视频截图

当地时间5月25日，欧盟制定的首部《通用数据保护条例》（GDPR）正式生效。该条例不仅适用于所有欧盟国家，而且针对在欧盟运营的第三国企业拥有域外法权。欧盟委员会在声明中强调，欧盟要通过这部法律“宣示其数字主权并为数字化时代做好准备”。该条例被视为“史上最严”数据监管条例。一方面，它对于“合法”的定义极为严苛，还赋予了数据主体广泛的数据权利和自由。另一方面，它设定了天价罚款，对于违法行为，轻者处以1000万欧元（约7500万人民币）或者上一年度全球营收的2%（两者取其高）的罚款；重者处以2000万欧元（约1.5亿人民币）或者企业上一年度全球营收的4%（两者取其高）的罚款。

欧盟委员会的近期民调显示，超过2/3的欧洲公民对其个人网上信息可能被滥用感到担忧。今年4月被曝光的“脸书”平台个人信息泄密丑闻引发包括欧洲在内的国际社会一片哗然。据英美媒体援引内部人士举报称，英国“剑桥分析”公司利用大型社交媒体“脸书”平台获取并滥用多达8700万用户信息，并将其用于影响2017年美国总统大选。5月22日，“脸书”公司创始人兼首席执行官扎克伯格在布鲁塞尔接受欧洲议会质询时，专门就泄密丑闻向欧洲用户公开致歉。

欧委会副主席安西普表示，近期曝出的多起网络数据泄密丑闻充分表明，实施更加严格、明确的数据保护法规势在必行。安西普强调，强有力的数据保护法规是构建欧盟数字单一市场和促进网络经济繁荣的基础，《通用数据保护条例》的颁布实施既有利于保护欧盟公民隐私也有助于欧洲企业在统一的法规下运营。

欧盟负责司法、消费者保护和性别平等事务委员尧罗娃一针见血地指出：“个人隐私堪比21世纪的黄金，我们的一举一动几乎都会留下个人信息的痕迹，而在毫无隐私保护的数字空间，人们就像是在水族馆里裸泳。”尧罗娃表示，随着《通用数据保护条例》的实施，欧盟消费者得以重拾处理个人信息的控制权，而所有涉及欧盟公民隐私的企业都将被置于严格监管之下。“欧盟不仅通过这一法律宣示数字主权并对未来数字时代做好准备，”尧罗娃强调，“而且将为个人隐私保护立法树立一个全球性标准。”

2016年4月，欧盟就数据保护法律框架作出重大改革，以新颁布的《通用数据保护条例》取代已经沿用20多年的《1995数据保护指令》，从原来34个条款扩展到99条。《通用数据保护条例》详细制定了欧盟企业和非政府组织等机构收集、储存、处理和转移个人数据的相关规则，被视为欧盟强化数据保护立法的重要里程碑。根据该条例相关规定，滥用或不当处理个人数据的企业，最高将被处以2000万欧元或相当于年收入额4%的天价罚款。作为个人用户，《通用数据保护条例》带来的最直观影响就是企业对数据处理变得更加谨小慎微。近期，中国青年报·中青在线驻欧盟记者每天都会收到很多企业、智库和非政府组织发来的邮件，根据《通用数据保护条例》的规定请求记者授权其继续保存和使用个人基本信息。

值得注意的是，《通用数据保护条例》不仅涵盖欧盟全境，而且针对与欧盟相关的第三国企业和机构同样具有法律效力。该条例第一章第三条明确规定：本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。全球最大社交媒体公司“脸书”的总部虽然位于美国加州，但其创始人和总裁扎克伯格日前在接受欧洲议会质询时就主动承诺将严格遵守欧盟《通用数据保护条例》。另据美欧媒体报道，包括《洛杉矶时报》和《芝加哥论坛报》在内的多家美国知名新闻网站宣布自5月25日起，暂停面向适用《通用数据保护条例》的欧洲地区的服务。

