栏目责编：古 筝

GDPR 下互联网企业的机遇与挑战
郭戎晋（阿里巴巴集团）

而数据的全球化必然带来的是业务的全球化。
在全面进入网络环境前，数据是否被他人取得
1 个人信息保护发展潮流
是非常容易观察的，但是现在数据往往在产生
随 着 通 用 数 据 保 护 条 例（General Data
的同时就存在全球化的情形，甚至数据主体（Data
Protection Regulation，GDPR） 的 正 式 实 施， 许
Subject）本身也没有意识到个人信息已经在全球
多人开始关心个人信息保护以及数据安全问题，
快速的流通。
事实上这个问题从全球来说，经济合作与发展
目前国际上个人信息保护及数据安全的重
组织（Organization for Economic Co-operation and 要潮流，是如何让法律的规定跟技术能力能够连
Development，OECD） 在 1980 年 已 经 提 出 隐 私 结在一起，让两个不同的领域彼此间相互对话。
保护的重要基本原则，甚至更早之前在欧洲共同 跟传统的数据安全（Data Security）相较，个人
体（European Community）时代就开始谈论隐私 信息保护（Personal Data Protection）涉及的部门
保护议题。但是从网络开始受到人们关注到正式 及人员更加广泛，企业内部几乎找不到不需要接
进入商业应用的阶段，隐私保护问题比过往任 触个人信息的员工，因此隐私保护工作的落实，
何一个时间点都更加复杂。
“网络经济”
（Internet 需要企业内部所有的人共同投入。但对不具备法
Economy） 或“ 虚 拟 经 济”（Virtual Economy） 律背景的员工来说，即便法律规定无论多么白
对很多人来说已经不再陌生，在 20 世纪 90 年 话、再详细，看的人如果没办法正确理解法律条
代电子商务兴起，2000 年之后我们开始谈论移 文，再好的规定都不能在企业内部落地，所以
动商务及社交经济，但现在我们提到网络经济 企业隐私合规的首要工作，是建立所谓的隐私
或虚拟经济，基本上都用一个名词：数字经济 意识以及协助所有人完整理解相关的法律规范。
（Data Economy），也有人用“数据驱动经济” 另一方面，如何让技术人员也能共同参与隐私
（Data Driven Economy）来描述当前许多崭新的 保护工作，让隐私合规做到线上化、半自动化，
商务模式或技术应用，其背后都是基于“大数 甚至是全自动化，提升隐私合规工作的效率，
据”（Big Data）发展的现象。由于网络本身具 才能减少人工处理出错的可能。因此，目前全
备全球化的特性，故而造成数据流通的全球化， 球都在强调一件事情，就是“隐私能力”的建设，

