数据的价值在于活动，但欧盟正爲其加上诸多限定和桎梏，「如何均衡数据利益与数据法律的天平」已成爲全球性企业的中心议题。

上周，布鲁塞尔的欧洲议会室里洋溢在风声鹤唳的紧张气氛，扎克伯格开端承受新一轮的盘诘——这次是欧盟机构。三天后，欧盟团体资产维护新法 GDPR (General Data Protection Regulation) 正式上路，扎克伯克的「浅笑战术」将不再管用。

这部欧盟「史上最严」数据维护法案在 5 月 25 日正式失效，因其适用范围最广、定责条例最严、处分金额最昂贵的「三最」惹起各方的高度关注。「GDPR 爲将来十年的全球数据维护定下了根底，它简直对科技公司用团体数据来赚钱的一切环节停止了规则和限制。」《连线》杂志对其评价。

GDPR 对团体资产的定义停止了十分普遍地掩盖，「除团体电话号码、地址、安康材料、电子信箱等之外，像是指纹、人脸辨认、视网膜扫描、线上辨识码以及线上定位材料，如 Cookie、IP 地位、举动安装 ID 等，全都归入个资范围。」安侯法律事务所执行参谋翁士杰剖析道。

就影响范围而言，GDPR 不只适用在欧盟设立子公司或分公司的企业，也适用一切有处置欧盟居民个资的欧盟境外企业。这意味着，企业规模无论大小，横跨效劳、科技、制造、金融产业，都无可防止会遭到影响。

作爲全球第三大经济体，希望翻开全球市场的企业想要绕开欧盟简直不能够。只需企业有电脑零碎、伺服器及员工运用手机，都能够触及 GDPR 标准，其中无法预测的不确定性终究成爲风险。

靴子落地：闪转腾挪还是直面应对？

从 2016 年至今，欧盟曾经预留了足足两年的工夫给相关企业停止过渡和调整。但如今，当真金白银的罚款数额发布后，很多公司还是一片手忙脚乱。

调查显示，大局部企业能够还没有做好预备。爲防止违规风险，一些企业只能选择在欧洲暂停拜访更爲平安，至多目前是这样。

依据数据剖析公司 SAS 的调研，全球仅有不到一半的企业（49%）表示他们能按期到达 GDPR 的合规要求。不少小公司由于缺乏资源和指点，依然处于张望形态。间接推广协会（DMA）研讨也发现，只要 15％的推广人员置信他们的业务契合 GDPR。

果不其然，法案失效的第一天，Facebook 和谷歌便遭到了起诉。

奥天时运动人士Max Schrems以守法运作爲由，辨别对谷歌（Google）的安卓零碎、脸书（Facebook）及其旗下的 Instagram（IG）和 WhatsApp 的子公司提起诉讼，一共是四起。

在诉状中，施伦斯表示，这种只能「承受或拉倒」的方式，违背 GDPR 让民众可自在选择能否允许企业运用他们的个资。

诉讼要求法国、比利时、德国和奥天时的监管机构对这几家公司停止罚款。依据 GDPR 的规则，违背该法律的公司将面临最高 2000 万欧元或全球年度营业额 4% 的罚款（两者取其高）。

按此规则计算，若欧洲的监管机构定性成守法，谷歌的母公司 Alphabet 最高将面临 37 亿欧元罚款，Facebook 及其两家子公司 WhatsApp 和 Instagram 辨别最高面临 13 亿欧元罚款，其金额迫近反垄断法的处分力度。

此前，业界估量欧盟一年内收到的罚金能够到达 60 亿美金（51 亿欧元）。如今看来，这个数字很能够被低估了。

隐私维权人士平心静气提起诉讼，数据维护监管机构也正预备挥起执法大棒。

欧盟最高隐私监管担任人本周正告称，能够会很快有企业遭四处罚。新上任的的欧洲信息维护委员会 (European Data Protection Board) 担任人 Andrea Jelinek 表示：可以一定的是，这跟本不必等到几个月之后。

人心惶惶的不只要国际巨头，中国厂商的举措和回应也变得积极起来。

往年 4 月份，QQ 国际版就曾经在欧洲暂停运作。公告显示，欧洲地域将在晋级到下一个版本之后才干恢复运用，但并未就详细上线工夫做出阐明。

「早在 2014 年，小米就成立了隐私委员会，和官方认证机构展开隐私维护相关业务。到 2016 年，MIUI 操作零碎和小米网的国际版和国际版都失掉了 TRUSTe 隐私认证。」小米首席架构师、人工智能与云平台副总裁崔宝秋博士在承受第一财经采访时表示。

