今日，被稱為“史上最嚴”數(shù)據(jù)信息保護條例的歐盟《一般數(shù)據(jù)保護條例》(以下簡稱GDPR)正式生效。據(jù)悉，GDPR的影響范圍不局限于歐洲，只要企業(yè)數(shù)據(jù)處理活動涉及歐盟公民數(shù)據(jù)，都會受到該法規(guī)的限制。值此之際，南方都市報個人信息保護研究中心、京東集團和法律出版社于5月24日下午舉辦了主題為“歐盟GDPR的影響與應(yīng)對”高峰論壇，就GDPR實施的熱點問題進行討論與交流。

法律出版社編輯總監(jiān)張雪純，京東集團首席人力資源官兼總法律顧問隆雨，南方都市報社大數(shù)據(jù)研究院副院長虞偉，中國社會科學(xué)院法學(xué)研究所研究員周漢華等領(lǐng)導(dǎo)及專家、企業(yè)代表共近兩百人出席本次論壇。

論壇上，京東發(fā)布了國內(nèi)首部關(guān)于GDPR的著作《歐盟數(shù)據(jù)憲章-GDPR評述及實務(wù)指引》。該著作從理論和實踐兩個層面，全面介紹和深入評析了全球數(shù)據(jù)保護面臨的突出問題，提出了數(shù)字經(jīng)濟時代我國監(jiān)管部門和企業(yè)的應(yīng)對建議。

個人信息保護研究中心建議：

優(yōu)化隱私政策與產(chǎn)品功能，保障用戶權(quán)利

2017年6月至今，南都個人信息研究保護中心(以下簡稱中心)累計測評了1700多家互聯(lián)網(wǎng)APP和網(wǎng)站。結(jié)果顯示，中國企業(yè)的整體狀況并不理想。絕大多數(shù)企業(yè)的隱私政策透明度處于“低”和“較低”之列，透明度屬于“高”和“較高”的是極少數(shù)。GDPR的出臺，無疑給許多有歐洲業(yè)務(wù)的中國企業(yè)帶來了挑戰(zhàn)。

個人信息保護研究中心研究員馮群星作為發(fā)言嘉賓介紹全球知名互聯(lián)網(wǎng)企業(yè)應(yīng)對GDPR的操作實例與輿情應(yīng)對。

大會上，中心研究員馮群星結(jié)合GDPR新增的數(shù)據(jù)主體權(quán)利，分享了一些大型外企的合規(guī)案例。以數(shù)據(jù)可攜權(quán)為例，GDPR明確，用戶有權(quán)以結(jié)構(gòu)化、通用、機器可讀的格式獲取個人信息副本，并移至其他數(shù)據(jù)控制者。為此，谷歌、Facebook、Twitter等企業(yè)都在A PP中增加了相應(yīng)的功能，用戶可以一鍵下載賬戶內(nèi)的數(shù)據(jù)。“我們在測評國內(nèi)A PP時，得到的反饋一般是不能導(dǎo)出賬戶數(shù)據(jù)。從用戶體驗的角度來講，外國A PP的做法值得參考。”馮群星說。

廣告是特別容易泄露個人信息并遭到用戶反感的一種商業(yè)模式，國內(nèi)企業(yè)在這方面有過不少教訓(xùn)。而GDPR也提出了新的要求，即保障用戶的拒絕權(quán)。馮群星介紹，包括Facebook在內(nèi)的多家APP為此調(diào)整了隱私政策和產(chǎn)品功能，除了在隱私政策中作出說明和承諾，用戶也可以通過偏好設(shè)置系統(tǒng)來控制A PP所展示的廣告，移除自己不想看的廣告，禁止廣告主獲取自己某方面的信息等。

馮群星表示，GDPR雖然是歐盟的法案，但全球化下，中國企業(yè)多少會受到影響。國內(nèi)的網(wǎng)絡(luò)安全法、《信息安全技術(shù)個人信息安全規(guī)范》等也已經(jīng)有類似規(guī)定。結(jié)合GDPR和國內(nèi)法律法規(guī)，建議企業(yè)進一步優(yōu)化隱私政策和產(chǎn)品功能設(shè)計，保障用戶進行數(shù)據(jù)訪問、更正、刪除、注銷賬戶、撤回同意、獲取個人信息副本的權(quán)利。