AUGUST 2018 信息安全与通信保密 17

 本期专题 SPECIAL TOPIC

从技术层面来说，也有人称为“隐私强化技术” FTC）跟日本内阁个人信息保护办公室提出的大
（Privacy Enhancing Technologies, PETs）， 而 相 数据分析报告，不约而同地提到两个重要问题：
关特定的技术概念，包括数据隐私影响评估（Data 如何提升隐私强化技术的使用，以及如何规范
Privacy Impact Assessment, DPIA） 及 隐 私 设 计 数据的跨境流通。对隐私强化技术应用来说，
（Privacy by Design） 等， 被 正 式 放 入 了 GDPR 隐私保护不是只有看保护两个字，更重要的是
等隐私保护立法之中。 如何促进个人信息的合理利用，如同张衠博士
谈到的数据产权问题，个人信息保护固然重要，
2 个人信息保护统一标准的推动
但更重要的应当是如何发挥个人信息本身的价
许多的法律问题例如消费者保护或反垄断， 值，如何通过技术的方式来同时兼顾保护与个
经过长时间的发展，基本上已经有一些国际统一 人信息的合理运用，这是一个当时在美国跟日
的规范，但是在个人信息保护领域，反而不容 本都提出来的重要议题。另外，如何规范数据
易制定全球性标准。最主要的原因，是个人信 全球性的流动，从当前所处的环境以及技术条
息保护问题往往跟一个国家的社会文化、经济 件观察，可以认为在数据产生的时候，就是处
环境，甚至人文、宗教信仰等高度相关，由于各 于一个全球流动的状况。过去数据是以外观可
国状况不同，各国的隐私保护法设计很容易产生 见的方式保存，容易管控数据的流向，但是今
差异，所以不容易进一步推动放诸四海皆准的 天包括云计算及不断出现的新兴数字科技，数
规定。另一个说明个人信息保护共通标准不易 据不再是由数据主体主动产生，而是被动生成，
制定的例子是 ISO 国际标准，ISO/IEC 针对数据 并且在我们不知不觉的时候被他人取得并出现
安 全 管 理 系 统（Information Security Management 全球性流动的情况。今天受益于互联网全球化
System, ISMS）制定了一系列的 27000 文件，其 的特性，互联网企业纷纷走向业务全球化的过
中 ISO/IEC 27001 作 为 认 证 标 准（Certification 程中，如何达成合规工作的全球落地，也考验
Standard）， 总 共 提 出 133 个 确 认 企 业 是 否 符 着所有的互联网公司。但是目前全球性的共同
合数据安全标准的控制项目（Controls），无论 标准还没有出现，还停留在区域组织性或者非
是 在 哪 个 国 家 谈 论 ISMS， 它 的 标 准 是 一 致 性 强制性的产业标准，也使得互联网企业的国际
的；但是在个人信息保护部分，尽管 ISO/IEC 在 隐私合规推动存在着诸多挑战。
2011 年针对隐私保护提出了 ISO/IEC 29100，但
3 GDPR 对互联网企业带来的挑战
性质上只是一套初步的隐私保护框架（Privacy
Framework），到目前为止 ISO/IEC 还没有提出 GDPR 为什么受到关注，在国内已经有非常
认证标准及具体的控制项目。 多的探讨，包括非欧盟公司在一定条件下必须
随着个人信息的重要性日渐提高，如何打造 适用 GDPR，以及出现违法行为时将面临的巨额
一个全球性的保护标准，反而变成是一项难题。 罚款（2000 万欧元或以全球营收 4% 作为罚款，
美国联邦贸易委员会（Federal Trade Commission, 取其高者），都是国内企业对于 GPDR 感到紧

18 信息安全与通信保密 AUGUST 2018


张的原因。但另一个更加关键的因素，是企业
并不知道如果要完全符合 GDPR 的要求，所必
须付出的合规成本将达到多少。现阶段 GDPR
本身仍然有些适用标准未完全明朗，特别是域
外效力（Extraterritorial Effects）部分，如果非欧
盟企业（Non-EU Business）对于是否适用 GDPR
感到不确定，在无法正确评估的前提下，先想
到的往往是合规的成本，而不是可能被罚。另外，
即便投入了大量的人力及物力，也不能保证一
定可以符合 GDPR 规范，这样的一种状态造成
人们对 GDPR 出现如履薄冰的情况。事实上不
是只有企业面临 GDPR 的合规压力，对欧盟成
员国的隐私监管机关（Data Protection Authority,
DPA）也是，今年 1 月时欧盟委员会（European
Commission）曾经指出成员国中只有德国及奥地
利配合 GDPR 要求，完成该国的隐私保护立法
的修正，而截至 5 月 25 日 GDPR 正式生效后，
仍然有部分欧盟成员国尚未完成实施所有 GDPR
规定的准备工作。
GDPR 对于互联网企业带来的影响，有以下
出几点：
（1）受规范的可能性高
相较于传统行业或者以往面对面交易的商
业模式，互联网企业受到 GDPR 规范的可能性
较高。依据 GDPR 的域外效力规定，非欧盟公司
只要锁定欧盟境内的数据主体进行商品销售或服
务提供，就会被要求适用 GDPR。而且欧盟境内
的数据主体并未区分是“本国人”或“外国人”，
所以中国游客即便短暂停留在欧盟境内，理论上
也可能被认定为欧盟境内的数据主体。在网络随
时随地可以连结及使用的情况下，互联网企业被
认定锁定欧盟境内数据主体进行商品销售或服
栏目责编：古 筝
务提供的可能性一定是高于传统企业的。
（2）合规成本大幅增加
GDPR 的严格规范造成企业合规的成本大幅
增加。根据 Veritas 在 2017 年发布的调查数据，
全球约有 86% 的企业担心未遵守 GDPR 规定将
对其业务产生重大影响，其中更有 20% 企业觉
得未能合规恐将造成企业迈向破产之路。Veritas
指出平均每家企业在 GDPR 合规上所付出的成
本达到了 130 万欧元（约为 1000 万人民币），
高额成本无形中迫使企业必须做出选择，如果
GDPR 合规所支出的经费将远高于坚守欧盟市场
带来的收益，企业就有可能直接放弃欧盟市场，
所以已有几个美国本土的网站，如新闻类的洛
杉矶时报（Los Angeles Times）及芝加哥论坛报
（Chicago Tribune），以及提供网络文章保存服
务的 Instapaper 等，在 GDPR 生效后采取封锁欧
盟地区用户的作法。有些网站如 Pottery Barn 则
是不屏蔽，但是拒绝接受来自于欧盟的订单，
这些企业都是在合规与否的选择下，最终决定
退出欧盟市场的例子。
（3）影响技术创新与应用
GDPR 也被认为可能对新兴技术的应用产
生影响。举例来说，GDPR 赋予数据主体的隐
私 权 利 中， 有 关 个 人 化 自 主 决 策（Automated
Individual Decision-making） 的 规 定 可 能 影 响
了 机 器 学 习（Machine Learning） 及 人 工 智 能
（Artificial Intelligence）关联技术的应用，而被
遗忘权（Right to be Forgotten）则被认为与区块
链（Blockchain）技术的特性产生冲突。区块链
的成功因素在于几个关键性的底层技术，包括：
P2P、分布式账本及数位签名，比特币（Bitcoin）
作为最早的区块链应用模式，就是通过数字签
AUGUST 2018 信息安全与通信保密 19
 本期专题 SPECIAL TOPIC