虽然如此，小米旗下生态链企业的小米智能灯（YeeLight）还是由于无法及时契合 GDPR 法规而自愿封闭效劳。当智慧灯炮一秒退步成普通灯泡，有人疑心是由于该电灯会记载运用者的开关灯纪录。

Yeelight CEO 姜兆宁则在回复中否认了此行爲，并表示封闭数据效劳是基于 GDPR 关于非欧盟地域公司的 API 测试规则所致，只是暂时下线。

这让成绩开端线聚焦在物联网企业在数据搜集的合规性上，其中能够触及到智能家居、智能机器人、无人机、智能穿戴等一众中国创业公司。

「大疆在欧洲市场的一切运转正常。我们和数据打交道，但我们并不会触及到数据隐私或许「团体数据」」大疆公关总监谢阗地向极客公园表示，「数据处置都在本地停止。」

而现实上，去年大疆曾遭到美国陆军（US Army）关于「网络平安破绽」的指控，还一度要求各部门停用大疆无人机。随后，由美国国度陆地和大气管理局 (NOAA) 出具的数据平安报告，确认大疆无人机在飞行途中没有搜集任何数据，才得以让指控停息。

在这个案例中，大疆次要经过第三方的数据机构来调查证明企业的数据平安成绩。

目前，爲配合高空飞行监管，所属美国和中国地域的无人机用户曾经强迫实行实名认证。面向欧洲市场，大疆方面表示，实名制的执即将依据每个国度甚至国度里不同省份地域的要求确定，大疆次要以配合爲主。

关于用户的飞行轨迹等数据，大疆方面回应，除非是用户自动提交做飞行剖析，否则不会触碰该类数据。凭仗多年的海内市场实战经历，大疆在面向比国际更爲严苛的市场环境时显得愈加自若。

在极客公园与优必选、出门问问等绝对更爲年老的创业公司就如何应对 GDPR 停止交流时，他们的应对战略和态度更爲积极和自动——次要采取多管齐下的方式，包括从设计流程，业务运营以及关键硬件等三个方面动手。

首先，爲了应对 GDPR 更爲严苛的新规，公司在运营层面都迅速成立了专题项目组，包括由专门高管担任 DPO（数据维护官员），同时增强相关人员的教育，进步数据维护认识。

在 GDPR 的细则中曾经提到，相关公司必需设立 DPO 岗位。假如组织是公共机构，正在停止需求活期或零碎监控的加工业务，或许有大规模的加工活动时，这点愈加重要。

在商品设计流程层面，出门问问 CEO 李志飞向极客公园表示，公司曾经从数据加密、脱敏及分类分级管理上展开了相应措施。在商品设计上需求停止特定优化，以保证用户可以去完成 GDPR 要求的用户权益比方删除、更正用户信息、撤回赞同等。

谈到 DGPR 落地后关于公司在欧洲市场的影响，优必选 CEO 周剑对极客公园表示，「在协作同伴的挑选进程中将愈加严厉，要求协作同伴在触及到相关条例时也必需合规。」

协作同伴的调整必将在一定水平上影响原有的市场推进效率，周剑以为，这是施行全球化战略必需要阅历的。

「GDPR 对公司在欧洲市场的运营一定会有影响，」李志飞引见道，比方原来的 opt-out 需求变为 opt-in 形式；对用户权益的维护上愈加片面了，比方说需求提供通道给用户删除其信息以完成 GDPR 的被遗忘权。

依据业内不具名的人士剖析，在触及到物联网、互联网这种自身存在数据生意的范畴，运用一些通用协议的厂商需求等候更新。而运用公有协议，或许说自主技术的公司则不会有太多影响。即使有的确需求调整的，调整本人的协议也很快的。

关于预备积极投身全球市场的互联网企业而言，国际过于野蛮生长的市场环境和「中国式」的快节拍开展实践上掩盖了很多成绩和破绽。

「像是以前国际软件厂商推行的全民开机工夫 PK，在欧洲是不可想象的，由于那完全触及到团体隐私。国际很多博噱头的运营方式在欧盟新规下就未必适宜了。」

可以说，GDPR 对数据隐私的局部维护条款甚至有违犯我们的「常理」，而这又是出海企业不得不面对的成绩，否则只能保持欧盟市场，所以才更值得企业的指导层面以及商品业务的设计者注重和学习。