專家：GDPR的設(shè)計體現(xiàn)了“激勵相容”原則

“從1995年的《歐盟數(shù)據(jù)保護指令》到GDPR，不僅是法律形式的變化，也是歐盟在大數(shù)據(jù)時代，協(xié)調(diào)個人數(shù)據(jù)保護與信息自由流動的一個新嘗試。”周漢華指出，當今已是人工智能、物聯(lián)網(wǎng)、云計算的時代，升級已經(jīng)實施20余年的指令，說明了歐盟想實現(xiàn)發(fā)展與保護之間的平衡，突出體現(xiàn)了“激勵相容”原則。

“激勵相容”原則是指規(guī)則如果能夠與被管理者激勵相容，會極大降低執(zhí)法成本，提高合規(guī)動力。周漢華表示，“激勵相容”原則是規(guī)則體系設(shè)計的核心，也是規(guī)范實施的成敗關(guān)鍵“互聯(lián)網(wǎng)企業(yè)的核心資產(chǎn)是數(shù)據(jù)，所以對數(shù)據(jù)控制者來說，給用戶提供差異化、個性化的精準服務(wù)能夠激勵他們使用數(shù)據(jù)，但保護數(shù)據(jù)的成本太高，這樣就會產(chǎn)生激勵不相容，”他說。

中國社會科學(xué)院法學(xué)研究所研究員周漢華發(fā)表演講。

反觀歐盟，從指令到GDPR，一直體現(xiàn)了既保護個人信息決定權(quán)利，又促進個人信息自由流動的雙重價值。這種雙重價值追求，既體現(xiàn)在指令、GDPR的名稱中，也體現(xiàn)在立法結(jié)構(gòu)的整體安排上，更體現(xiàn)在指令、GDPR的前言、基本原則與具體規(guī)定之中。

周漢華認為，在推動大數(shù)據(jù)發(fā)展方面，GDPR的變化體現(xiàn)在三個地方：一是在個人信息使用目的限制、數(shù)據(jù)留存期限等方面，盡量為大數(shù)據(jù)開發(fā)利用開辟可能的路徑;二是更突出強調(diào)責(zé)任原則、透明原則的地位和作用，強化信息控制者內(nèi)部治理機制，調(diào)動信息控制者參與數(shù)據(jù)治理的積極性;三是設(shè)計強有力的外部執(zhí)法威懾機制。

記者對話京東集團副總裁、法務(wù)部負責(zé)人

京東出版國內(nèi)首部《歐盟數(shù)據(jù)憲章-GDPR評述及實務(wù)指引》

GDPR的出臺將對全球數(shù)據(jù)保護造成什么影響?中國跨國企業(yè)應(yīng)如何應(yīng)對?在GDPR正式實施之際，京東出版《歐盟數(shù)據(jù)憲章- GDPR評述及實務(wù)指引》，從全球數(shù)據(jù)保護現(xiàn)狀、GDPR的立法背景、條款評析、影響以及對中國企業(yè)的應(yīng)對建議等方面進行了全方位論述。

京東集團副總裁、法務(wù)部負責(zé)人焦嬌接受南都記者采訪。

該書編委會主任、京東集團副總裁、法務(wù)部負責(zé)人焦嬌表示，GDPR適用范圍的擴大對中國跨國企業(yè)的合規(guī)提出了更高的要求，希望通過這本書將歐盟個人信息保護制度立體地呈現(xiàn)給立法機關(guān)、監(jiān)管機構(gòu)和廣大研究人員。

其實在GDPR實施前，很多大型互聯(lián)網(wǎng)公司早已開始進行合規(guī)調(diào)整。一個較明顯的變化是，不少主流APP紛紛修訂隱私政策，并推出了相關(guān)的隱私控制工具。

這些APP具體是如何進行調(diào)整的?

記者選取了6款國外知名APP分析發(fā)現(xiàn)，為滿足GDPR的合規(guī)要求，絕大多數(shù)的APP隱私政策透明度更高，不僅文本通俗易懂，呈現(xiàn)方式多樣，且上線了特殊的隱私保護功能。

相比于國外企業(yè)積極應(yīng)對GDPR，國內(nèi)涉及歐洲客戶的跨國公司似乎還在觀望。但即便不受GDPR限制，這些APP在隱私保護上的合規(guī)實踐，仍可供國內(nèi)企業(yè)借鑒和思考。

隱私政策化繁為簡 增加視頻和注解

不久前，谷歌給用戶發(fā)送了這樣一封郵件，稱正在更新隱私政策和上線了隱私保護的小工具。這些調(diào)整面向谷歌的全球用戶，適用于YouTube等旗下多款產(chǎn)品。

