在2018年5月28日下午，你是否接收到一则来自Steam的关于Steam 隐私政策更新的邮件。

也许你没有在意这封邮件，甚至直接把它直接丢到一遍。但是其实，这次隐私策略的更改涉及到了欧盟《通用数据保护条例》（The EU General Data Protection Regulation，GDPR）。它被称为迄今为止“史上最严”、覆盖面最广的数据保护条例。

严格的GDPR对互联网公司的影响

GDPR有多严格？

首先我们先了解一下GDPR针对的群体。凡是设立在欧盟的企业，都必须遵守GDPR。即使没有在欧盟境内设立营利机构，如果你的企业只是向欧盟居民销

售产品或者服务而收集信息，或者收集网页浏览的数据来分析用户习惯，也都受限于GDPR。显然，苹果、微软、Facebook将受GDPR制约。

天价罚款

能最直观感觉到GDPR的严格之处应该就是它所制定的天价罚款了。对于违法企业，罚金最高可达2000万欧元（约合1.5亿元人民币）或者其全球营业额的4%，以高者为准。简单地举个例子，微软2017年收入为900亿美元，乘上系数4%就是36亿美元；亚马逊2017年收入为1779亿美元，4%既是70亿美元；如果苹果公司违反GDPR，就将面临高达80亿美元的罚单。

苛刻的用户知情权

其次，便是必须用户同意条款，即企业必须事先向客户说明会自动记录客户的搜索和购物记录，并获得用户的同意，否则按“未告知记录用户行为”作违法处理。通常企业在使用数据前也是这么做的，但是告知不够明确。现在条例要求企业必须明确告诉用户，收集了他的什么数据，还用这些数据做了什么。然而，现有的隐私协议，99%都不合法，这些协议都需要更改。于是乎，也就有了无数份通知用户“隐私政策更新”的邮件。

而各企业新修改的隐私政策，也受到了及其苛刻的要求。即企业不能再使用模糊、难以理解的语言，或冗长的隐私政策来从用户处获取数据使用许可。换句话说，就是要求在协议里，说人话。谷歌的新的隐私协议界面，也因此显得简洁大方，并配有动画。

欧盟人民的被遗忘权

GDPR规定了用户拥有“被遗忘权”（right to be forgotten），即用户个人可以要求责任方删除关于自己的数据记录。

在互联网之中，删除一个用户的全部数据的难度远远大于记录数据。企业可以试想一下，如果某用户要求删除你企业留存的个人信息，还要你去删除全世界通过其他交流/转移/交换出去的个人信息，需要多少成本。

以百度作为例子，我们分析一下。百度因为是搜索引擎，所有能在百度上搜索到的网页，即使是第三方网页，如果和某一用户相关，那用户同样可以要求百度删除。

为了能够满足欧盟公民所具有的“被遗忘权”，要求凡是参与数据转移过程的企业，都必须保留消费者数据的完整细节。一旦用户决定实施“被遗忘权”，就要在其数据出现过的所有地方删除这些数据，包括硬盘、本地服务器、备份数据库、云服务器等。

删除数据是为了不落入黑客之手，但现在的“被遗忘权”反而适得其反。因为企业必须长期保留所有数据纪律，以确保在获得许可的3年后，消费者仍可以撤销许可，数据处理商可以证明这些记录都已经删除。但是数据保留时间越长，被黑客获取的概率也越高。

GDPR很好地保护了用户个人隐私，但是对于一些企业来说，将限制其发展。对大公司而言，或将丧失技术活力。而对于缺乏资金的小企业可能意味着退出欧洲市场。

对于小企业来说，确保他们遵守新规定地代价似乎过高。许多科技公司选择阻止欧盟居民使用其服务。因为他们都担心在习惯和遵守GDPR地过程中，可能面临潜在的巨额罚款和巨大运行成本，认为在欧盟市场会得不偿失。例如，影视评论应用Stardust，该公司已经将其产品从欧盟版本的Google Play和苹果应用商店下架，并删除了所有欧盟居民的记录。

面对GDPR中国该如何做

中国企业该怎么做？

对于中国企业来说，首先需要注意的便是GDPR的适用范围。在欧盟境内设有营利机构的企业，无论在哪里处理数据，都需要遵守GDPR。除此之外凡是数据涉及欧盟居民的，也都要遵守GDPR。

因此对于那些想深耕欧洲市场的中国企业来说，应对GDPR予以高度重视。对于自己企业在数据方面的需求和做法要尽快调查，并梳理企业的合规体系，以免成为GDPR实施以后的第一批牺牲品。国内涉及互联网数据服务的公司，如小米、腾讯和阿里等企业已经纷纷行动起来。

早在4月13号，腾讯QQ就向国际版用户发布通知，宣布5月20日起停止为欧洲用户提供服务。随后的5.0及以上版本的国际版根据GDPR要求做出修改后，恢复了使用。

GDPR能给中国带来何启示？

国内虽然在2018年5月1日正式实施了《信息安全技术个人信息安全规范》，该规范对给人信息的收集、保存、使用、转让等环节进行了规定。但国内企业对于隐私的注重，更多的是靠着企业自律。用户信息滥用甚至是盗用的情况屡见不鲜。

那么GDPR能给中国带来什么启示？GDPR给中国提供了一个鲜活的国际经验范本，其中部分规定，对于我们国家也是适用的。如今，社交媒体大量采集个人隐私信息的行为已然危害到了公民的生命财产安全，我们应当重视个人信息数据的保护。

将GDPR与我国互联网发展现状进行有机结合，不难发现我们真正应该重视的是个人信息的滥用。因为收集和公开信息本身并不会造成损害，损害往往来源于后续的滥用行为，所以立法应对滥用个人信息或数据的行为进行有效限制。

Lighthouse