面对史上最严数据保护法案，「重灾区」在何处？中国科技企业又该如何应对？

CEO 李志飞向极客公园表示，公司已经从数据加密、脱敏及分类分级管理上开展了相应措施。在产品设计上需要进行特定优化，以保证用户可以去实现 GDPR 要求的用户权利比如删除、更正用户信息、撤回同意等。谈到 DGPR 落地后对于公司在欧洲市场的影响，优必选 CEO 周剑对极客公园表示，「在合作伙伴的筛选过程中将更加严格，要求合作伙伴在涉及到相关条例时也必须合规。」合作伙伴的调整必将在一定程度上影响原有的市场推进效率，周剑认为，这是实施全球化战略必须要经历的。「GDPR 对公司在欧洲市场的运营一定会有影响，」李志飞介绍道，比如原来的 opt-out 需要变成 opt-in 模式；对用户权利的保护上更加全面了，比如说需要提供通道给用户删除其信息以实现 GDPR 的被遗忘权。根据业内不具名的人士分析，在涉及到物联网、互联网这种本身存在数据生意的领域，使用一些通用协议的厂商需要等待更新。而使用私有协议，或者说自主技术的公司则不会有太多影响。即便有确实需要调整的，调整自己的协议也很快的。对于准备积极投身全球市场的互联网企业而言，国内过于野蛮生长的市场环境和「中国式」的快节奏发展实际上掩盖了很多问题和漏洞。「像是以前国内软件厂商推行的全民开机时间 PK，在欧洲是不可想象的，因为那完全涉及到个人隐私。国内很多博噱头的运营方式在欧盟新规下就未必合适了。」可以说，GDPR 对数据隐私的部分保护条款甚至有违背我们的「常理」，而这又是出海企业不得不面对的问题，否则只能放弃欧盟市场，所以才更值得企业的领导层面以及产品业务的设计者重视和学习。「重灾区」更新后的 GDPR 法案长达 91 个条文，共 204 页，我们很难在此一一赘述。参考专业人士分析，前中国移动业务支撑系统部经理、通信行业老兵宁宇在其个人主页上的分析，GDPR 影响最为重要的约束包括两个方面：其一，根据 GDPR 的要求，处理个人数据必须要有合法理由和方式，而对于"合法"的定义非常严苛。除了拓宽「个人数据」的范围、并将高度保护个人隐私的「数据可携权」和「被遗忘权」明确写入法条之外，GDPR 还强调了数据保护要由「属地」向「属人」转变。这意味着，条例的适用范围不再局限于欧盟境内，任何企业只要向欧盟市场提供商品服务，收集或处理个人数据，都受到管辖。无疑，这对从事数据收集和处理的企业及其产业链，都提出了极高的要求。其二，GDPR 中明确定义了数据主体的权利，在为个人有效行使权利提供法律保障的同时，也对企业处理和使用数据提出了苛刻的要求。这意味着，那些拿客户数据打标签做画像的创业，将被要求公开其基本算法逻辑和运算结果！除此之外，目前热门的大数据分析公司，因个资保护范围更广，想运用 AI 工具做资料分析的运作空间，也将大大缩水。为此，来自剑桥和伦敦大学学院的创业团队 MediaGamm 则给出一条不错的思路模型。这是一家在线用户行为预测公司，基于特定的算法对广告技术公司的竞价算法进行优化，帮助广告主深度挖掘媒体数据，进而优化广告投放方案。MediaGamm CEO Rael Cline 在接受采访时表示，「我们必须做出改变以确保能遵守 GDPR，其中包括限制我们持有授权数据的时间，以及确保在客户要求删除特定记录时能够应答。」Rael Cline 还也提到了应用 Look-a-like 相似人群扩展的方式来提升用户精度，与此同时，降低对于用户基数的要求。这和当下提倡的小规模数据模型很相似。例如，在线广告行业中，随着同意（企业新隐私条款）的用户数量的减少，可以应用人工智能来对这些已同意的用户的行为进行建模，然后根据共享属性找到相似的用户。在云服务层面，云计算倡导多层次连接和互用组合的理念与 GDPR 的「有迹可循」要求存在着不可调和的矛盾。GDPR 对数据的控制者和数据的处理者都提出了同样的要求，共同承担起数据安全保护的责任，但这同时涉及到云服务的提供商和云计算的客户两个环节的权益。在云服务的基础设施服务、平台、应用三个层级间，数据的流通和空间的共享等复杂多线程问题究竟该取得哪些人的同意还很难说清楚。一名英特尔的顾问就忧心地指出，欧盟的 GDPR 主要用来限制个人资料使用，却没有建立一套规则协助重度使用资料的公司运作。就当下而言，最为重要的是还是为用户争取到最基本的删除权、知情权等。阿里云表示，其产品规划中遵从默认隐私设计（Privacy by Design）规范，已提供帐号删除功能，全球客户可以自助操作完成。所有新发表的云产品上线之前，也都通过安全与隐私设计的双重评估。微软透露，已经为 GDPR 项目投入 1600 多名工程师，他们将为全球客户提供正在为欧洲建设的符合 GDPR 的工具，微软的客户可以查看、删除和移动他们的个人数据。数据「严法」的下一站：不止于欧盟GDPR（《通用数据条例》）的原型最早可以追溯到 1995 年欧盟颁布的《欧盟数据保护指令》。正是由于当下的网络环境与 1995 年的法案建立时已经截然不同，所以在《欧洲一般隐私指令》颁布的 20 年后，《一般数据保护条例》予以制定。欧盟通过单行法（GDPR）来覆盖各行各业的个人信息处理行为，在日益增长的数据驱动时代下，相较于保护个人数据更为重要的是彰显保护基本人权的理念。事实上，欧盟之后再立数据严法的潜在地区已经可以想象。「这部法案不仅对于北美，对于亚洲、海湾阿拉伯地区的数据保护都有参考意义。」业内人士向极客公园分析道。在扎克伯克现身美国国会接受数据泄露丑闻事件质询时，民主党领袖 Frank Pallone 就曾建议，「我们需要全面的隐私和数据安全立法」，作为在社交网络上出现外国干扰时，「保护我们的民主」的步骤，国会议员们也反复提及 GDPR。有分析人士认为，欧盟过去订出的环保标准最终成为全球标准，如今迈入物联网时代，大数据分析传输已经无可避免，面对这项号称史上最严格的资料保护令，企业要有心理准备，GDPR 非常有可能成为资料保护的全球通用标准。出门问问李志飞及其法务则提到，在通用性数据保护方案的普及问题上，还需要注意到国家层面的数据战略方向。他们表示，欧洲与美国对于数据/隐私保护与科技发展的思维是不一样的，以人工智能为例，全球都处于发展人工智能的浪潮中，欧洲采取人工智能法律和伦理规则先行，已经试图用正确的价值观来约束技术开发与应用。而美国仅在人工智能有法律提案时，更多涉及如何促进技