谷歌發(fā)給用戶的郵件內(nèi)容。

最近兩個月，和谷歌一樣，不少互聯(lián)網(wǎng)公司均調(diào)整了隱私政策，并宣布更新后的條款將在GDPR實施當天，即5月25日生效。

據(jù)南都記者了解，2016年4月，歐盟通過的GDPR確立了個人數(shù)據(jù)處理的統(tǒng)一規(guī)范，增加了用戶個人數(shù)據(jù)保護的權(quán)利，同時對企業(yè)收集和使用個人數(shù)據(jù)，提出了更高的透明度要求。一旦違反相關(guān)規(guī)定，有些公司甚至可能面臨高達全球年營業(yè)額4%的罰款，堪稱史上最嚴格的數(shù)據(jù)保護條例。

為遵循GDPR規(guī)定，各大企業(yè)早已開始著手應(yīng)對。近日，南都記者選取了Facebook、愛彼迎、領(lǐng)英、eBay、YouTube和Twitter等6款知名APP，對其隱私政策文本和隱私控制設(shè)置進行分析。

記者發(fā)現(xiàn)，為了讓用戶知曉協(xié)議變更，上述APP基本采用郵件或彈窗的方式告知。以國內(nèi)APP常見的彈窗為例，今年5月1日《個人信息安全規(guī)范》生效前，知乎也選擇以此告知隱私政策變更，但由于彈窗頁面的“不同意”選項經(jīng)常是擺設(shè)，引起了很大爭議。

此次，在產(chǎn)品設(shè)計上，愛彼迎通知協(xié)議變更的方式，有值得借鑒之處。因為它充分保障用戶說“不”的權(quán)利。當點擊“不同意”選項，頁面再次向用戶提示是否“不同意條款并退出”。如用戶堅持退出，那么頁面將跳轉(zhuǎn)到愛彼迎官網(wǎng)，平臺表示，“對于您的離開，我們表示遺憾!”，且再次給予用戶多種選擇，比如“準備回來”，“注銷房源”，或者“取消賬號”等，并附上。盡管最終的結(jié)果仍是不同意條款即無法繼續(xù)使用服務(wù)，但至少給用戶提供了一個清晰的退出途徑。

愛彼迎的隱私政策彈窗頁面

根據(jù)GDPR規(guī)定，信息主體有權(quán)要求數(shù)據(jù)控制者以清晰易懂的語言，透明簡潔的形式及時提供相關(guān)信息。

記者對比發(fā)現(xiàn)，相比于舊版，上述6款APP的新版隱私政策在呈現(xiàn)方式上均有很大的改變。過去一年，南都個人信息保護研究中心測評了將近2000家網(wǎng)站和APP的隱私政策，其中普遍存在冗長晦澀，通篇法律術(shù)語的問題。有國內(nèi)大型互聯(lián)網(wǎng)企業(yè)代表曾表示困惑，一方面用戶的接受時間有限，隱私政策只好盡可能簡略，但另一方面，隱私政策里又需盡可能多地涵蓋平臺如何收集使用用戶信息的所有內(nèi)容。

針對上述問題，自稱以“會員為先”宗旨撰寫隱私權(quán)政策的領(lǐng)英，嘗試給出了解決之道。去年底，南都個人信息保護研究中發(fā)布《2017年個人信息保護報告》。結(jié)果顯示，領(lǐng)英的隱私政策透明度得分高，在設(shè)計上也對用戶較為友好。比如，在查閱條款目錄前，用戶首先可觀看時長一分半的《隱私政策》視頻，在內(nèi)文部分摘要概括重點條款，同時領(lǐng)英對部分術(shù)語和相關(guān)操作指示進行顏色區(qū)分，并提供注解和跳轉(zhuǎn)鏈接。

領(lǐng)英隱私政策視頻，文本附標注

和領(lǐng)英一樣，Facebook、Twitter和YouTube也在新版隱私政策內(nèi)文中，提供示例和注解。

谷歌和Twitter的隱私政策頁面小框出現(xiàn)的注解。

Facebook以頁面跳轉(zhuǎn)的方式提供注解。

在呈現(xiàn)方式上，美國兩大社交APP：Facebook和Twitter不約而同選擇使用顏色區(qū)分隱私政策的章節(jié)標題，谷歌和eBay則采用形象化的配圖加以區(qū)分，同時各自有另有創(chuàng)新之處。

