作為歐盟1995數據保護指令（The European 1995 Data Protection Directive, Dir.95/46/EC）的替代，2018年5月25日生效的《一般數據保護條例》（或《通用數據保護條例》，General Data Protection Regulation，簡稱GDPR）具有更大的威力：對于用戶而言，他們有權訪問、改正、移植和刪除其數據；對于監管者而言，他們第一次擁有了在歐盟范圍內統一行動的權力，并有權對違法企業處以高達2000萬歐元或者全球營收4%（兩者取其大）的巨額罰款。該法規將影響歐盟內所有獲取、存儲或處理個人數據的企業，包括設立地在歐盟之外但獲取過歐盟公民數據信息的企業。

企業應對GDPR的措施

在實踐中，企業往往缺乏對于GDPR充分的理解：有些僅把它當作原有數據條例的加強版；另一些則把它看作是企業的負擔，認為很難滿足所有的要求。這兩種觀點都有失偏頗，應該從更長遠的角度去認識和觀察。中國涉及歐洲業務的諸多企業，已經被自動納入到GDPR的管轄范圍，應提前做好預案。這樣，一方面可以有效規避潛在的高額懲罰；另一方面還可以抓住互聯網轉變的機遇，在新產業形成過程中占據有利地位，尋找新的利潤增長點。

第一，凝聚共識，應對風險。企業首先需要在內部進行動員，貫徹針對GDPR進行改革的必要性和重要性，在思想上凝聚共識。這是因為改革會增加企業成本、降低利潤、甚至需要對企業既定的戰略和計劃做出調整——而利益格局的改變必然會招致不同的聲音。為了將風險最小化，企業在前期規劃時一定要做好評估：清點所有的應用程序，明確企業內部數據的來源、儲存和處理方式，指派人員承擔相關職責，預測可能會帶來的危害并提前制訂應對方案。值得一提的是，員工個人的移動辦公設備也存在數據泄露風險，因為這些設備接觸到了公司的數據，可能會被備份，所以也應該納入定期排查的范圍。更重要的是，企業要善于在“危”中尋“機”，明確如何利用新規則挖掘商機。例如良好的數據保護會帶來口碑和聲譽、吸引潛在用戶；公司數據利用能力的提升也為未來新業務的發展構筑了基礎。數據管理公司Hanse Orga Group的首席戰略官Christoph Dubies認為“致力于保護用戶數據的企業可以預期得到良好的市場反應，它可以作為營銷策略提升品牌知名度并獲取用戶的信任。”

第二，在企業內部構建數據處理機制。一個完善的數據處理機制包括從數據訪問、存儲、修正、乃至刪除的整個過程，它擁有可以按照外部用戶或監管機構的要求進行提取展示的能力；在特性上，應該兼顧全面性和專業性。GDPR影響了企業的整個運作流程，客觀上要求企業在內部建立一個跨部門的組織，應該包括法律、財務、技術、市場等所有涉及用戶個人信息的部門。比如，企業的法律部門首先需要厘清GDPR賦予企業的責任和權利，因為GDPR更多的是側重于原則上的闡述而非具體的規則，給實施預留了一定的操作空間——而這就需要法律上的咨詢建議，以確保企業行為在法規權限內落地實施。此外，財務部門提供資源支撐，技術部門保證實際運作，市場部門則將數據保護作為一項營銷策略，用以增強用戶好感、提升企業知名度。值得一提的是，企業需要保持與外界的良好溝通，讓用戶、監管者乃至社會公眾了解你為數據保護所做出的努力，構造出一個數據守護者的形象，這無疑會有利于企業的長遠發展。

第三，設置數據保護官（Data Protection Officer, DPO）等職位。GDPR第4章第4節明確規定，企業內應指派數據保護人員承擔數據保護合規相關職責。在企業內部，要通過組織架構的調整賦予DPO足夠權限，確保其可以同其他高管進行順利溝通，并能爭取到足夠的資源。在企業外部，GDPR的規則會在不斷的實踐中逐漸成熟和完善，形成公認的知識經驗，因此DPO需要同外界的同行、監管機構、司法系統等保持暢通的交流，以調整和優化企業的數據保護機制。DPO可以是企業內其他管理人員的兼職，如2018年5月東方航空任命總法律顧問郭俊秀為DPO；內部缺乏數據合規相關人才的企業也可以外部聘用DPO，因為GDPR允許一名DPO同時為多個企業工作。

第四，建立完善的數據庫。數據庫不僅僅是目錄清單，用以追蹤用戶的數據流記錄；它還涵蓋了與數據相關的所有信息，包括數據來源、處理方式、法律依據、以及數據分享等。以此為基礎，企業可以建立完整的數據庫，它會是未來新興業務發展的重要基礎資產。數據庫的構建要求企業擁有一定的信息技術的能力，可以操作海量數據，保證數據安全，并有能力在規定時間內（72小時）向監管者提取需要的信息。

