“史上最嚴”隱私保護法案生效！數據安全能做到嗎？

扎克伯格接受質詢（資料圖）

　　5月25日，歐盟《通用數據保護條例》新規在28個歐盟成員國統一實施生效。與1995年實施的《個人數據保護指令》相比，這一版條例新增了不少對企業的要求，嚴格限制企業對個人數據的使用權，處罰力度更是空前加強，因而號稱“史上最嚴”隱私保護法案。

　　歐盟希望，通過這種嚴厲而細緻的規定，全方位地保護上網者的數據安全。換言之，未來大企業，尤其是互聯網公司在使用用戶數據前，必須先徵得用戶的同意。事實上，這部法律的影響範圍不限于歐洲，它為未來 10 年的全球數據保護打下了基礎。同時，它幾乎對科技公司用個人數據賺錢的所有環節進行了規定和限制，因而會對未來全球數字經濟産生深刻影響。

　　自從互聯網誕生之日起，如何保護個人信息安全就一直是爭議的焦點。近年來，隨著大數據産業的發展，用戶數據的深度分析與應用成為眾多互聯網企業的重點發展方向，隨之而來的，是上網者數據洩露和濫用的急劇增加。大到個人銀行賬號被盜，小到每天接到騷擾電話、垃圾郵件，無不與個人數據洩露有關。

　　也許是因為有著切身感受，歐盟立法者在這一版條例中，對個人數據安全做了全方位的細緻保護，其中不乏“釜底抽薪”的條款。例如，新條例要求，不管企業和組織位於哪，只要它們向歐盟居民提供産品或者服務，甚至只是收集或監控歐盟居民的相關數據，也必須遵守條例的規定。而此前的舊指令只對歐盟境內的企業提出約束。所以，新規定能夠有效堵住一些互聯網企業借助離岸公司逃脫監管的漏洞，同時約束社會組織洩露個人信息。從這個意義上，《通用數據保護條例》新規幾乎適用於所有公司和組織。

　　再比如，新條例還要求，各公司除了自身要遵守新規外，還必須對任何與其合作的供應商濫用相關數據負責，若後者違反規定，則實行“連坐制”。這一規定，就讓所有相關企業都無處可逃，必須共同參與到個人數據安全的保護中來，從而改變過去互相推諉的現象。 

　　此外，包括基本身份信息、網絡數據、醫療保健和遺傳數據、生物識別數據、種族或民族數據等在內的眾多類型隱私數據，都在新規的保護範圍之內，從根本上杜絕了互聯網企業模糊處理的可能性。對於生活中常見的問題，如垃圾郵件，新規更是詳細規定如果沒有得到客戶明確同意，任何公司都不能向客戶發送行銷類郵件，還規定各公司需要為其電子郵件設置雙重確認機制並加入發送系統，以清楚告知用戶會收集哪些數據，並徵得他們的同意。

　　從中不難看出，歐盟出臺這部新規，基於對互聯網的個人數據安全做的詳細研究，基於對互聯網企業的深刻了解。這一點，從歐洲議會近日對臉譜創始人扎克伯格的質詢中就能看出來。要知道，扎克伯格此前在美國國會接受質詢時，美國的議員們曾經鬧了不少笑話，以至於美國媒體批評説：“在21世紀的技術領域，許多美國議員都是‘文盲’。”但歐洲議會提出的問題顯然專業得多，也尖銳得多。比如，一位比利時議員諷刺扎克伯格針對數據洩露事件的道歉：“在過去的十年中，你一共道歉了15次或者16次，從2003年開始，每當你出現問題的時候，都會説對不起，會解決這個問題。這次你還會繼續這麼做嗎？”令扎克伯格極為難堪。

　　當然，由於歐洲議會擬定這一條例是在三年以前，當時大數據、雲計算、物聯網等新技術的應用還沒有現在這麼廣泛。同時，歐洲議會擬定條例時，主要是從保護個人數據安全以及保護個人隱私方面考慮，對産業發展、知情權、社會導向等方面考慮得不算太多。因此，新條例對互聯網産業可能會産生一定的衝擊。也許，在未來的實施過程中，歐盟還將對具體規定做出調整。另外，在各種新技術高速更新迭代的互聯網時代，立法過程如何跟上技術更新的步伐，是歐洲議會面臨的又一個問題。（文/宋濤）