义务和责任的界定、信息跨境和刑事活动领域的特殊信息保护规则等方面，对科技公司使用身份数据的边界、应当承担的责任和义务，提供了基本的合规框架。

GDPR的权利体现在：除了拓宽“个人数据”的范围、并将高度保护个人隐私的“数据可携权”和“被遗忘权”明确写入法条之外，GDPR还强调了数据保护要由“属地”向“属人”转变。

这意味着，条例的适用范围不再局限于欧盟境内，任何企业只要向欧盟市场提供商品服务，收集或处理个人数据，都受到管辖。无疑，这对从事数据收集和处理的企业及其产业链，都提出了极高的要求。

GDPR规定，不管是数据管理者（data controller）还是数据处理者（data processor），都必须以合法、公平、透明的方式收集和处理信息，必须用通俗的语言向用户解释收集数据的方式，并有义务采取措施删除或纠正有误的个人数据。

GDPR也规定了企业间数据交流的方式：允许欧盟企业在集团内部进行数据交流，但若要向欧盟以外传输数据，则需要满足一定条件，例如，该地需属于欧盟委员会认定“具有适当数据保护水平”的地区。而一旦出现不合规的现象，数据供应链自上而下的各方都会被问责。

在欧洲，数据隐私向来都是一项重要议题。关于数据保护的讨论早在上世纪中期便已开始，立法实践则可追溯到1970年的德国，当时的黑森州颁布了世界上第一部专门针对个人数据保护的法律。

到1995年，欧盟发布了《欧盟数据保护指令》（简称“95指令”）这是第一部面向全欧盟的数据保护法律，一直沿用至今。2018年5月25日之后，“95指令”将被GDPR取代。

进入2000年以后，科技的高速发展不断带来数字侵权的新案例，“棱镜门”等也引发了政府监控的新担忧。

当今的社会是“平台社会”，用户和数据不断向Google、Facebook这类的大平台聚集，除了给平台带来巨大的商业利益，也赋予了它们越来越不受约束的权力。

在这一轮数字化的洗牌之后，权力结构完成重组，是时候进入对“平台社会”的管控阶段了。为了追赶这一趋势，欧洲议会在2012年1月提出要改革欧盟数据保护法规，于2016年4月通过了GDPR，并给予了两年的过渡期，至2018年5月。

如何协调技术发展与GDPR

成未来法案关键点

如何协调技术发展与GDPR法案，将是未来该法案的一个关键点，比如区块链就与GDPR有所冲突。

虽然GDPR有意要避免技术局限性，但它仍是建立在个人数据会被存储在传统中心化实体的假设之上，可以由人轻松地在GDPR框架下统一管理。但在区块链的语境下，全球性的分布式网络如何能够实现与GDPR标准的对接，还需要更多探索。

其中一种可行的方案是，探索个人数据的链下存储方式。这种分裂式的数据结构允许区块链引用个人信息，但没有获得权限时不能访问存储在链下数据库中的个人信息。通过双重数据处理结构，使其中一笔交易的合约部分通过链上的智能合约来执行，而实际数据的传输则发生在链下。

GDPR框架的提出，也衍生出了一系列必须思考的议题。比如，如何确认链下数据库的合规管理？链下访问的个人数据如何能轻松地服务于链上交易？如何确保区块链数字身份的每个节点都符合GDPR的隐私标准？这些区块链数字身份项目在未来需要解决的艰巨任务。

除了区块链，通过限制数据流动和增加法律风险，GDPR或许还将给人工智能行业带来一股冷风。《金融时报》欧洲编辑约翰•桑希尔曾指出，如果说数据是算法需要的大量燃料，那么欧洲也许正在配给供应其最宝贵的大宗商品，几乎完全不受隐私忧虑桎梏的中国人工智能企业，在利用海量数据方面将具有原始竞争力。

数据共享的核心其实是信任，严格的法律保护能够建立足够的社会信心，使得数据可以在企业层面流动，才有空间产生新产品和新产业，这是一整个良性循环的生态系统。在欧洲，总体的信任程度比中国要强，数据共享也因此能够走在前面。

另外，GDPR的执行也是一项难点。欧盟在制定法条时没有把中小企业的合规成本考虑进去，这将让它们在竞争中处于更加弱势的位置。合规本身构成进入障碍，有强化老牌企业、遏制中小企业之嫌，这是GDPR被人批评的另一个方面。

同时，法案能在欧盟域外生效的特性也招致了域外执法是否可能的质疑。原则上，欧盟法对于域外的主体仍有约束力，可以开出罚单，但要如何执行仍然存疑。

GDPR迈出了数据向用户赋能的重要一步，尤其是它要求所有公司允许用户下载甚至删除数据、或者把数据迁移到其他平台。未来数字身份的发展方向将是在合规的法律框架下，确保必要的调控和新技术可以和谐共存。

【科技云报道原创】

转载请注明“科技云报道”并附本文链接