GDPR“快刀”威慑广告服务商全球互联网巨头严阵以待
21世纪经济报道 杨清清 北京报道
在大型企业中,GDPR的“快刀”首先可能挥向谷歌和Facebook。据了解,Facebook及其子公司WhatsApp、Instagram以及谷歌均在GDPR生效首日面临相关诉讼,起诉来自奥地利隐私活动家MaxSchrems。
GDPR冲击波
5月25日正式生效的欧盟《通用数据保护条例》(GDPR),令全球企业严阵以待。5月25日当天,多家美国知名新闻网站中止了在欧洲范围内的新闻服务,不少游戏公司也纷纷暂时退出欧盟市场,当然,全球巨头则调整隐私政策以应对GDPR。中国涉欧企业也同样受到GDPR的约束,腾讯、阿里巴巴、华为等均采取了相应的政策应对,而短期难以适应规则的公司则选择暂时退出。不过,欧盟相关监管机构或首先将大棒挥向大型企业,谷歌、Facebook均在GDPR生效首日面临相关诉讼。从行业影响来看, GDPR生效后,面临最大挑战的是广告技术企业。因为GDPR相关条例直指广告数据收集和推广, 大数据、云计算领域也将受到重大影响。(张星)
在大型企业中,GDPR的“快刀”首先可能挥向谷歌和Facebook。据了解,Facebook及其子公司WhatsApp、Instagram以及谷歌均在GDPR生效首日面临相关诉讼,起诉来自奥地利隐私活动家Max Schrems。
于当地时间5月25日正式生效的欧盟《通用数据保护条例》(GDPR),令全球企业严阵以待。
截至生效日,许多公司对GDPR的应对准备并没有到位。5月25日当天,多家美国知名新闻网站均中止了在欧洲范围内的新闻服务,其中包括《洛杉矶时报》、《芝加哥时报》、《芝加哥论坛报》、《纽约每日新闻》、《奥兰多哨兵报》、《巴尔的摩太阳报》等。
游戏厂商同样反应强烈。5月初,开发商Edge of Reality工作室宣布,旗下第三人称射击游戏《枪械师》将于5月24日关闭服务器。韩国大型在线游戏《仙境传说》同样关停了欧盟地区的服务器。
其他企业亦阵痛连连,纷纷做出反应。据21世纪经济报道记者不完全统计,包括YouTube、Twitter、Instagram、谷歌、Facebook等巨头,均对GDPR生效给出相应措施,或更新服务条款,或暂停欧洲地区业务。尽管GDPR是由欧盟发布的,但却是牵动了全球每一家大型企业神经的规定。
“GDPR全球适用。无论公司总部在哪里,无论数据存储和处理地点在哪里,只要与身处欧盟的人做生意,或者监视欧盟公民的行为,就必须遵从GDPR。”Veeam中国区总经理施勤告诉21世纪经济报道记者,“再进一步解释:只要收集欧盟公民的数据,就要受到GDPR的管辖。除非公司非常严格地排除了欧盟市场,否则还是得处理GDPR合规问题。”
紧急授权
电子邮件爆满,是欧盟用户对GDPR生效前后最直接的观感。
“欧盟GDPR正式生效前后,每个邮箱至少收到十封电子邮件,主题都是关于更新最终用户许可协议(End User Licence Agreement,EULA)的。”一位身处欧盟区域的用户向记者无奈道。
根据最新生效的GDPR,机构和企业必须先获得用户明确授权才可收集和使用其个人信息,包括姓名、地址、生日、信用卡、银行、医疗信息、位置信息、IP地址等等。值得注意的是,GDPR中规定,对于个人数据的解释权属于伴随GDPR成立的数据保护委员会,同时属于数据个体。
该条例还赋予用户“知情权”、“修改权”和“被遗忘权”等,消费者有权知道自己的哪些数据被企业保存,如果信息错误或不完整,用户有权要求更改,此外,用户还可要求企业或机构删除其个人数据。
数据显示,欧盟约有5亿网民。一旦违反GDPR规定,相关企业将面临最高达全球年营收4%或者2000万欧元(约1.5亿人民币)的巨额罚款。这也无怪乎各家企业为何如此谨慎:4月25日,Twitter、Instagram和域名注册商GoDaddy分别向用户发送邮件,表示将更新旗下产品服务条款和隐私政策;5月初,Facebook宣布重大更新,允许用户选择拒绝Facebook收集他们的浏览历史记录。
自5月21日起,YouTube将不再支持欧洲预订购买的第三方广告服务,并且有可能将这项政策推广到全球。苹果公司的隐私政策于5月22日更新,表示制定了涵盖如何收集、使用、披露、转让及存储用户信息的隐私政策。谷歌则在GDPR生效前一天在纽约办事处对70家媒体和广告公司表示,该公司的合规计划正在推进,他们还会在6月和8月发布额外的工具来帮助内容发布商。
“微软公司有超过1600位工程师参与GDPR有关的项目,对开发工具、系统、流程进行了大量的重新设计,来确保其符合GDPR相关规定。”在接受21世纪经济报道记者采访时,一位微软方面人士表示。围绕GDPR,该人士称微软承诺提供充分满足合规要求的技术、严格履行合同义务及进行积极的经验分享。
