GDPR全球加速：企业四大应对策略盘点

GDPR全球加速  制图：吴艾佳@黑狮

GDPR自5月25日生效以来，引起全球范围内的关注，并在互联网、数字广告、大数据等多个领域引起震动，人民网、新华网等多家国内媒体也对此做了大量报道。但目前，仍有不少创业者认为：只要不涉及欧盟业务，就可以不用担心GDPR的影响。

实际上，GDPR带来的波动远超欧盟范围，根据GDPR条例规定，不仅业务在欧盟范围内的企业，所有涉及欧盟用户数据收集的企业都受到GDPR条例管辖。换句话说：无论位于何处，企业一旦涉及到欧盟居民的数据，就受到GDPR的管辖。

举个例子：假设有位欧盟居民前往东南亚旅游，并在当地应用市场下载了某款短视频或社交应用；若是这款应用未能按照GDPR要求处理用户隐私数据，可能将面临4000万欧元或全球营收4%的高额罚款。

事实上，GDPR的影响远不止如此，作为目前“最严”数据保护法，GDPR标志着世界范围内数据隐私保护监管进程的加快。

THE TAKEAWAY 

• 在查阅了全球近60篇GDPR相关文献后，黑狮列出了4项有代表性的企业应对措施：

1，暂停欧洲用户访问

2，诱使用户同意

3，更新隐私条例

4，推广至全球用户

隐私保护愈演愈烈

GDPR一跃成为全世界各个国家和地区立法和法律条款修订的催化剂和标杆。自2016年GDPR公布以来，多个国家和地区都先后提出相关的网络数据管理条例或法案，特别是在隐私保护领域，大有“星星之火，可以燎原”之势。

各国隐私法律  表格制作：吴艾佳@黑狮

纵观全球立法形势，数据隐私保护的监管网络已经逐渐形成，并且进程在不断加速。欧美发达国家，如加拿大、澳大利亚等，往往会根据数字化、网络化的现状，对已有的隐私法进行修订和补充，从而更好地保护数字化互联网时代下个人信息。对于新兴发展中国家来说，发达地区现有的法律条文（如GDPR等）为之提供了立法的借鉴，进一步刺激并加快其隐私保护的进程，例如印度已在起草第一部隐私法律。

随着全球隐私保护浪潮的愈演愈烈，相关管理条例和监管措施将逐步蔓延到多个出海目标市场。因此，无论是GDPR亦或是其他地区性法律，创业者都很有必要了解其细则和应对措施。

企业应对，各显神通

黑狮总结了目前各个企业应对GDPR的几种策略，以作参考。

1.“缓兵之计”——暂停欧洲用户访问

“缓兵之计”策略指企业因GDPR实施而采取的暂停欧盟地区业务的策略。采取这一策略的企业较多的是由于难以在最后期限的时间内达到GDPR的要求，通过暂停提供服务延长准备时间。但也有部分美国企业对GDPR采取抵抗的态度而停止欧盟地区的服务。

在5月25日GDPR正式开始实行后，美国的新闻网站及出版公司，包括theChicago Tribune, the Los Angeles Times, the New York Daily News, the OrlandoSentinel and the Baltimore Sun, the Arizona Daily Star，the St. Louis Post Dispatch等都停止了欧洲用户的访问。其中，LeeEnterprise公司的公告显示：“很抱歉，网站暂时无法访问。我们发现您来自欧洲经济区（EEA）并正试图访问网站，由于GDPR条例的限制因此暂时无法允许您的访问。”同样地，在洛杉矶时报官网也显示了类似的公告。

the Los Angeles Times网站上的声明

而Pinterest旗下的新闻剪报服务平台Instapaper服务负责人在推特上表示“由于低估了工作范围而不得不暂停服务”。而电影电视评论软件Stardust为规避GDPR的风险，采取了从 Google和苹果应用商店下架产品并彻底删除欧洲居民的记录的方式。

Instapaper服务负责人对网友提问的回应

而另一方面，这一策略也会带来负面影响，如引起其他地区用户对企业数据收集行为的质疑。以Yeelight智能灯具为例，由于Yeelight因GDPR条例而暂停了欧洲地区的服务，导致国内用户对其数据收集和使用行为产生质疑。此时，若企业忽视用户的质疑而未对此作出合理解释，将会损害企业形象，影响消费者对企业的信任。

