銀行數(shù)據(jù)里有錢，隱私數(shù)據(jù)里有命，20個你不知道的GDPR知識點？

編者按：本文來自微信公眾號“親愛的數(shù)據(jù)”（ID:deardata），作者：譚婧，36氪經(jīng)授權(quán)發(fā)布。

2015年 8月24日。一聲槍響，一位時年56歲的美國牧師倒在了血泊之中，太陽穴四周被灼傷。他每天勤懇工作，待人和善。應(yīng)該沒有人會知道這位牧師也是“偷情社交網(wǎng)站” Ashley Madison的老用戶。

這件不匹配神職人員身份的事，終究沒有藏住。

黑客攻入網(wǎng)站，曝光了370萬該網(wǎng)站賬戶信息。此事之后，他在互聯(lián)網(wǎng)上搜到了自己的偷情“史”。失業(yè)、非議、眼光……可能是壓垮了，他舉起了槍。

他叫約翰·吉布森，一個因為網(wǎng)絡(luò)隱私泄露而自殺的現(xiàn)代人。

吉布森的妻子失去丈夫，女兒失去父親……越來越多的網(wǎng)民們也在失去隱私。互聯(lián)網(wǎng)隱私問題就好比，全世界都在流血，從前也一直在流血，血像瀑布樣奔騰直瀉，像倒香檳一樣汩汩流淌。

在中國，個人行蹤軌跡已經(jīng)成為法定公民個人信息（《刑法》第253條）。但是，敢問又有幾個人在意隱私數(shù)據(jù)，不如現(xiàn)在打開iPhone手機，復(fù)查一下“定位”、“廣告追蹤功能”吧。

為了生動說明什么是“個人數(shù)據(jù)保護”，歐盟委員會“不賣悲，不賣慘，不催淚”。請了一位帥哥在公益廣告里，上演一名男子“一絲不掛”城市一日游。不惜“辣眼睛”來博取關(guān)注度。

這個視頻掛在歐盟委員官網(wǎng)，數(shù)據(jù)保護專題里。

很清楚，歐盟將“公共場合裸奔”與“個人數(shù)據(jù)保護不足”劃等號。

是時候出臺一項強制性法律，保護自然人的“個人數(shù)據(jù)”了——《一般數(shù)據(jù)保護條例》英文名General Data Protection Regulation（GDPR）。它是在“七大洲四大洋”巡邏的警察，一股沖向四海八荒的力量。

據(jù)Gartner說，全球智能手機銷量2020年將達到15.7億部，預(yù)計2023年全球智能手機連接數(shù)將達65.7億。僅這種貼身使用的電子設(shè)備，每天產(chǎn)生的“個人數(shù)據(jù)”的規(guī)模就在不停增長、軟硬件迭代快、科技發(fā)展變數(shù)大……

這一切都將提高“個人維權(quán)，企業(yè)守法”的難度系數(shù)。

想要保護得好，又不能穿太重的防彈衣。這時候就需要平衡這門“藝術(shù)”。立法者在隱私保護和科技創(chuàng)新之間取得一個平衡，以免妨礙科技發(fā)展。

你以為歐盟的法太嚴，那就放棄這個5億發(fā)達人口的市場，這事干脆就結(jié)束了?？峙孪脲e了?！兑话銛?shù)據(jù)保護條例》被譽為“歐盟數(shù)據(jù)憲章”，有很多知識點，也有很多“但書（proviso）”，即很多例外，也就是“對特別情形和例外情況進行了十分細致的規(guī)定”。

Van Quathem律師認為：“與其說《一般數(shù)據(jù)保護條例》是一場革命，不如說是一次進化”。通讀整個條例，非常痛苦，一些知識點可能會有用。

需要注意的是，以下假設(shè)性舉例，都需要加上一句前提——“大多數(shù)情況下”。

1. 美國互聯(lián)網(wǎng)企業(yè)求生欲最強，《一般數(shù)據(jù)保護條例》出臺前，收到修正意見的數(shù)量高得罕見，超過4400份，而其中大部分意見來自于美國。歐盟高管說：“我們歐盟委員會（的人），并不反對來自大西洋彼岸的科技巨頭。但是前提是，他們必須守規(guī)矩?！?/p>

2. 假如一個歐洲人在新浪微博注冊了賬號，當(dāng)想刪除賬號時，新浪微博應(yīng)該無條件刪除，不得保留其它備份。2020年春節(jié)前，碾壓故宮地面的女奔馳車主默默地擦了擦眼淚，她的微博內(nèi)容是她一條一條手動刪除的，但是賬號還在，印記擦不掉。