尽管大企业已有反应,但更多企业仍未做好准备。“据Sophos去年下半年在英国针对IT决策者的一项调查显示,超过半数的企业承认对GDPR及其可能引发的财务风险并不了解。”Sophos公司中国区总经理钟明辉向21世纪经济报道记者坦言。
而对于这些企业而言,违规问题可能严重到关系着生死存亡。“一旦遭遇GDPR处罚,超过25%的企业声称会让其彻底倒闭;如果企业规模不足50人,将有超过一半的企业受处罚后会关闭,而且40%的IT决策者表示裁员将不可避免。”钟明辉表示。
“快刀”将至
对于中小企业而言,好消息是,GDPR实行之初紧盯的是大型企业。
据报道,一位欧盟官员表态,新规施行初期会紧盯大型技术类企业,因为它们凭借大量用户数据吸引商家“精准投放”广告,以实现盈利。该官员透露,欧盟会给小型企业更多时间适应新规。
在大型企业中,GDPR的“快刀”首先可能挥向谷歌和Facebook。据了解,Facebook及其子公司Whatsapp、Instagram以及谷歌均在GDPR生效首日被投诉,投诉来自奥地利隐私活动家Max Schrems。如果相关监管机构认可该投诉,Facebook和谷歌将分别面临39亿欧元(约合人民币290亿元)和37亿欧元(约合人民币276亿元)的罚款。
据最新财报显示,谷歌母公司Alphabet 2017年全年利润为127亿美元(约合人民币797.9亿元),Facebook2017年全年利润为159.34亿美元(约合人民币1019.31亿元)。这也就意味着,这一可能的罚款数额分别占两家公司去年利润比例高达36.35%和27.08%。
值得注意的是,为了符合GDPR,谷歌和Facebook均推出了相应的隐私政策和产品。Facebook目前已进行调整并出现“许可屏幕”,询问用户是否接受数据收集,否则无法继续使用Facebook服务。谷歌同样表示,将创建一个不基于任何个性化定位的新广告服务。
但Max Schrems的诉讼特别针对两家公司获得隐私政策同意的方式,即要求用户选择“同意”选项以获取服务,否则就不能使用服务。在他看来,这种行为违反了GDPR中关于获取同意的规定。
中国互联网协会研究中心原秘书长胡钢向21世纪经济报道记者表示,企业在要求用户授权使用数据的时候,应当遵循正当、必要、最小化原则,否则就是违法行为。
输赢之间
在大部分观点看来,GDPR生效后,面临最大挑战的是广告技术企业。因为GDPR相关条例直指广告数据收集和推广。
事实上,在GDPR出台之前,相关国际巨头已经麻烦不断。今年3月,Facebook曝出数据泄露丑闻,其创始人扎克伯格不得不面对国会听证会。5月21日,谷歌因涉嫌秘密追踪和整理440万名用户信息以供广告公司精准定位而被索赔32亿英镑。劳德森代理律师汤姆林森表示,谷歌已经支付3950万美元(约合2.5亿元人民币)在美国解决与此有关的索赔。
“GDPR对互联网广告企业的影响很大。”上海段和段律师事务所合伙人刘春泉表示,“现在广告公司提出大数据应用的精准推荐,与用户隐私保护的规则相矛盾。”
其他被认为将成为GDPR监管重灾区的领域是大数据、云计算领域。大数据企业从事包括数据采集、数据处理、数据分析以及数据呈现,因此很容易“触雷”;云计算方面,GDPR对云服务商及使用云服务的企业均提出数据保护方面的要求,意味着两者需同时遵守包括数据授权、数据处理等规定。
这意味着,云服务商与相关客户的合规性缺一不可。在Edge of Reality工作室的官方解释中,5月24日《枪械师》停服的很大原因在于GDPR需要厂商为消费者提供更透明的数据管控,但他们无法提供足够资源更新游戏以适应GDPR,并且其云服务商无法继续提供服务,因而导致服务器成本大幅提高,只能选择关服。
作为底层云服务商,微软方面人士介绍,微软提供的企业级云服务可以帮助客户在涉及个人数据删除、修改、传输、读取、拒绝处理等方面满足GDPR的要求;微软遍布全球的合作伙伴生态系统还能为客户提供专业的技术支持。
此外,微软表示将严格履行与云服务相关的合同义务,包括提供符合GDPR新规要求的定期安全支持及通知等服务。“早在2017年3月,微软全球云服务的客户授权协议中,就已经加入了与GDPR合规相关的承诺条款。”该人士表示,“随着条例细节的不断深化和实践的推进,微软也会不断对产品、服务、数据相关方面进行与时俱进的升级,确保完全合规。”
然而,对于庞大的云服务生态的合规性而言,仅凭微软自身还远远不够。“微软云服务在欧盟绝对是合法的,”在谈及GDPR时,微软大中华区副总裁兼市场营销及运营总经理康荣向记者表示,“当然,我们能保证自身云服务绝对合法合规,但落地在我们欧盟云服务上的企业,也需要保证自身运营合法合规。”
发表评论