一部被称为“史上最严”的团体数据维护法律，最近掀起了全球互联网产业的大讨论。

5月25日，由欧盟委员会制定的《通用数据维护条例》(General Data Protection Regulation，以下简称GDPR)正式落地施行。这部被称为“欧盟数据宪章”的法律要求，网站运营者记载客户的搜索和购物记载前，必需事前声明并取得用户赞同;不能再运用模糊、难以了解的言语或冗长的隐私政策从用户处获取数据运用答应;明文规则用户团体可以要求责任方删除关于本人的数据记载。

瑞栢律师事务所翻译作品

更重要的是，GDPR的管辖范围十分大，惩罚力度也很大。依据欧盟委员会官网的说法，只需数据的搜集方、提供方和处置方有任何一方是欧盟公民或法人，就将遭到该法案管辖。此外，GDPR对守法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或许其全球营业额的4%，以高者为准。

虽然早在2016年，欧洲议会就经过了GDPR，并给出了两年的过渡期。但真正落地之后，仍有许多企业不顺应，并且引发了团体数据的维护能否过度的疑惑和讨论——若完全依照GDPR执行，少量与团体数据有关的网络效劳难以展开，大数据产业的开展也将遭遇难以打破的法律瓶颈。

要GDPR维护下的团体数据平安，还是要大数据支持下的网络便当效劳?这个欧洲曾经作出选择的成绩，将给我们带来哪些启示?

　　 GDPR落地 涉欧企业忙应对

网络时代，团体数据信息的泄露是许多用户十分头疼又难以发现的成绩。如何维护团体数据信息，成了网络效劳提供者和监管者共同面对的应战。

《中国网民权益维护调查报告(2017)》显示，我国57%的网民以为团体信息泄露严重，76%的网民亲身感遭到团体信息泄露带来的诸多不良影响。而在2018年，全球最受关注的社交媒体公司Facebook被曝有超越5000万名用户的材料被合法用来发送政治广告，这一大型数据泄露事情让Facebook的市值在一天内蒸发60亿美元。

而GDPR显然对这些成绩有所防备。GDPR将自然人的“团体数据”列为维护目的，只需该信息能被用于辨认团体身份即为团体数据，例如姓名、地址、电子邮件地址、电话号码、银行账户、汽车牌照、IP地址，以及cookies(某些网站为了区分用户身份、停止跟踪而贮存在用户本地终端上的数据)等。此外，安康、宗教信仰、政治观念、性取向等更是被GDPR列为高度敏感、重点维护的团体数据。

此外，GDPR还明白网站运营者记载客户的搜索和购物记载前，必需事前声明并取得用户赞同;不能再运用模糊、难以了解的言语或冗长的隐私政策从用户处获取数据运用答应;规则用户团体可以要求责任方删除关于本人的数据记载。

GDPR采用了“市场地准绳”，在第三条规则，本例适用于在欧盟外部设立的数据控制者或处置者对团体数据的处置，不管其实践数据处置行为能否在欧盟内停止。只需其为欧盟境内的数据主体提供商品或效劳(不管此项商品或效劳能否要求数据主体领取)，或对发作在欧洲范围内的数据主体的活动停止监控，GDPR都可对其停止管辖。

国际知名征询公司埃森哲的一份报告以为，GDPR是“近20年来数据隐私规则范畴发作的最重要变化”。由于在数据维护成绩上，GDPR要求数据供给链的各方(包括数据的搜集者、存储者、运用者、处置者)责任共担，各方都需直接承当合规风险和义务。

在GDPR落地后，谷歌和Facebook两家互联网巨头被起诉强迫用户赞同隐私条款，违背了GDPR的相关规则。受其影响，少量互联网平台纷繁更新与用户间的效劳协议或隐私条款，许多中国企业的互联网业务也纷繁作出回应。

中国青年报·中青在线记者留意到，包括华为、腾讯、高德地图、国航、海尔等企业的网络平台在内，最近都更新了各自的用户隐私条款。阿里巴巴旗下全球速卖通、微信海内版、新浪微博国际版等与欧洲市场关联严密的互联网平台，也纷繁向欧洲区用户恳求重新受权。腾讯方面还曾表示，更新到5.0及以上版本的QQ国际版可持续运用，旧版本则在5月20日中止运用。

　　 数据维护与产业创新之间的矛盾

不过，GDPR的落地所带来的不全是喝彩与掌声，还有关于数据维护与产业创新之间矛盾的争议。

例如，GDPR规则了数据的“被遗忘权”和“可携带权”，即用户可以要求公司肃清其团体数据，并制止第三方获取这些数据;用户也可以带着他们的数据转移去不同的效劳提供商。但在产业界看来，这是当下比拟难做到的。