中国用户对Yeelight暂停对欧盟用户的服务的反应

总结：这种停止欧洲居民访问的策略可以被认为是最简单的应对方式，但同时也是消极的方式。“缓兵之计”的策略能够降低企业应对GDPR的成本，或缓解企业的应对压力。但若竞争对手正常向欧盟地区提供服务，就能在此时吸引用户抢夺市场，这对于新闻资讯类网站尤为明显。因而，对企业而言，暂停向欧盟用户提供服务意味着失去欧洲5亿人口规模市场的风险。

2.“投机取巧”——诱使用户同意

采取这种策略的公司往往对GDPR采取承认的态度并会进行相应的调整，但在收集用户同意的过程中耍一些“小伎俩”，但这些伎俩往往存在一定的问题和风险。

华盛顿邮报向欧洲访问用户设置了付费门槛，即欧洲用户可选择一年$90无广告无信息跟踪的“欧盟高级订阅”服务，这一售价比一般订阅高出$30。而对于那些不愿支付该订阅价格的免费欧盟地区用户，华盛顿邮报则默认其同意该公司对个人数据的数据处理。但华盛顿邮报这一做法的合法性还有待考证，GDPR的要求用户应该有免费选择的权利，而不是被强制性同意。帮助企业进行GDPR合规培训的英国独立咨询师KimTurner认为华盛顿邮报强制那些不能或不愿付费的人接受信息跟踪违背了用户的合法权益，并违背了GDPR。

之前隐私泄露丑闻的核心Facebook则是被暴出在用户授权其对个人数据的使用上耍了一个小“诡计”。在隐私条款页面，如果用户不同意隐私条款，Facebook将锁住用户账户使得用户无法使用和跳转，并且在页面上显示虚假的消息通知诱使用户选择同意。

Facebook迫使用户同意条款的“诡计”

总结：虽然这些策略在短期内能得到用户的肯定同意，但由于其变相的强迫用户同意其隐私条款，在法理上存在一定的问题。另一方面容易引起用户的不满，严重地甚至引起投诉行为，不仅降低了用户体验，而且有损企业形象造成负面口碑，对于企业长期发展存在一定的问题。

3.“严阵以待”——更新隐私条例

相较于前两种策略，大多数企业则是谨慎地选择在GDPR正式施行前按要求更新其隐私条款。

阿里云、华为、南方航空等多家公司都对隐私条款进行了更新修订，腾讯旗下的社交软件QQ国际版和微信国际版都在隐私条款中增加了收集资讯的法律依据、处理目的、储存时长及删除等详细说明，同时表明“16岁以下而儿童都不应使用WeChat”。而国外社交软件Twitter则将儿童的年龄限制降低至13岁。同样地，游戏厂商Rovio于5月16日更新其隐私条款，其中明文规定玩家可以“访问、更正、更新和要求删除个人信息；要求限制处理个人信息或移植个人信息；撤销同意个人信息的处理”等一系列权益。

但另一些公司还采取了不同的方式，游戏公司Voodoo和Supercell则采用匿名化方式对玩家的个人信息进行处理，并且承诺不会收集13岁以下未成年人的任何数据。而美国新闻网站TheNew York Times将不再播放任何程序化广告，Gannett’sUSA Today 为欧盟用户提供了一个纯净版网站。

社交软件WhatsApp则更进一步，不仅响应GDPR要求，取消第三方横幅广告，增加用户信息查询和选择的条款；还更进一步符合ePrivacy的要求，在应用程序中加入隐私性、端到端加密等安全性功能对用户通讯隐私进行保护。

总结：政治法律是企业在生存发展中要考虑的重要的外部因素，对当地的法律法规的遵循是企业得以继续成长和发展的保障。同时GDPR和ePrivacy对企业违反行为制定的全球营收2%的巨额罚款也是企业需要忌惮的。因而，按合规更新隐私条例策略是企业最基本的应对方式，也是最稳妥的方式。