因為《一般數(shù)據(jù)保護條例》規(guī)定：“中國企業(yè)和向歐盟用戶提供服務(wù)”，也在其管轄范圍內(nèi)。

3. 數(shù)據(jù)存的時間過長也可能被罰。2019年6月，在柏林，對德國最大的私人房地產(chǎn)所有者德國Deutsche Wohnen SE罰款1450萬歐元，原因圍繞在一些租戶的敏感數(shù)據(jù)上，公司缺少刪除這些數(shù)據(jù)的時間周期。

《一般數(shù)據(jù)保護條例》規(guī)定：“身份數(shù)據(jù)的保存期限不得超過實現(xiàn)及處理目的所需要的時間?！睌?shù)據(jù)能存多久？這個問題需要企業(yè)合理解釋存儲的目的。解釋不了，企業(yè)就沒有權(quán)超期存這些個數(shù)據(jù)。

4. 云計算服務(wù)商被“盯上”了，以前是哪個公司的數(shù)據(jù)，哪個公司負責(zé)到底，對于云計算廠商這種“基礎(chǔ)設(shè)備提供者”，大部分情況下，提出了同等要求。

5. 眼鏡、手套、手表、手環(huán)、服飾及鞋襪等穿戴式智能設(shè)備或者健康監(jiān)測類產(chǎn)品的公司也被“盯上”，都屬于管理范圍內(nèi)。

6. 不僅只約束企業(yè)，還約束公共管理機構(gòu)。在很多國家，如果政府管理部門泄露數(shù)據(jù)，只是行政處罰，而政府部門管理的數(shù)據(jù)越來越多，潛在風(fēng)險也越來越高。

《一般數(shù)據(jù)保護條例》的臺詞：“不要惹我，我兇起來，兄弟部門都不放過”。

7. 光有結(jié)果不行，把過程也得記清楚。公司必須建立個人數(shù)據(jù)操作監(jiān)控記錄機制，以備檢查。因為《一般數(shù)據(jù)保護條例》規(guī)定：“企業(yè)和組織在對個人數(shù)據(jù)進行操作時，必須記錄所有的操作流程和步驟?！?/p>

8. 數(shù)據(jù)保護官的上任臺詞：“不要亂來，CEO我都不放過。” 因為數(shù)據(jù)保護官任期至少兩年，企業(yè)發(fā)生個人數(shù)據(jù)操作違規(guī)時，承擔(dān)相應(yīng)的法律責(zé)任。

9. 在數(shù)據(jù)的自動化處理中，《一般數(shù)據(jù)保護條例》的約束非常細致，細到對“數(shù)據(jù)畫像（profiling）”這一類別進行了專門的規(guī)定，引言部分有十余條條款涉及或者提及。

10. 假想臺詞：“夠不上罰錢的，拉出去辱罵五分鐘。”監(jiān)管機構(gòu)的矯正能力并不僅限于罰金，包括：警告，申誡，要求數(shù)據(jù)控制者、處理者改正、要求對個人數(shù)據(jù)予以更正或擦除等。

11. 美國互聯(lián)網(wǎng)巨頭谷歌，亞馬遜和臉書，在《一般數(shù)據(jù)保護條例》出臺前，空前團結(jié)，組成了龐大的游說團，曾經(jīng)在比利時的首都布魯塞爾歐洲議會總部所在地，展開了曠日持久的游說活動。

12. 假想臺詞：“屁股擦不干凈，還有可能會面臨無窮無盡的訴訟?！比绻麑€人數(shù)據(jù)進行了公開傳播，那么需要刪除時，不僅自己掌控的數(shù)據(jù)需要刪除，而且需要負責(zé)讓其他復(fù)制的人也刪除。以前，本來自己管好自己，現(xiàn)在，還得管副本，欲哭無淚。

13. 假設(shè)，一個房東想把從“貝殼找房APP”換成“自如租房APP”，就可以把關(guān)于房屋、家具的介紹直接導(dǎo)入另一個平臺。因為“數(shù)據(jù)可攜帶權(quán)”將使得個人可以在同類或相似服務(wù)的不同服務(wù)商之間輕松轉(zhuǎn)換。比如，要求銀行把自己支付數(shù)據(jù)轉(zhuǎn)移到另一家支付機構(gòu)，從而促進服務(wù)競爭。這使得用戶要想棄用更容易了。

假想，羅斯柴爾德家族（美國最古老的富豪家族）打電話：

“喂，你好啊，最近服務(wù)變差了，麻煩把我家族200年來，所有生意相關(guān)賬戶的交易信息，轉(zhuǎn)移到中國建設(shè)銀行。要快！”

