当亚马逊遇上了GDPR 欧盟|谷歌|淘宝

文章插图
亚马逊“摊上”事儿了。
近日彭博社表示，因违反欧盟《通用数据保护条例》（GDPR），亚马逊可能面临7.46亿欧元（约合8.88亿美元）的天价罚款。这或将是欧盟有史以来最大的数据隐私泄露罚款。
7月30日，亚马逊在一份监管文件中，披露了卢森堡的数据保护委员会CNPD7月16日的决定。
该决定表示，欧洲的数据保护监管机构有权对亚马逊处以全球年销售额4%的罚款。不过，这笔罚款金额并没达到这个数。
堪称史上最严的个人信息保护法GDPR，可以说让欧洲各大企业“人人自危”。其中有一条规定就足以让企业“闻风丧胆”：如发现严重违规，最高可罚 2000 万欧元或企业上一财年全球营业总额的4%，以较高者为准。
昂楷科技CEO刘永波曾表示，GDPR除了天价罚单，最值得关注的点，应该是它作为一个专门保护个人信息法案的出台。普通的个体并不是这些信息保护法案的主要针对者，而GDPR第一次把目标明确地指向了相对弱势的个人。
普通用户的数据一直被滥用在过去十几年互联网的快速发展中，个人信息正在大规模地被各类企事业组织所采用，无论是打车、外卖、网购，还是在公共服务领域，都会大规模采集公民个人信息，近年来有关个人信息泄露的案例更是数不胜数，所以这个问题是全球各个国家都正在面对的。
而GDPR的到来，让人惊呼，从未有一部法案对个人信息的保护规定的如此周详。
【 当亚马逊遇上了GDPR】例如，我们身边经常出现过于精准的广告推送，在淘宝上刷到了偶款心仪的产品，结果在微博也看到了相关的推送。从广告匹配的实现原理上说，它是在用户访问网站时，在你的浏览器里写入一些 Cookies ，淘宝通过其广告平台来利用这些 Cookies 对应显示更为精准的广告。
虽说近年来我们已经对这种精准的广告推送习以为常，但这背后的操作在GDPR这里是违规的。
为什么说GDPR堪称最严？刘永波从授权、适用范围和撤回这三个具有代表性的条例来分析。
1、从授权来讲
数据的收集必须事先征得数据主体的同意，而且"同意"必须是具体的、清晰的，是用户在充分知情的前提下自由做出的，不能是以非常隐晦的手段。因为用户在这种情况下是处于弱势地位的，特别是一些常用的App，为了生活的便捷，很多人不得不选择同意。
比如国内企业常用的，以小字号淡颜色甚至缺省方式获取用户的授权，通过冗长晦涩的隐私政策来获取用户同意，或者让用户在签订业务协议时通过"打勾"作出一揽子授权，都可能被认定为违规。
2、对于数据使用的范围，更加严格
如果企业将数据使用的范围扩大，无论是将数据提供给了第三方，还是把数据作为企业对外服务的一部分（比如提供给广告企业作为营销推广对象，或者作为对外发布的报告中的案例），都必须重新获取数据主体的授权和同意。
以我们刚刚提到的淘宝和微博为例，根据GDPR的要求，如果以后遇到类似微博要用淘宝数据的情况，必须明确告知用户使用理由和范围。并获得明确同意。
3、GDPR赋予数据主体可以随时撤回同意的权利
如果这组数据已经传播出去，或者给第三方使用了，企业还有责任通知数据的使用者删除。
比如在知乎上发帖，如果牵扯上他人隐私，当事人要求删除，如果按照GDPR的条例，该帖子必须删除。
可以这样说，GDPR赋予了数据主体更为明确的同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的权利和自由。
也许有人会认为，如此严格的GDPR会妨碍部分企业的发展，对于手握大量数据的公司而言，很难办。
刘永波表示，对于在海外开设分公司的国内企业，只要为欧盟境内的数据主体提供了服务，即使其在欧盟境内没有设立任何分支机构，也依然受到GDPR的管辖。
GDPR的到来，对于企业而言，无论与通讯有关的厂商，还是为用户提供服务的App公司，未来在数据的收集、驻留尤其是在云上的数据流转和使用，将会更为严格。比如为了达到更为明确的知情权，企业就要重新搭建一个新的系统，让用户选择同意与否，这些都会增加企业的成本，而这些成本，未来还是要转移到用户身上的。
为了合规，也需要很多厂商一起拿解决方案，众多产品和技术要重新规划，不过整个欧盟用统一的规则也避免了企业根据各个国家的不同要求而进行调整。
从长远来看，GDPR对行业的发展是有好处的。