名，以数学演算加密方式设定了比特币的总量 营收 4% 的罚款，才关注 GDPR。但如果我们自

上限（2100 万个），在物以稀为贵的概念下， 己无法清楚界定是否拥有欧盟用户的话，是否
吸引人们争相追逐比特币，也让一个比特币曾 会遭到欧盟处罚事实上只是一个想象中或假设
经一度达到两万美金的惊人价格。数字签名及 的问题。但要怎么去界定欧盟用户，企业到底
非 对 称 式 加 密 算 法（Asymmetric Cryptographic 有没有针对欧盟境内的数据主体进行商品销售
Algorithm）确保区块上的数据的真实性，任何人 或服务提供？事实上这个问题并不是 GDPR 生
都无法篡改或修正。在这一特性下，假设用户 效后才出现，也不是隐私保护领域独有的议题。
要求更正或要求删除区块链上的信息，基本上 从 90 年代网际网络进入商业应用的时候就开始
将难以满足用户的请求，这也是区块链技术被 出现了，而其他的法律领域如反垄断或国际私
认为可能与被遗忘权产生冲突的主要原因。 法，事实上也曾出现相似讨论。90 年代的时候
（4）用户流失及商誉受损 我们可能以网络服务器（Server）所在地作为分
最后，GDPR 的实施也可能造成用户的大量 支机构（Establishment）的判断标准之一，当时
流失。Facebook 在 2018 年 7 月 25 日公布第二季 曾将这一概念称为黄金法则（Golden Rule），但
财报，公开表示受到 GDPR 的影响，欧盟用户 现在进入云计算（Cloud Computing）时代，多数
在近二年首次出现负增长情形，其中，日活用 企业已无须实际采购网络服务器，这个判断标
户（Daily Active Users, DAUs）较 2018 年第一季 准也很快地不适用于当前的云服务环境。
减少 300 万人；月活用户（Monthly Active Users, 可以一并留意的地方则是网站性质的明确
MAUs）则较 2018 年第一季减少 100 万人。用 界定：有没有锁定特定用户进行商品销售或服
户流失导致企业的市场价值遭受损害，Facebook 务提供，某程度上可以说与“网络管辖权”判
公布欧盟用户下跌情形后，当日股价随即下跌 断 问 题 高 度 雷 同， 美 国 1997 年 Zippo 案 曾 提
18.96%，市值减少超过 1200 亿美元（约 8200 亿 出 了 知 名 的“ 滑 动 测 试 标 准”（Sliding Scale
人民币）。是将 GDPR 视为一个发展的契机、 Test）并将网站区分为三大类型：第一类是绝
一个危机还是一个阻力，某程度上决定了互联 对商业性网站，它就是以商品销售 / 服务提供
网企业是要持续拥抱欧盟市场，还是暂时观望， 为目的，因此认定目标用户所在地法院有管辖
或者干脆放弃整个欧盟市场。 权是毫无争议的，另一类是单纯的资讯提供网
站，在不涉及商业目的下，不能认为网站有锁
4 互联网企业如何应对 GDPR
定用户进行商业活动的意图，所以用户所在地
互联网企业面临 GDPR 带来的挑战，可以 法院并不具有管辖权；而第三类则是处在两者
做些什么，以下 3 点很重要： 之中的互动性网站，但互动性网站是否具备商
（1）欧盟用户及欧盟市场的明确界定 业性质，则必须透过个案事实进行认定，并无
许多人是出于避免受到 2000 万欧元或全球 法一概而论。观察 90 年代与当前的网络环境，