「重灾区」

更新后的 GDPR 法案长达 91 个条文，共 204 页，我们很难在此逐个赘述。参考专业人士剖析，前中国挪动业务支撑零碎部经理、通讯行业老兵宁宇在其团体主页上的剖析，GDPR 影响最爲重要的约束包括两个方面：

其一，依据 GDPR 的要求，处置团体数据必需要有合法理由和方式，而关于"合法"的定义十分严苛。

除了拓宽「团体数据」的范围、并将高度维护团体隐私的「数据可携权」和「被遗忘权」明白写入法条之外，GDPR 还强调了数据维护要由「属地」向「属人」转变。

这意味着，条例的适用范围不再局限于欧盟境内，任何企业只需向欧盟市场提供商品效劳，搜集或处置团体数据，都遭到管辖。无疑，这对从事数据搜集和处置的企业及其产业链，都提出了极高的要求。

其二，GDPR 中明白定义了数据主体的权益，在爲团体无效行使权益提供法律保证的同时，也对企业处置和运用数据提出了苛刻的要求。

这意味着，那些拿客户数据打标签做画像的创业，将被要求地下其根本算法逻辑和运算后果！

除此之外，目前抢手的大数据剖析公司，因个资维护范围更广，想运用 AI 工具做材料剖析的运作空间，也将大大缩水。

爲此，来自剑桥和伦敦大学学院的创业团队 MediaGamm 则给出一条不错的思绪模型。这是一家在线用户行爲预测公司，基于特定的算法对广告技术公司的竞价算法停止优化，协助广告主深度发掘媒体数据，进而优化广告投放方案。

MediaGamm CEO Rael Cline 在承受采访时表示，「我们必需做出改动以确保能恪守 GDPR，其中包括限制我们持有受权数据的工夫，以及确保在客户要求删除特定记载时可以应对。」

Rael Cline 还也提到了使用 Look-a-like 类似人群扩展的方式来提升用户精度，与此同时，降低关于用户基数的要求。这和当下倡导的小规模数据模型很类似。

例如，在线广告行业中，随着赞同（企业新隐私条款）的用户数量的增加，可以使用人工智能来对这些已赞同的用户的行爲停止建模，然后依据共享属性找到类似的用户。

在云效劳层面，云计算倡议多层次衔接和互用组合的理念与 GDPR 的「有迹可循」要求存在着不可谐和的矛盾。GDPR 对数据的控制者和数据的处置者都提出了异样的要求，共同承当起数据平安维护的责任，但这同时触及到云效劳的提供商和云计算的客户两个环节的权益。

在云效劳的根底设备效劳、平台、使用三个层级间，数据的流通和空间的共享等复杂多线程成绩终究该获得哪些人的赞同还很难说清楚。

一名英特尔的参谋就忧心肠指出，欧盟的 GDPR 次要用来限制团体材料运用，却没有树立一套规则帮助重度运用材料的公司运作。

就当下而言，最爲重要的是还是爲用户争取到最根本的删除权、知情权等。

阿里云表示，其商品规划中服从默许隐私设计（Privacy by Design）标准，已提供帐号删除功用，全球客户可以自助操作完成。一切新宣布的云商品上线之前，也都经过平安与隐私设计的双重评价。

微软泄漏，曾经爲 GDPR 项目投入 1600 多名工程师，他们将爲全球客户提供正在爲欧洲建立的契合 GDPR 的工具，微软的客户可以检查、删除和挪动他们的团体数据。

数据「严法」的下一站：不止于欧盟

GDPR（《通用数据条例》）的原型最早可以追溯到 1995 年欧盟公布的《欧盟数据维护指令》。

正是由于当下的网络环境与 1995 年的法案树立时曾经一模一样，所以在《欧洲普通隐私指令》公布的 20 年后，《普通数据维护条例》予以制定。欧盟经过单行法（GDPR）来掩盖各行各业的团体信息处置行爲，在日益增长的数据驱动时代下，相较于维护团体数据更爲重要的是彰显维护根本人权的理念。

