面对史上最严数据保护法案，「重灾区」在何处？中国科技企业又该如何应对？

原标题：面对史上最严数据保护法案，「重灾区」在何处？中国科技企业又该如何应对？数据的价值在于流动，但欧盟正为其加上诸多限定和枷锁，「如何平衡数据利益与数据法律的天平」已成为全球性企业的核心议题。上周，布鲁塞尔的欧洲议会室里弥漫在草木皆兵的紧张氛围，扎克伯格开始接受新一轮的盘问——这次是欧盟机构。三天后，欧盟个人资产保护新法 GDPR (General Data Protection Regulation) 正式上路，扎克伯克的「微笑战术」将不再管用。这部欧盟「史上最严」数据保护法案在 5 月 25 日正式生效，因其适用范围最广、定责条例最严、处罚金额最昂贵的「三最」引起各方的高度关注。「GDPR 为未来十年的全球数据保护定下了基础，它几乎对科技公司用个人数据来赚钱的所有环节进行了规定和限制。」《连线》杂志对其评价。GDPR 对个人资产的定义进行了非常广泛地覆盖，「除个人电话号码、地址、健康资料、电子信箱等之外，像是指纹、人脸识别、视网膜扫描、线上辨识码以及线上定位资料，如 Cookie、IP 位置、行动装置 ID 等，全都纳入个资范畴。」安侯法律事务所执行顾问翁士杰分析道。就影响范围而言，GDPR 不仅适用在欧盟设立子公司或分公司的企业，也适用所有有处理欧盟居民个资的欧盟境外企业。这意味着，企业规模无论大小，横跨服务、科技、制造、金融产业，都无可避免会受到影响。作为全球第三大经济体，希望打开全球市场的企业想要绕开欧盟几乎不可能。只要企业有电脑系统、伺服器及员工使用手机，都可能触及 GDPR 规范，其中无法预测的不确定性终究成为风险。靴子落地：闪转腾挪还是直面应对？从 2016 年至今，欧盟已经预留了足足两年的时间给相关企业进行过渡和调整。但如今，当真金白银的罚款数额公布后，很多公司还是一片手忙脚乱。调查显示，大部分企业可能还没有做好准备。为避免违规风险，一些企业只能选择在欧洲暂停访问更为安全，至少目前是这样。根据数据分析公司 SAS 的调研，全球仅有不到一半的企业（49%）表示他们能按期达到 GDPR 的合规要求。不少小公司由于缺乏资源和指导，仍然处于观望状态。直接营销协会（DMA）研究也发现，只有 15％的营销人员相信他们的业务符合 GDPR。果不其然，法案生效的第一天，Facebook 和谷歌便遭到了起诉。奥地利运动人士Max Schrems以违法运作为由，分别对谷歌（Google）的安卓系统、脸书（Facebook）及其旗下的 Instagram（IG）和 WhatsApp 的子公司提起诉讼，一共是四起。在诉状中，施伦斯表示，这种只能「接受或拉倒」的方式，违反 GDPR 让民众可自由选择是否允许企业使用他们的个资。诉讼要求法国、比利时、德国和奥地利的监管机构对这几家公司进行罚款。根据 GDPR 的规定，违反该法律的公司将面临最高 2000 万欧元或全球年度营业额 4% 的罚款（两者取其高）。按此规则计算，若欧洲的监管机构定性成违法，谷歌的母公司 Alphabet 最高将面临 37 亿欧元罚款，Facebook 及其两家子公司 WhatsApp 和 Instagram 分别最高面临 13 亿欧元罚款，其金额逼近反垄断法的处罚力度。此前，业界估计欧盟一年内收到的罚金可能达到 60 亿美金（51 亿欧元）。现在看来，这个数字很可能被低估了。隐私维权人士愤愤不平提起诉讼，数据保护监管机构也正准备挥起执法大棒。欧盟最高隐私监管负责人本周警告称，可能会很快有企业遭到处罚。新上任的的欧洲信息保护委员会 (European Data Protection Board) 负责人 Andrea Jelinek 表示：可以肯定的是，这跟本不用等到几个月之后。人心惶惶的不只有国际巨头，中国厂商的动作和回应也变得积极起来。今年 4 月份，QQ 国际版就已经在欧洲暂停运作。公告显示，欧洲地区将在升级到下一个版本之后才能恢复使用，但并未就具体上线时间做出说明。「早在 2014 年，小米就成立了隐私委员会，和官方认证机构展开隐私保护相关业务。到 2016 年，MIUI 操作系统和小米网的国内版和国际版都得到了 TRUSTe 隐私认证。」小米首席架构师、人工智能与云平台副总裁崔宝秋博士在接受第一财经采访时表示。尽管如此，小米旗下生态链企业的小米智能灯（YeeLight）还是因为无法及时符合 GDPR 法规而被迫关闭服务。当智慧灯炮一秒退化成普通灯泡，有人怀疑是因为该电灯会记录使用者的开关灯纪录。Yeelight CEO 姜兆宁则在回复中否认了此行为，并表示关闭数据服务是基于 GDPR 对于非欧盟地区公司的 API 测试规定所致，只是暂时下线。这让问题开始线聚焦在物联网企业在数据搜集的合规性上，其中可能涉及到智能家居、智能机器人、无人机、智能穿戴等一众中国创业公司。「大疆在欧洲市场的一切运行正常。我们和数据打交道，但我们并不会涉及到数据隐私或者「个人数据」」大疆公关总监谢阗地向极客公园表示，「数据处理都在本地进行。」而事实上，去年大疆曾受到美国陆军（US Army）关于「网络安全漏洞」的指控，还一度要求各部门停用大疆无人机。随后，由美国国家海洋和大气管理局 (NOAA) 出具的数据安全报告，确认大疆无人机在飞行途中没有收集任何数据，才得以让指控平息。在这个案例中，大疆主要通过第三方的数据机构来调查证明企业的数据安全问题。目前，为配合低空飞行监管，所属美国和中国地区的无人机用户已经强制实行实名认证。面向欧洲市场，大疆方面表示，实名制的执行将根据每个国家甚至国家里不同省份地区的要求确定，大疆主要以配合为主。对于用户的飞行轨迹等数据，大疆方面回应，除非是用户主动提交做飞行分析，否则不会触碰该类数据。凭借多年的海外市场实战经验，大疆在面向比国内更为严苛的市场环境时显得更加自如。在极客公园与优必选、出门问问等相对更为年轻的创业公司就如何应对 GDPR 进行交流时，他们的应对策略和态度更为积极和主动——主要采取多管齐下的方式，包括从设计流程，业务运营以及关键硬件等三个方面入手。首先，为了应对 GDPR 更为严苛的新规，公司在运营层面都迅速成立了专题项目组，包括由专门高管担任 DPO（数据保护官员），同时加强相关人员的教育，提高数据保护意识。在 GDPR 的细则中已经提到，相关公司必须设立 DPO 岗位。如果组织是公共机构，正在进行需要定期或系统监控的加工业务，或者有大规模的加工活动时，这点更加重要。在产品设计流程层面，出门问问