针对欧盟实施《通用数据保护条例》的意义和影响，专家表示，应当客观理性地加以分析，既不必谈虎色变，又需要妥善应对。中国国际商会驻欧盟总代表陈敏告诉记者，《通用数据保护条例》主要解决欧盟成员国此前在数据保护法规方面的不一致和不清晰的问题，为建立欧盟单一数据市场、促进电子商务在欧盟范围内的进一步发展提供坚实的法律基础，为提升数字经济核心竞争力，特别是迎接人工智能和通信5G时代抢占规则制高点。陈敏认为，《通用数据保护条例》力求通过平衡立法处理好个人信息保护和企业运营需求之间的关系，欧盟这一做法对包括中国在内的世界各国数据保护立法具有借鉴意义。

陈敏表示，《通用数据保护条例》的相关规定看似复杂，但其实中资企业只需要把握好两项原则即可：一是，尊重个人数据，将它当成人身权和隐私权的一部分，切不可擅自处置，更不能以泄露用户数据非法牟利；二是，在处理和使用数据过程中，遵循合理性和负责任的原则，加强保护，一旦发现问题要及时沟通和纠正。

鲁传颖：欧盟实施“最严数据隐私法”蕴含风险

号称史上最严、影响范围最广的欧盟《一般数据保护条例》(GDPR)于5月25日开始实施。GDPR以个人隐私保护为出发点，对互联网用户数据的收集、存储、使用、传输、转让、披露和废弃等全生命周期所涉及的安全问题作出了严格规定。在数字时代，不仅互联网企业，连传统企业都不可避免要受到其管辖。因此，GDPR虽然看似主要针对个人隐私保护，但同时对网络安全、数字经济亦有巨大影响，背后反映了欧盟在网络空间的战略意图。

GDPR可被视为欧盟综合应对大规模网络监听及其他网络问题的重要抓手。在正式实施的当天，欧盟委员会官方推特发文宣告欧盟重新控制了自己的数字主权。欧盟在网络安全和数字经济上高度依赖美国，在网络空间中一直缺乏与其现实世界地位相称的话语权和影响力。GDPR的实施不仅会对欧盟本身，而且会对全球网络空间产生重要影响。从这种意义上来说，欧盟通过GDPR的实施建立了自己的话语权，提升了自身在网络空间中的影响力。

但长期来看，GDPR对于欧盟的网络空间战略而言并非没有风险。首先，从企业成本来看，GDPR大幅增加了数据收集和使用的成本，大型互联网企业也许能够将成本转移给用户，但中小企业则面临重要的成本压力，从而影响初创企业和创新。很多欧盟之外的中小企业出于成本原因干脆停止了在欧盟市场的商业活动。

其次，欧盟本身缺乏在全球有影响力的互联网企业，GDPR对创新的压制会进一步降低欧盟产生全球性互联网企业的可能，同时还会阻碍现有国际互联网企业未来在欧洲的业务发展。作为数据保护的“高地”，欧盟过于前瞻性的政策，有可能引发的后果会让欧盟成为全球数据流通的孤岛。

再次，虽然在正式实施前欧盟给了两年缓冲期，但实际上企业对于如何能够满足条例的要求还是一头雾水。从现行数字经济一直依赖的经营模式来看，GDPR的相关规定极为严苛，从根本上改变了产业的运营模式，需要对产品流程做出重大改变。条例实施当天，就有新闻报道谷歌和脸书因触犯条例被告，可能的罚款金额高达几十亿美元。相信有很多企业在观望，未来是否会将欧盟作为业务的重心。

最后，欧盟按照自己的标准对全球各国进行认定，只有被欧盟认可的国家，企业才能进行无障碍的数据传输，否则就需要通过繁琐和充满法律风险的程序。由此带来的后果就是，其他国家也会同样采取措施来限制本国数据向欧盟流通。由此带来的互联网“分裂”，最终影响的还是普通网民。未来，欧盟将会在政治上承受其他国家指责其以保护隐私为名，增加贸易壁垒的压力。

网络空间一直面临着自由与秩序、安全与发展的辩证逻辑，任何政策都要进行权衡。GDPR最终是将欧盟塑造成网络空间中的强者，还是数据孤岛，需要时间来证明。（中国青年报、环球时报）