现实上，欧盟之后再立数据严法的潜在地域曾经可以想象。「这部法案不只关于北美，关于亚洲、海湾阿拉伯地域的数据维护都有参考意义。」业内人士向极客公园剖析道。

在扎克伯克现身美国国会承受数据泄露丑闻事情质询时，民主党首领 Frank Pallone 就曾建议，「我们需求片面的隐私和数据平安立法」，作爲在社交网络上呈现本国搅扰时，「维护我们的民主」的步骤，国会议员们也重复提及 GDPR。

有剖析人士以为，欧盟过来订出的环保规范最终成爲全球规范，如今迈入物联网时代，大数据剖析传输曾经无可防止，面对这项号称史上最严厉的材料维护令，企业要有心思预备，GDPR 十分有能够成爲材料维护的全球通用规范。

出门问问李志飞及其法务则提到，在通用性数据维护方案的普及成绩上，还需求留意到国度层面的数据战略方向。

他们表示，欧洲与美国关于数据/隐私维护与科技开展的思想是不一样的，以人工智能爲例，全球都处于开展人工智能的浪潮中，欧洲采取人工智能法律和伦理规则先行，曾经试图用正确的价值观来约束技术开发与使用。

而美国仅在人工智能有法律提案时，更多触及如何促进技术创新使用，停止预先监管加自律，以最佳理论来回应各种应战，最初立法。GDPR 对团体隐私的维护力度之片面，该当是有标杆作用的，但各国能否会完全依照欧盟的做法来参照，这点是不一定的，还要详细取决于国度对数据维护的战略性方向。

但是数据的流通性必定触及国度间的数据跨境活动，这一定会对北美甚至全球都带来一定的影响，也会爲其他国度改善监管思绪与数据立法起到一定的参考意义。

「单挑」黑盒子

在 GDPR 数据法案落地的同时，也激起了学术界的热烈讨论。GDPR 一项关于强调「通明处置准绳」的条例，近乎将深度学习算法推上了原告席的地位。

往年初，华盛顿大学计算机迷信与工程学教授 Pedro Domingos 就曾在 Twitter 上说道，GDPR 要求算法有可解释性，这让深度学习成了守法行爲！

在 GDPR 的条例中明白表示，针对「团体化自动决策」赋予用户恳求解释、回绝适用的权益，换句话说，就是将近年来学术讨论逐步热络的「可信任／解释的人工智能」间接归入法律，试图惹起片面性的注重。

但实践上，机器学习，尤其深度学习，有如在黑盒子内停止的进程，就像人类的神经网路，终究如何决议数据的关联性与权重以构成决策，向来是个难解的谜团。

爲此，企业至多需求有才能在足以维护用户权益的范围内，扼要阐明怎样的数据会招致怎样的决策、数据的变化如何影响决策的变化，并赋予用户可以回绝适用、表达意见、介入判别的权益。

举例来说，假如线上团体保险业务完全透过算法，自动决议用户的保费金额，企业必需可以阐明如何计算保费上下？是由哪些要素所决议？例如，是遭到用户年龄、安康情况、驾驶习气、肇事纪录等要素影响。而假如用户以为权益受损，则可以表示异议。

但同时也有剖析人士指出，这能够减轻算法中作弊的能够。

另一方面，最小限制应用团体数据准绳的提出，爲企业在数据层面的评判和算法才能提出了更高要求。「即便在大数据条件下，小局部人删掉数据之后，用小数据也要可以学会大智慧。」微软首席语音迷信家、IEEE/ACM 双科院士黄学东向极客公园表示。

而边缘处置方案则防止了数据穿插运用的能够。如今，苹果、华爲等手机巨头厂商纷繁推出自研芯片，正在试图将此前在「云端」处置的操作转移到设备端的本地完成。

华爲欧洲西局部公司首席推广官 Andrew Garrihy 承受采访时表示，挪动 AI 让我们可以在设备中执行少量 AI 计算和智能。这意味着十分敏感的团体数据将不再需求去云端。公用芯片能够成爲一种协助消费者控制本人的数据完毕地位的工具。

在物联网和人工智能时代，数据的微弱动力——「数据就是新的石油」的认知被越来越多人承受，但与此同时，我们无法关于数据滥用和违规的成绩视而不见，爲规整步伐而降低速度的做法将成爲政府的折中选择。

爲迈过这段过渡期，献上明日法律事务所掌管律师王琍莹的锦囊一副——「统筹天平的两端，在战略方向上，必需掌握数据作爲商业竞争的致胜关键，而在执行层面，仍应落实团体材料归团体控制的准绳，不能偏废。」 ■