歐盟史上最嚴(yán)厲隱私保護(hù)法(GDPR)于5月25日正式生效，它是二十年來(lái)數(shù)據(jù)隱私規(guī)則領(lǐng)域發(fā)生的最重要變化，它會(huì)給全世界的企業(yè)帶來(lái)重大影響。無(wú)論企業(yè)是否在歐盟境內(nèi)，只要與歐盟企業(yè)發(fā)生業(yè)務(wù)往來(lái)，或涉及存儲(chǔ)、處理、交換任何歐盟公民的數(shù)據(jù)，都必須嚴(yán)格遵守該條例。

小米生態(tài)鏈企業(yè)、智能燈具Yeelight近日通知稱，由于無(wú)法滿足歐盟最新出臺(tái)的《通用數(shù)據(jù)保護(hù)條例》(GDPR)要求，將不再向歐洲用戶提供服務(wù)。意味著旗下智能燈具多數(shù)功能無(wú)法使用，可能還不如一個(gè)普通燈泡。

微博用戶“ruanyf”因此質(zhì)疑Yeelight是否收集用戶隱私數(shù)據(jù)。他說(shuō)：“作為該品牌的中國(guó)用戶，我立刻得出結(jié)論，它的服務(wù)器上一定保存著我所有開(kāi)燈/關(guān)燈的記錄……”

至此，小米生態(tài)鏈企業(yè)的個(gè)人隱私保護(hù)問(wèn)題不僅公開(kāi)化，也讓它有幸成為我國(guó)第一家中槍GDPR法案的數(shù)字企業(yè)，那么GDPR為何中國(guó)互聯(lián)網(wǎng)高科技企業(yè)——小米這樣畏懼呢？

歐盟一般數(shù)據(jù)保護(hù)法案(General Data Protection Regulation, 679/2016, 下簡(jiǎn)稱「GDPR」)通過(guò)于 2016 年，是歐盟為解決互聯(lián)網(wǎng)時(shí)代用戶數(shù)據(jù)的收集、使用問(wèn)題而制定的。與此前歐洲地區(qū)頒布的其他個(gè)人信息保護(hù)法規(guī)不同，GDPR 具有強(qiáng)制力，直接對(duì)所有的歐盟成員國(guó)生效，也就是法規(guī)一旦生效自動(dòng)對(duì)所有國(guó)家生效(部分國(guó)家如有其它規(guī)定，可協(xié)調(diào)處理)。

GDPR 規(guī)定歐盟所有成員國(guó)都必須在國(guó)內(nèi)設(shè)立監(jiān)管機(jī)構(gòu)，且該機(jī)構(gòu)有權(quán)調(diào)查各科技公司的產(chǎn)品或服務(wù)可能存在的違法情形，并進(jìn)行相應(yīng)的處罰。

GDPR 就像一張巨大的篩子，所有在歐洲有產(chǎn)品或服務(wù)(無(wú)論公司是否在歐盟地區(qū))，會(huì)收集用戶數(shù)據(jù)，或與歐盟企業(yè)發(fā)生業(yè)務(wù)往來(lái)，或涉及存儲(chǔ)、處理、交換任何歐盟公民數(shù)據(jù)的公司都要經(jīng)過(guò)這把篩子篩選。留者生，漏者死。

總的來(lái)說(shuō)，GDPR 從管理機(jī)構(gòu)、管理模式，和管理方法三個(gè)方面，對(duì)個(gè)人信息保護(hù)行政執(zhí)法機(jī)構(gòu)的管理方式做了改革創(chuàng)新。關(guān)于科技公司使用用戶數(shù)據(jù)的邊界、應(yīng)當(dāng)承擔(dān)的責(zé)任和義務(wù)，GDPR 進(jìn)行了清晰的闡述，主要包括個(gè)人對(duì)其信息的控制權(quán)、信息控制者、處理者的義務(wù)和責(zé)任的界定、信息跨境和刑事活動(dòng)領(lǐng)域的特殊信息保護(hù)規(guī)則。

通俗點(diǎn)來(lái)說(shuō)，這部法規(guī)囊括了普通人正在遭遇或可能遭遇的絕大部分事關(guān)數(shù)據(jù)使用和保護(hù)的問(wèn)題，且它主要對(duì)「控制者」——數(shù)據(jù)的收集者和使用者做成了嚴(yán)格的規(guī)定。它將解決但不限于下列問(wèn)題：