14. 互聯(lián)網(wǎng)高利貸公司，就是P2P公司，一些追債的人會在個人用戶信息中收集了貸款人父母甚至朋友的信息。這類做法，明顯違反“數(shù)據(jù)最小化原則”。

因為，“企業(yè)所收集、處理的個人數(shù)據(jù)對其處理目的，應(yīng)該準(zhǔn)確、相關(guān)和必要?！?/p>

15. 手機通話記錄，除了你自己的手機號碼之外，還會有你和其他通過話的人的號碼。也就是說，個人數(shù)據(jù)可能同時關(guān)涉其他個人的數(shù)據(jù)。

例如：通訊錄信息、電話記錄信息、聊天信息、郵件往來信息、轉(zhuǎn)賬記錄信息等等。行使“數(shù)據(jù)可攜帶權(quán)”時，則往往可能對其他第三方個人的基本權(quán)利帶來侵害。因為這些其他人根本沒有機會得知自己的數(shù)據(jù)被他人提交給了別人。

假如，歐洲也有一款微信app，為了實現(xiàn) “數(shù)據(jù)可攜權(quán)”，同時，也得開發(fā)一個功能用于用戶數(shù)據(jù)的導(dǎo)出以及剔除涉及其他人數(shù)據(jù)，不允許“拔蘿卜帶出泥”。

16. 1995年，《一般數(shù)據(jù)保護條例》的親大哥《95指令》出生，親二哥《歐洲Cookie指令》2009年出生，歐洲在隱私保護方面已經(jīng)有很長時間的積累。你以為《一般數(shù)據(jù)保護條例》是一個人在戰(zhàn)斗嗎?，他們是一家子在戰(zhàn)斗。（Cookie是互聯(lián)網(wǎng)常用的用戶跟蹤和識別技術(shù)。）

2019年6月，西班牙數(shù)據(jù)保護機構(gòu)對低成本航空公司Vueling處以30000歐元罰款，因其違反有關(guān)cookie條款。

17. 事前知情不報也會被“清算”。因為《一般數(shù)據(jù)保護條例》規(guī)定，如果評估表明數(shù)據(jù)處理工作將會是高風(fēng)險的，就應(yīng)該向監(jiān)管機構(gòu)報備。

18. “發(fā)通知”不是讓公司方便，而是要群眾方便。如果公司想對數(shù)據(jù)進行處理，就必須要得到用戶的同意，是告知義務(wù)。Bisnode是歐洲最大的智能數(shù)據(jù)和分析供應(yīng)商，1989年成立，在19個國家運營。

公司以賺錢為目的，處理用戶數(shù)據(jù)的通知僅在公司網(wǎng)站上發(fā)布，2019年5月，在波蘭，它收到220000歐元罰單。

19. 有公司誤認為，有了《一般數(shù)據(jù)保護條例》就是數(shù)據(jù)完全不能出國？錯誤。是在數(shù)據(jù)跨境前加了很多條件，比如授權(quán)，解釋數(shù)據(jù)使用場景和目的等，換句話說，不是不讓出國，而是層層門檻。

假想臺詞：“數(shù)據(jù)要出國嘛？請等一下，我們要求把數(shù)據(jù)處理者，把采集數(shù)據(jù)的目的、場景等項說清楚。不多，也就幾百項……”

“哎，你怎么扭頭就走了？”

20. 運動員和興奮劑、新聞、藝術(shù)和文學(xué)都寫進了《一般數(shù)據(jù)保護條例》。其中，“消除運動員在運動中使用興奮劑”是管轄范圍里的例外。藝術(shù)和文學(xué)的目的性，也是例外。

現(xiàn)在數(shù)據(jù)管理環(huán)境仍處在混沌之中，但是，“人，這種卑劣的東西，什么都會習(xí)慣的?！薄兑话銛?shù)據(jù)保護條例》很難立馬360度無死角的保護“個人”，自我防范也很重要，需要保護兩種身份。既要保護現(xiàn)實世界里“肉身”的安全，也要對抗“數(shù)字孿生”世界的惡意。

對企業(yè)來說，《一般數(shù)據(jù)保護條例》并非寫寫文件材料的“法務(wù)”，也非單純公司內(nèi)部的流程，而是上上下下達成的共識，是思維模式。它也不是一條“標(biāo)準(zhǔn)線”，達標(biāo)就夠了。

畢竟，懲罰力度那么大。那些敢于踐踏法律而獲得的利潤，最后很可能變成罰金和訴訟費。