個案分析：Facebook應對GDPR的措施

Facebook因“泄密門”事件遭遇了自公司成立以來最大的“滑鐵盧”，扎克伯格在歐盟委員會上的聽證也在客觀上樹立了GDPR的權威性。Facebook被質疑強行索取個人信息，用戶不得不在注銷賬戶和“同意”之間二選一。在面對英國《衛報》的采訪時，Facebook首席隱私官（Chief Privacy Officer，CPO）Erin Egan說：“為了滿足GDPR的要求，我們提前做了18個月的充分準備。我們讓政策更加清晰，隱私設置更為便利，還可以讓用戶方便的訪問、下載和刪除他們的信息。在5月25日GDPR正式生效之后，我們還會繼續完善用戶隱私權。比如建立‘清晰歷史’（Clear History），它可以讓用戶查詢到曾經提交過的網站和應用信息、清除這些信息、或者拒絕Facebook繼續存儲個人信息。”

在登錄Facebook時，用戶需要在界面跳出的公告中重新選擇數據使用權限。為打消公眾疑慮，公告第一句便是：“我們重視對你隱私的保護，不會出售你的數據”，并闡明“會通過廣告主，應用開發者和發行商提供的數據，了解你在Facebook旗下產品站外的活動，據此為你展示更好的廣告”。這些從合作伙伴那里獲取的數據包括“Facebook業務工具的網站和應用上的活動，例如在線購物或下載應用”以及“與合作伙伴的線下活動，例如在自行車店購買安全帽”。

為體現GDPR的“限制處理權”和“拒絕權”，Facebook闡明“你可以控制是否允許我們使用這些數據向你展示更好的廣告”。例如，Facebook在獲取用戶使用數據的允諾之后（點擊“接受并繼續”）會向具備特定特征的用戶展示廣告；如果用戶不愿意分享數據，則可以在“數據設置”里面進行設置。但是，公告中特別聲明，即便用戶不愿意分享數據來推送廣告，Facebook仍會在法律框架內有限度的使用用戶數據。

為了讓用戶直接控制自己的數據，Facebook將用戶登錄過的應用和網站信息放在設置頁面下的“應用和網站”板塊，用戶可以方便地進行清除。“應用和網站”板塊包含“使用中”“已過期”和“已移除”等三個部分。在“使用中”，用戶可以查看并更新對方可獲取的信息，并清除不再需要的應用和網站；“已過期”的應用和網站無法再訪問用戶的私人信息，但用戶可以更新訪問權限、編輯信息或者直接清除；“已移除”的應用和網站仍可以訪問用戶之前分享的信息，但無法獲取更多私人信息。對于“使用中”和“已過期”的應用和網站，用戶可以通過簡單的點選進行清除，并通過“查看和編輯”按鈕設置信息、應用可見度以及能否向用戶發送通知等功能。“已移除”的應用和網站只能通過“查看詳情”了解移除日期、用戶編號以及數據訪問權限等信息。有趣的是，Facebook以防止陌生人訪問用戶的照片和視頻為由，在公告中順便推銷了自己的人臉識別技術。如果選擇打開人臉識別設置，Facebook會“把它與其他照片和視頻的分析進行對比，從而辨別這些照片或視頻中是否有你”。

此外，Facebook在頁面下方新設了“廣告選項”和“隱私權政策”。在“廣告選項”里，Facebook提供了多種控制向用戶推送廣告的方式，如選擇退訂所有相關公司的廣告，并提供了如何在瀏覽器和設備中退訂廣告的方法。“隱私權政策”展現了Facebook收集的用戶信息的類型，包括用戶和他人執行的操作及提供的信息、設備信息以及來自合作伙伴（廣告主、應用開發者以及發行商）的信息。在收集信息后，Facebook會提供、定制并優化產品，提供成效衡量、分析和其他商業服務，加強用戶安全、數據安全和產品信譽，為社會公益目的進行研究和創新。不過，用戶有權拒絕將數據用于企業利益或公益的目的。

針對GDPR的“刪除權（被遺忘權）”，Facebook規定會對用戶數據進行存儲，但在不需要該數據或者賬戶注銷時才能刪除。例如，用戶可在搜索后刪除歷史記錄，但該搜索的日志要在六個月后才能真正清除；用戶提交的用于賬戶驗證的身份證件副本，要在30天后才能清除。此外，為回應GDPR的要求，Facebook還提供了負責用戶信息的數據管控方Facebook Ireland的具體聯系地址，并聲明用戶有權向其及主要監管者“愛爾蘭數據保護專員”或當地監管者提起投訴。

在英國《衛報》的報道中，美國數字民主研究中心的創始人Jeffrey Chester將GDPR的實施稱為“不可思議的突破”，因為它改變了互聯網巨頭與用戶之間的權力平衡。對于企業而言，不遵守GDPR規則可能會在無意間面臨聲譽受損、高額罰款甚至是刑事責任，從而在市場競爭處于劣勢地位；而因應時勢，借由數據保護新規則開辟新的商業機會和利潤空間的企業，則可以創造出更高的價值，轉危為機，實現企業的新發展。

（作者邵慶龍為深圳大學博士后，經濟學博士）