之前科技公司寫(xiě)的那些讓人看不懂的用戶協(xié)議將不被允許存在。按照 GDPR 的規(guī)定，所有用戶協(xié)議必須采取普通用戶能理解、接受的方式寫(xiě)清楚。如果用戶在使用后不再愿意同意該協(xié)議，可隨時(shí)撤回許可。另外，科技公司不得收集除提供服務(wù)必需之外的數(shù)據(jù)，收集之后不得濫用用戶數(shù)據(jù)，同時(shí)還必須履行保護(hù)用戶數(shù)據(jù)的義務(wù)。

用戶信息主體權(quán)將進(jìn)一步擴(kuò)大，新增對(duì)信息遺忘權(quán)的詳細(xì)規(guī)定。在符合 GDPR 規(guī)定的情況下，用戶可以要求科技公司刪除自己存儲(chǔ)在該平臺(tái)上的信息。并且，這些企業(yè)應(yīng)當(dāng)保證用戶可以便利地查詢和轉(zhuǎn)移其信息。

控制者要通過(guò)技術(shù)保護(hù)措施和信息處理記錄加強(qiáng)信息保護(hù)，在信息泄露時(shí)需要履行報(bào)告和通知義務(wù)。像 Uber 之前隱瞞 2016 年黑客盜取了 Uber 5000 萬(wàn)乘客的姓名、電子郵件和電話號(hào)碼，以及約 60 萬(wàn)名美國(guó)司機(jī)的姓名和駕照號(hào)碼的事件如果再次發(fā)生，要面對(duì)的可就是 GDPR 的巨額罰款了。

事實(shí)上，更早之前，風(fēng)聲鶴唳的微軟、Facebook、谷歌已經(jīng)開(kāi)始為遵守這項(xiàng)法規(guī)調(diào)整自己的產(chǎn)品設(shè)置。這些公司之所以如此小心翼翼，是因?yàn)楦鶕?jù) GDPR 規(guī)定，任何企業(yè)違反信息跨境流動(dòng)要求和未經(jīng)信息主體許可的收集、處理等行為，最大處罰額可達(dá)到 2000 萬(wàn)歐元或者當(dāng)年全球收營(yíng)業(yè)額的 4%，且二者取較高值。

所以，小米生態(tài)鏈企業(yè)中槍也就沒(méi)啥可好奇的，關(guān)鍵是我國(guó)還很多這方面數(shù)字企業(yè)，在個(gè)人數(shù)據(jù)信息保護(hù)方面存在著不足，甚至是漠視用戶隱私數(shù)據(jù)保護(hù)。不過(guò)，伴隨著這部法案的生效，留給它逃避市場(chǎng)監(jiān)管時(shí)間也不多了。歐盟立法機(jī)構(gòu)除了自己落實(shí) GDPR 之外，還在聯(lián)合包括中、美、日、韓等互聯(lián)網(wǎng)市場(chǎng)大國(guó)實(shí)施類似法規(guī)。肆無(wú)忌憚地收集用戶數(shù)據(jù)，販賣濫用數(shù)據(jù)的商業(yè)模式行將逝去，一道生死題正浮現(xiàn)在此前濫用用戶數(shù)據(jù)的公司面前。

寫(xiě)在最后，GDPR是一個(gè)比較好的契機(jī)，讓我們的企業(yè)審視自己的隱私保護(hù)政策，倒逼我們?nèi)ヅ弦?guī)。拒絕或者存有僥幸心理都是不對(duì)的。這一過(guò)程中需要數(shù)據(jù)公司的服務(wù)和技術(shù)上的支持，會(huì)增加客戶成本，但同時(shí)也能令企業(yè)的價(jià)值得到提升。雖然小米首席架構(gòu)師、人工智能與云平臺(tái)副總裁崔寶秋博士對(duì)事作出了積極回應(yīng)，解決隱私保護(hù)問(wèn)題，但是隱私問(wèn)題不只存在于小米，還涉及更多從事數(shù)字經(jīng)濟(jì)的企業(yè)，他們更需要審視隱私保護(hù)政策，不要再肆意而任性獲取個(gè)人隱私數(shù)據(jù)了。