欧洲GDPR的正式实施，已经搅动了隐私保护的风云。图片来源：百度图片

《通用隐私保护条例》被称为史上最严格的隐私保护法。虽然正式实施刚刚两周，却已经在互联网公司中产生了强大的威慑力。

■本报记者 王佳雯

上海交通大学计算机系教授朱浩瑾邮箱里，最近出现了电气和电子工程师协会（IEEE）、爱思唯尔出版社、美国计算机协会（ACM）的邮件，要求重新做隐私授权。

朱浩瑾遇到的重新授权问题，在欧盟用户中几乎已成为常态。据外媒报道，近期欧盟用户的邮箱中收到了大量互联网公司的服务协议，请求重新获得用户的授权，以符合欧洲《通用隐私保护条例》（GDPR）新规。

数据隐私保护从来不是某一家互联网公司的问题，学界、产业界以及相关管理机构都在积极寻求更便捷有效的措施，堵住数据安全的漏洞，保护用户的隐私。特别是Facebook数据泄露事件爆发后，越来越多的互联网使用者开始关注自己的隐私，却苦于寻找不到手段与方法。

如今，欧洲GDPR的正式实施，已经搅动了隐私保护的风云。这只太平洋上的蝴蝶轻轻挥动着翅膀，正在互联网公司中形成风暴潮，并逐步以欧洲为中心向全球蔓延。

“最严隐私保护条例”带来互联网寒冬？

除了请求用户重新授权之外，更有甚者，有许多为欧盟用户提供服务的外国互联网公司来不及做出修正甚或不知该如何修正，不得不选择暂时在欧盟地区下架服务，这其中包括《洛杉矶时报》《芝加哥论坛报》等知名美国新闻媒体在欧洲的网站。另有外国媒体报道称，GDPR实施后，Facebook等公司已被列在下一批被告名单中。

GDPR被誉为史上最严格的隐私保护法。虽然正式实施刚刚两周，却已经在互联网公司中产生了强大的威慑力。

谈到如何保护用户数据安全，浙江大学网络空间安全研究中心主任任奎在接受《中国科学报》采访时指出，要通过足够的惩罚来限制公司通过违规使用用户信息获取价值，这需要建立相关法律法规，一旦某个公司违反用户隐私协议的情况被曝光，执法机构应该对该公司实施足够严重的惩罚，从一定程度上减少公司泄露用户信息的动机。

如今，GDPR正是采用了这样的重罚举措，强力推动更有效的隐私保护措施。依据GDPR，违反隐私法的公司将面临全球年营收的4%或2000万欧元（约合人民币1.5亿元）的罚金。

不仅如此，依据欧盟委员会官网的解释，GDPR的管辖范围远不仅局限于欧洲的互联网企业。只要数据收集方、提供方、处理方有任何一方是欧盟公民或法人，都将受到该法案的管辖。

对于有相关业务的互联网公司而言，GDPR的冲击正逐步浮现。除了暂时关闭服务的上述新闻网站，韩国网游《仙境传说》在考量了合规成本后，决定直接撤出欧盟市场。而美国国家公共广播电台则把这个两难的选择抛给了用户，“要么签署新的用户协议，要么就只能收看到该媒体1996年及以前的纯文字内容”。一时间，许多互联网公司开始在GDPR拉响的警报声中瑟瑟发抖。

虽然科技公司风声鹤唳，但作为研究人员，朱浩瑾却十分支持GDPR，“大家会意识到这是大的趋势，增加对数据使用的透明度”。而他最看重的是，GDPR告诉你隐私的界线在哪儿，而这对于全球的隐私保护都具有指导意义。

传统运营模式如何与之对接？

去年，Veritas曾出具了2017年GDPR报告。这份对900名企业主进行访问调查的报告中指出，有21%的企业主担心高额罚款可能导致劳动力减少；18%担心高额罚款可能导致破产；而只有7%的企业主表示其企业目前完全符合GDPR要求。从中不难看出，企业主的担忧情绪在蔓延。

谈到为何有公司宁愿关闭在欧盟的服务，也不愿意使业务合乎GDPR规范时，麒麟合盛（APUS）相关负责人首先便提到了合规成本高的问题。

据该负责人介绍，“GDPR合规工作量多，对专业人员需求大。根据法律要求，从产品界面到后端数据库，再到工作流程制度，都需要进行合规风险点的排查和改造，不仅仅是更新用户协议和隐私协议这么简单。这些工作绝不是仅仅依靠企业法务或工程师就能消化，外部专家顾问在合规工作中也扮演着重要角色。”

这意味着，为了合规，互联网公司需要增加如律师、安全技术专家等外部顾问的费用，同时更要在产品开发、上线、运营等层面更多考虑个人隐私保护，这无疑也会增加其维护成本。依据Forrester咨询公司和Evidon对部分公司的调查，50%的公司花费了至少100万美元以满足GDPR的要求。

除了运营成本的提高，更令相关公司担忧的是，GDPR的实施可能意味着以往其便利获取用户信息，并通过算法获得精准用户画像，最终进行广告分发的模式，将遭受巨大挑战。

据魔客官方发布的信息称，Grapeshot相关负责人曾表示GDPR将彻底改变接触用户数据的方式——面对数据规模的萎缩，公司需要使用不同的定位方式丰富第一方数据，而不再通过cookie获取如年龄、性别等传统的数据。

中国企业难隔岸观火

相较于国外公司因GDPR而人心惶惶，担心稍有不慎便可能越雷池而引来高额罚款，国内企业表现得似乎相对冷静。

于是，有一种声音便出现，认为国外互联网公司在受到GDPR冲击而自顾不暇时，正好是中国相关公司可以迅速发展的关键时期，或许中国相关公司可以抓住这一契机，实现弯道超车。

但事实上，“出海”的中国互联网公司倘若进入欧盟市场，或者为欧盟用户提供服务，都将受到GDPR规则的监管。事实上，国内相关公司已经开始为应对GDPR或主动或被动地做出动作。

阿里云此前披露称相关业务已为GDPR准备就绪；5月底小米智能灯因欧盟新规停止服务，相关负责人称业务将“暂时下线”。从这些企业的动作可以看出，越来越多参与国际竞争的中国企业，不可能在严格的GDPR面前隔岸观火。

此外，任奎也指出，随着用户保护隐私的意识不断提高，那些需要获取个人信息的服务需要提供更准确、细粒度的权限需求。“类似功能的服务之间存在竞争，那些需要过多不必要权限的服务将逐渐失去用户市场。”

也就是说，GDPR虽然当下给相关公司带来了很大的困难与挑战，但却有可能因其严格的保护措施而给整个互联网公司使用用户数据的生态带来变化。如果中国公司不及时跟进、调整，虽然在当下可能获得一时的便利，从长远来看，却可能在用户日趋谨慎的隐私保护态度中失去竞争力。

魔客在发布的信息中也提到，有20%的人认为，GDPR可能成为新的数据导向商业模式的催化剂。也就是说，在业内人士看来，面对GDPR更积极的应对举措，应当是寻找新的商业模式，而非忽视与逃避。