你看得见或是看不见，它已经来了；号称史上最严数据保护法的“欧盟通用数据保护条例”（GDPR）已于本月25日正式实施。

对于从用户处收集的任何个人数据，GDPR要求必须有明确的同意和理由，这些规定已经促使几乎所有互联网公司修改他们的隐私政策和数据收集行为。但是，欧洲监管机构将如何处理这些要求，仍存在广泛的不确定性，许多公司仍然没有针对该法规做好准备。

为了符合GDPR，谷歌和Facebook都推出了新的隐私政策和产品，但Schrems认为这些政策还不够。它的诉讼特别针对两家公司获得隐私政策同意的方式，即要求用户选择“同意”选项以获取服务，否则就不能使用服务。对于在线服务来说这是一种普遍的做法，但是Schrems认为它迫使用户进行“要么全赢，要么全输”的选择，“不同意就拉倒”，这违反了GDPR关于获取同意的规定。

Schrems告诉英国《金融时报》，这两家公司现有的许可制度显然不符合要求。“他们完全知道这是违规的行为，”他说， “但他们甚至没有试图掩藏。”

这些诉讼分别针对具体的产品，其中一起是针对Facebook，另外两起针对Facebook旗下的Instagram和Whats App子公司。第四起诉讼则针对Google的Android操作系统。

这些诉讼要求法国、比利时、德国和奥地利的监管机构对这几家公司进行罚款。根据 GDPR 的规定，违反该法律的公司将面临最高2000万欧元或全球年度营业额 4%的罚款（两者选其中最高者）。按此规则计算，若欧洲的监管机构认为这几家公司违法，谷歌的母公司 Alphabet 最高将面临 37 亿欧元罚款，Facebook 及其两家子公司 WhatsApp 和 Instagram 分别最高面临13亿欧元罚款。

不过，只有在欧洲监管机构同意的情况下，这几张巨额罚单才有可能开出。

Facebook和谷歌公司都对这些指控提出质疑，认为现有的措施已足以满足GDPR要求。谷歌在一份声明中表示：“我们很早就将隐私和安全性融入到我们的产品中，并致力于遵守欧盟的GDPR。”

Facebook的辩解与谷歌的类似，声明中说：“过去18个月以来我们都在准备，以确保我们符合GDPR的要求。”

它究竟严在哪里呢？腾讯此前通知其欧洲用户，将于本月暂停向欧洲用户提供服务，腾讯这样的大鳄竟然会放弃欧洲五亿用户？GDPR究竟有多可怕？

GDPR虽然是由欧盟颁布，但其是属人原则，影响力不仅局限在欧盟（包括英国）境内，而是对所有以欧盟公民为市场的所有企业都具备约束力。且，GDPR的惩罚机制是有史以来最为严厉的——违背GDPR者处以2000万欧元或者企业上一年度全球营业收入的4%，两者取其高。

其实早在去年我国颁布实施的《网络安全法》中就明确了对个人数据的保护条例。为何GDPR能够引起如此大的轩然大波，而国内网络安全法却如此低调？

GDPR跟中国网络法的区别，首先，我国的网络安全法是属地原则，法律只适用于国内，而GDPR是属人原则，不受地域限制。

最大的区别在于思想意识的执行，我们中国法律都是很健全的，但是在执行上有没有这个意识。国内企业及用户法律意识淡薄，爱打擦边球。

近些年我们国家为什么创新会多一点？一般会制定一个框架，然后慢慢的有实施细则，所以一开始给你一个模糊的概念，这个东西可能有风险的，但是具体怎么执行，这个东西算还是不算，要未来多少年以后才能定论。

比如说我们在互联网里经常会用到cookie，像我们做广告营销都会用到cookie，cookie算不算个人数据？在我们国家的实际情况，几年前百度有一个案子，就是有一个用户告百度，说你用我个人信息了，所以老给我推广告，我感到非常不舒服。最后二审的结果，法院给的判决是个人数据不算隐私，所以原告就没有胜诉。

通过跟一些律师做一些行业里的探讨，从监管机构的角度来说，cookie未来在中国一定会被认为是个人数据，但是在目前这个阶段，它还是属于比较模糊的地带。

在中国目前做是没有问题的，但是去欧洲的话会罚到你哭。这是一个非常大的系统性的工程，因为GDPR要求你去遵循默认你系统设计的时候，在每个过程的步骤里都要执行对个人数据保护的责任，在所有步骤里都需要做一些记录，如果不能证明你做了这些记录，你就没有尽到你的义务。

比如个人数据还可以携带，我在你这里存的数据需要拿出来，换一个运营商也好，你就要随时能够给我，我猜大部分企业之前没有做过这种迁移的话，他根本没有这个东西，现在有了这个法律这么定了，就要在方方面面做到和它相一致，所以这是非常巨大的挑战。

但是也有一个好处，当你能够在一个非常严苛的法律条件下都能够合规的话，可以在全世界任何地方放心做生意了。