20 信息安全与通信保密 AUGUST 2018

 栏目责编：古 筝

早期的网站是否具备商业属性判断上相对容 据安全、谈个人信息保护，绝对不是只有侧重
易，但现今的网站基本上都可以泛称为 Zippo 在所谓的“保护层面”。如何兼顾个人信息的

案中的互动性网站，所以滑动测试标准放到今 “合理使用”，也受到了高度关注。谈到合理

天来看，好像又变成似是而非的观点。今天有 使用法律人经常会以另外一部法规作为对比：

没有 GDPR 合规的必要性，我们无可避免的必 著作权法，而著作权本身又可以区分为著作人

须先完整的梳理出有哪些商业模式，同时在可 格权及著作财产权，兼具人格及财产属性事实

能的商业模式下，欧盟是不是会被认定为企业 上跟个人信息是相近的，所以个人信息保护立

的目标市场。 法应不应该有类似于著作权法的合理使用（Fair

（2）技术概念入法及对应的隐私合规工具 Use），甚至是“公共领域”（Public Domain）

开发 的概念，开始出现许多的讨论。但就性质来说，

早期的隐私保护立法，可以说就是单纯的 个人信息保护跟著作权还是有着本质上的差异，

从法律层面谈论如何保护个人信息，但现今的 著作权本身是一种后天的权利，换句话说，人

隐私保护立法则是越来越重视技术的重要性， 们必须将脑海中的创意适度地表现出来，才会

甚至开始将特定的技术概念直接订入隐私保护 构成著作权，光只有想法是不够的。但个人信

立法。例如 GDPR 所要求的“数据隐私影响评 息被视为是一种与生俱来的权利，这在学术上

估”，最早只是列在 ISO/IEC 27005 中的产业标 就产生很多讨论，包括它到底是不是一种宪法

准，2002 年美国联邦数据安全管理法（Federal 上的基本权利，还是只是民事上的权利，在民

Information Security Management Act, FISMA） 正 法典上需不需要纳入人格权法，以及在财产法

式将 PIA 纳到法律当中，从数据安全立法到隐 体系下又应该如何体现它的价值。

私保护立法，技术概念现在已经变成个人信息 目前国内刚好处在东西方隐私文化汇集的

保护立法的一个重要趋势。对于合规来说应该 当下，从美国的产业自律思维，到欧盟强调的

怎么转换法律的语言，这也是前面所说的如何 立法保护，在今天来看，我们似乎受到了欧盟

让法律的规定跟技术能力能够连结在一起，让 较大的影响。但在发展的过程中，如何找到一

两个不同的领域彼此间相互的对话，互联网企 条适合国内的道路，希望能从 GDPR 对于互联

业是有条件能够做好这件事情。 网企业产生的影响中，及互联网企业如何应对

（3）个人信息保护与个人信息合理使用的 产生一些想法。

取舍
现阶段全世界都面对到的共同问题是个 作者简介

人信息保护与个人信息合理使用的取舍。谈数 郭戎晋，阿里巴巴集团高级专家。

AUGUST 2018 信息安全与通信保密 21