4.“更进一步”——推广至全球用户

在积极遵循GDPR的企业中，大型跨国企业往往采取这一策略将其修订的隐私条款推广到全球用户范围中。

微软公司宣布其将根据GDPR更新其隐私条款并且该条款对全球用户均适用。在微软中国官网的隐私条款中也明确用户可以控制Microsoft所获得的个人数据，包括“通过Microsoft隐私面板来访问和清楚数据”。此外微软Privacy Dashboard中还新推出了Azure GDPR数据主体请求(DSR)门户、Azure条款、GDPR遵从管理器等工具以方便用户管理其数据。Azure Data SubjectRequest (DSR)允许企业在云端管理个人数据，并且将用户视为Azure服务的一部分并授权其访问系统生成的日志。

微软公司官网

同样地，苹果公司正努力将其隐私政策推广向全球用户。苹果中国官方网站的隐私政策于2018年5月22日更新，其中详细规定了苹果公司数据在世界各地传输所遵循的相应条款，以及针对13岁以下儿童信息收集规定等。除此之外，苹果公司还推出了一个全新的、关注隐私的门户网站https://privacy.apple.com，通过该网站用户可以对自己的Apple ID数据进行修正和删除，当用户提出彻底删除数据的申请后，7天内苹果公司会对其进行处理。

苹果公司隐私门户网站账户管理截图

苹果公司还将面向全球用户提供隐私管理工具，该工具可以帮助用户获得数据副本、修正数据、冻结账户和删除账户，目前该工具已经面向欧盟地区、冰岛、列支敦士登、挪威和瑞士地区的用户提供服务。

而Google在其5月25日更新的隐私条款中表明无论数据处理服务器置于何处，Google都按照统一的隐私条款提供保护措施。新条款赋予全球用户隐私管理的权力，特别是广告的设置。条款明确表明“不会根据敏感信息展示个性化广告”，同时“也不会与广告主分享可用于识别个人身份的信息”，用户还可以对个性化广告推荐的因素进行选择。此外，Google还采取多种措施，如传输加密、安全浏览、限制访问个人信息权限等方式以保证数据安全。

Google广告设置页面截图

总结：欧盟的《通用数据管理条例》最本质的核心在于保护欧盟地区用户不被在线监控，保护用户的个人隐私。对于微软和苹果这类大型跨国公司更加倾向于建立一个适用于全球市场的隐私条款，而非针对特定地区。一方面企业能够承担相应的技术、人力和时间成本，另一方面针对GDPR的隐私条款能够帮助企业有效地世界各国和地区应对越来越严厉的隐私保护要求。另外，更进一步的策略还能够帮助企业建立正面的企业形象，获取消费者好感，可谓一举多得。

后记： 

GDPR生效及相关企业的策略为更多的企业提供了重要的参考。而未来将会有更多的“GDPR”在不同的国家和地区落地实施，隐私保护真空地带将消失殆尽。另一方面，全球范围内消费者的隐私保护意识也在不断觉醒。因此，企业应该反思如何平衡惯用的运营手段和用户的隐私保护，从而为不断升级的隐私保护做好准备。

参考文献

[1] ePrivacy Regulation (May 2018 draft). /https://iapp.org/

[2] intersoftconsulting. General Data Protection Regulation （GDPR）. /https://gdpr-info.eu/ 

[3] Aadhaar. India’slandmark data privacy law won’t apply to the very cause behind its existence.

[4] Sadia Mirza,Ronald I. Raether, et., al. Not Your Average Privacy Law—Vermont EnactsNation’s Most Expansive Data Broker Legislation

[5] Anthony Drake. New Zealand: The power ofbig data and privacy reforms

[6] Tim Peterson.  WTF is the California Consumer Privacy Act? 

[7] Forbes. Microsoft Monday: GDPR ApplyingGlobally, Xbox 360 System Update Launches, June Xbox One Update.

[8] BBC. GDPR: USnews sites unavailable to EU users under new rules.

 作者 吴艾佳，黑狮内容实习生。本文是她在黑狮发表的第2篇内容，查阅了全球近60篇GDPR相关文献写成。黑狮创始人 Peter Chan 对本文提供了全程指导。

声明：本文来自黑狮社群，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。