比如，谷歌的隱私政策新增了4個短視頻，分別從整體條款、收集的信息、為什么要收集數(shù)據(jù)、您的隱私控制項等方面，對文本進行可視化呈現(xiàn)。

谷歌隱私政策視頻截圖

而eBay隱私政策設(shè)計的巧妙之處在于，每個章節(jié)頁面呈現(xiàn)的是一份簡單的概要，如果用戶對此感興趣可以點擊“l(fā)earn more”了解更多信息。

eBay的隱私政策

如此化繁為簡，采用示例、圖片和視頻的方式輔助說明，不僅文本畫面感極佳，而且更方便用戶閱讀。據(jù)南都記者觀察，這樣的隱私政策呈現(xiàn)方式在國內(nèi)APP中基本不多見，目前國內(nèi)企業(yè)更多注重的是文本上的合規(guī)，在呈現(xiàn)方式上仍欠思考。

谷歌可查29版隱私政策 臉書30天后刪除身份證副本

具體到文本，在被考察的6款APP中，均可以找到新舊版隱私政策全文。谷歌更是對所有隱私政策文本都作了歸檔處理，用戶可在隱私權(quán)政策選項中，點擊“更新”查看過往28個版本的隱私政策，上可追溯至1999年6月9日，彼時谷歌僅成立不到一年。

記者發(fā)現(xiàn)，過半APP告知用戶隱私政策的更新內(nèi)容，比如領(lǐng)英、愛彼迎、YouTube等。其中較為簡便的是領(lǐng)英，不僅在醒目位置提供了修訂摘要，而且當用戶點擊查看重大修訂說明，頁面自動滑至更新的條款部分并配有注解。

點下一頁，可自動滑至領(lǐng)英修訂說明，

對比新舊版隱私政策可以看到，為適應(yīng)GDPR規(guī)定，6款APP在文本上新增了不少內(nèi)容。僅從目錄來看，Facebook在舊版的基礎(chǔ)上新增了一章“旗下公司如何協(xié)同工作”。

左為Facebook新版隱私政策目錄，右為舊版。

結(jié)合GDPR規(guī)定，南都記者拎出隱私政策的9項內(nèi)容進行比較分析，由圖可知，6款APP在定義個人敏感信息、未成年人保護和數(shù)據(jù)保護專員等方面，略有差異，其余都有相關(guān)說明。

6款APP隱私政策內(nèi)容對比。

值得注意的是，有4款APP均提到了未成年人保護的問題，其中YouTube有專門針對兒童的隱私聲明。南都未成年人網(wǎng)絡(luò)保護中心今年5月發(fā)布的《未成年人網(wǎng)絡(luò)保護報告》顯示，鮮少有APP像YouTube這樣提供單獨的兒童隱私政策，且近兩成平臺缺乏相關(guān)的兒童信息保護條款。(此前報道：未成年人網(wǎng)絡(luò)使用調(diào)查：保護條款缺失，軟色情、暴力元素普遍存在)

據(jù)記者了解，GDPR的一大亮點在于增加了數(shù)據(jù)主體的權(quán)利，規(guī)定用戶享有訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、數(shù)據(jù)可攜權(quán)和拒絕權(quán)等。其中備受爭議的是刪除權(quán)(又稱被遺忘權(quán))和數(shù)據(jù)可攜權(quán)，前者允許數(shù)據(jù)主體在特定情形下，有權(quán)要求數(shù)據(jù)控制者立即清除相關(guān)的個人數(shù)據(jù)。而數(shù)據(jù)可攜權(quán)是指，用戶有權(quán)以結(jié)構(gòu)化、通用、機器可讀的格式獲取個人信息副本，并移至其他數(shù)據(jù)控制者。

6款APP隱私政策提及的用戶權(quán)利對比。

被測的6款APP中，基本上都提到了GDPR里賦予用戶的八大權(quán)利。以可攜權(quán)和被遺忘權(quán)為例，領(lǐng)英稱，用戶有權(quán)訪問和索取您的數(shù)據(jù)，要求提供和索取一份個人數(shù)據(jù)的副本，并承諾通常可在30天注銷賬號。谷歌表示，用戶可以隨時從谷歌賬號中導(dǎo)出和刪除信息副本。

相比之下，愛彼迎在“數(shù)據(jù)訪問與轉(zhuǎn)移”說明中，較為謹慎，多了在某些司法管轄區(qū)的前提條件，稱適用法律使得您有權(quán)要求獲得個人信息副本。同時界定在技術(shù)可行的情況下，用戶可要求將這些信息傳輸至其他服務(wù)商。

在刪除信息方面，Facebook隱私政策新增說明，“我們存儲數(shù)據(jù)，直至我們不再需要這些數(shù)據(jù)來提供服務(wù)和 Facebook 產(chǎn)品或直至用戶的帳戶被刪除——以較早發(fā)生者為準。”Facebook舉例稱，如果用戶提交政府發(fā)放的身份證件的副本用于帳戶驗證，平臺將在提交30天后刪除該副本。