浙江垦丁律师事务所结合开创人麻策表示，“被遗忘权”有些相似于我国网络平安法确定的删除权，但实质上却不甚相反;数据可携带权更是十分大胆打破了数据应用的商业界线。但实践上，“被遗忘权”和“数据可携带权”的运用不能够是有限制的，在详细适用时，依然要参考公共利益、数据迁移本钱等。

此外，GDPR还要求网络效劳提供者要“呼应数据主体的拜访恳求”，欧盟居民有权要求查阅公司搜集的团体信息;用为数亿中文用户免费提供海量、全面、及时的百科信息，并通过全新的维基平台不断改善用户对信息的创作、获取和共享方式。户可以要求删除、纠正团体信息，甚至可以要求以文件的方式拿到数据。

北京师范大学法学院教授刘德良以为，GDPR所规则的上述用户权益根本因循了欧盟在1995年发布的《欧盟数据维护指令》，进一步强化了用户对团体数据的控制权益。但在团体数据曾经存在于网络上众多节点的明天，一味地强调用户对团体数据的相对控制曾经不理想。

“所谓的控制权在以前是可以完成的，但在挪动互联网的明天，团体数据控制权的行使在技术上不可行，经济上本钱宏大。”刘德良以为，欧盟的互联网产业开展速度较慢，跟他们对网络数据的严厉管理有一定关系，而我国要开展大数据及互联网产业，不能自觉照抄欧盟的立法，否则会障碍产业创新的力气。

作为专业互联网法律律师，麻策详细剖析了GDPR对网络产业的影响。例如，GDPR对数据画像停止了规制，其第二十二条规则数据主体有权益回绝自动化决策(包括数据支持下的用户画像)，以及机器学习的后果。这样一来，对在线存款受权、自动信誉评价等业务而言将发生不利影响。

他进一步剖析，若按GDPR的要求，假如在线存款机构经过大数据自动辨认某个用户的授信额度是10万元，或辨认其风险较高不经过存款请求，则该存款机构就必需提供阐明或解释，否则用户可以不承受该机器认定的后果，这对数据画像或深度学习等技术的商业化而言将带来制度应战，对展开相应业务的科技公司而言也有一定损伤。

刘德良临时研讨欧美的网络及数据法律，他以为应该慎重看待欧洲的经历。“法律是协助而不是限制产业开展，希望GDPR对我们而言，是一面镜子而不是一把尺子。”

　　 该如何对待“他山之石”

麻策以为，我国应该吸收国际上关于数据维护的共异性规则，例如对数据主体权益、团体信息定义、数据画像等成绩的规则，而不宜照搬了事。在他看来，强调数据或团体信息的“一切权”没有理想意义，由于这类数据一旦被披露，实际上不存在全盘发出的能够，更该当讲求如何让数据由用户控制、受权，以及数据流经过程中的平安性。“数据被称为21世纪的‘石油’，若一味强调(对其的)一切权，实不利于这个行业的开展。”麻策表示，GDPR还规则了数据处置者或控制者处置数据时，用户“赞同”只是合法性条件之一，此外还有合同订立之必要、执行公共利益等5个方面的条件，这些条件值得我们参考。

目前，我国法律仅明白“用户赞同”是网络运营者对团体信息搜集和运用的独一前提(团体信息平安标准罗列了其他合法运用的来源)，这与我国许多网络使用权限过高、过度搜集用户隐私信息的理想存在一定差距。

九次方大数据开创人、贵阳大数据买卖所执行总裁王叁寿以为，目前我国对团体数据的运用、买卖相关规则还不完善，团体数据一切权的界定不明白，数据黑市买卖仍然存在，招致很多用户对数据的开放存在顾忌，也招致数据滥用对于互联网金融P2P企业来说，支付市场完善的标准和管理系统将彻底改变互联网金融行业的格局，不仅给从业者提供了的巨大的发展机遇，也带来了全新的挑战。时有发作。

在刘德良看来，关于数据维护与产业创新之间的矛盾，应该从成绩动身寻觅国际经历。“你终究担忧的是什么?是团体信息被滥用，是一大堆渣滓短信、骚扰电话。”在他看来，针对这类成绩，提出过高的品德和法律要求，会给产业开展带来较大本钱，因而应该厘清团体数据与团体信息、团体隐私的边界，以及团体数据的一切权、运用权、收益权的分配关系，否则团体数据很难活动和应用，大数据产业也无法疾速开展。

作为大数据产业一线的创业者，王叁寿以为，团体数据经脱敏、脱密后，其一切权属于团体，运用权由数据拥有者受权运用，收益权由团体或其受权的主体拥有。例如，假如把病人的姓名、身份证等信息脱敏脱密后，将不计其数的病例数据提供应医疗研讨机构，可以增加误诊、误判的状况。

“边界不清楚、权属不明晰，就会给数据产业开展埋下妨碍。”刘德良以为，这也是数据维护与产业开展之间必需要答复的成绩。

责任编辑：黄玉叶