除此之外，記者對比各家新舊版隱私政策發(fā)現(xiàn)，在與第三方共享和披露信息方面，6款APP基本都作了補充說明。

以不久前深陷數(shù)據(jù)外泄事件的Facebook為例，在舊版隱私政策，Facebook所羅列的第三方類型包括“廣告、衡量和分信息服務(wù)”、“供應(yīng)商、服務(wù)商和其他合作伙伴”。新版隱私政策則進一步細化，涵蓋“使用我們分析服務(wù)的合作伙伴”、“廣告主”、“供應(yīng)商和服務(wù)提供商”、“研究機構(gòu)和學(xué)術(shù)機構(gòu)”等。

Facebook新舊版隱私政策關(guān)于第三方的說明對比

與此同時，在信息的分享方式中，Facebook特別以傾斜字體強調(diào)，正在進一步限制開發(fā)者的數(shù)據(jù)訪問，以幫助防止違規(guī)行為。比如，用戶在三個月內(nèi)如果未使用開發(fā)者的應(yīng)用，將取消他們對該用戶 Facebook 和 Instagram 數(shù)據(jù)的訪問權(quán)。

部分平臺上線隱私功能：用戶可拒絕個性化廣告

除了在文本上適應(yīng)GDPR的要求，南都記者發(fā)現(xiàn)，在隱私政策里，多數(shù)APP還提供了隱私工具鏈接或操作路徑。

部分APP的隱私設(shè)置

在3月爆出數(shù)據(jù)外泄丑聞后，Facebook在設(shè)置中新增“隱私快捷設(shè)置”，允許用戶一個集合的菜單里，來控制個人信息顯示、管理接收到的廣告推送、調(diào)整個人頁面訪問權(quán)限等。

Facebook的隱私功能

同時，Facebook也引導(dǎo)用戶通過3個步驟進行隱私設(shè)置檢查。具體而言，用戶可選擇動態(tài)消息發(fā)布的分享對象，比如公開，好友，部分好友，指定好友，僅限自己等。此外，用戶還能在該設(shè)置中移除使用臉書登錄的第三方應(yīng)用和網(wǎng)站。比如，當南都記者選擇移除愛彼迎后，Facebook稱愛彼迎將不再能獲取賬號信息。

和Facebook一樣，Twitter、谷歌和領(lǐng)英也有相似的隱私功能。

比如Twitter承諾，用戶可自主決定是否讓Twitter與業(yè)務(wù)伙伴分享用戶的數(shù)據(jù)，用于廣告和品牌影響等用途。不僅如此，在“興趣與廣告數(shù)據(jù)”設(shè)置中，用戶能查看Twitter平時根據(jù)用戶的行為標記出來的用戶興趣愛好、Twitter合作伙伴標記的用戶的興趣愛好，以及用戶自身添加的廣告商猜測的興趣愛好。這些數(shù)據(jù)相當于各方平臺對用戶的數(shù)據(jù)畫像，不僅可以查看，用戶還能自主刪減被收集的特征值。

Twitter個人數(shù)據(jù)頁面及其給用戶的標簽

谷歌則提供專門的“隱私控制項”視頻，告知用戶可以開啟哪些設(shè)置增強自身數(shù)據(jù)安全，稱用戶可以掌控自己的隱私。

谷歌的個人信息與隱私功能

同樣的，領(lǐng)英的隱私設(shè)置里也向用戶明確怎么去控制它們被使用的數(shù)據(jù)，用戶甚至可選擇不允許領(lǐng)英向其推送更個性化的推廣職位和廣告。

領(lǐng)英的隱私功能

不難發(fā)現(xiàn)，各大平臺推出隱私工具的目的，旨在讓用戶掌控自己的數(shù)據(jù)。具體包括，由用戶決定信息分享的范圍，廣告推送內(nèi)容以及個人數(shù)據(jù)的查看或下載。在隱私政策里，這些隱私工具的鏈接被嵌入其中，在APP內(nèi)也有明顯的進入路徑提示，便于用戶熟悉和操作。

從這點來看，企業(yè)隱私政策從原本的書面承諾，變成實際可感的功能操作，這對于增強用戶體驗感，提高平臺的美譽度都具有積極意義。

如今，雖然信息時代發(fā)展迅速，但是與此同時，隱私信息泄漏、病毒木馬、黑客攻擊等安全隱患也隨之而來。那么，個人信息泄露會給我們生活造成怎樣的危害？我們要如何保管好個人信息安全呢？下面佰佰安全網(wǎng)就給您講述下相關(guān)的信息泄露安全小知識。