互聯網公司進軍歐洲別踩進數據深坑

相比華為和聯想這樣的“老司機”，OfO和摩拜需要快速地補上歐盟個人數據保護要求這一課，否則將面對天價罰單

近期中國互聯網界最吸引眼球的事莫過于中國的共享單車企業OfO和摩拜單車齊頭并進開拓歐洲市場了。

繼今年初OfO和摩拜單車先后進軍英國劍橋和曼徹斯特之后，7月24日摩拜單車宣布進入意大利佛羅倫薩和米蘭，并在佛羅倫薩市政廳“舊宮”舉行盛大發布會。

發布會規格很高，佛羅倫薩市長達里奧·納德拉（Dario Nardella）、米蘭市長貝佩·薩拉（BeppeSala）及摩拜單車創始人兼總裁胡瑋煒共同出席發布會，為摩拜單車進入意大利揭幕。

依托國內自由的創新氛圍和充足的資金支撐，再加上政府對于“互聯網+”的大力扶持和引導，中國形成了獨特的互聯網創新生態環境，并逐漸形成了多種超越海外發達國家互聯網發展的產業環境。中國互聯網創新產業中的共享單車、支付寶、網購甚至和國之重器“高鐵”被新華社并列為中國“新四大發明”。

中國的互聯網行業在多年的創新發展下形成了自己獨特的競爭優勢，并具備了走出國門向發達國家和地區進行業務擴展的能力，他們進軍歐洲，并不是中國互聯網企業走出國門的特例。越來越多的中國企業在全球互聯網市場大融合和中國“一帶一路”國家戰略的背景下把目光投向了歐洲。

7月18日，騰訊旗下云計算公司騰訊云位于德國法蘭克福Interxion數據中心開放，這個數據中心是從原有的騰訊云法蘭克福服務節點升級而成，也是中國云服務商首次將服務全面覆蓋歐洲。騰訊在媒體上表示，其法蘭克福數據中心將成為給在歐洲的中國企業以及歐洲本土企業提供高性能云計算解決方案的重要平臺。

繼東南亞之后，歐洲已經成為中國互聯網企業走出國門，開拓海外市場的下一個重要目標。

作為數據戰略與數據治理領域的專家，我需要提醒國內互聯網企業的是：歐洲市場在數據治理和數據保護方面，有著獨特的監管要求。中國互聯網企業走向歐洲的時候，需要清晰了解歐洲的相關規定，并未雨綢繆做好數據保護的合規性準備，否則將會面臨極為被動的局面。

歐洲數據保護條例有四大坑

歐洲雖然由幾十個國家構成，但歐盟作為歐洲最重要的跨國組織，制定了大量適用于歐洲絕大多數國家的法律法規和行政管理條例。

中國互聯網企業在開拓歐洲市場時，應該高度重視歐盟在數據保護的相關規定。而目前在數據治理和數據保護領域，對于中國互聯網企業最重要的條例就是《一般數據保護條例》（General Data Protection Regulation，簡稱GDPR）。

2016年4月，歐洲議會（European parliament）通過了《一般數據保護條例》，以歐盟法規的形式確定了對個人數據的保護原則和監管方式，并確定所有企業和組織必須于2018年5月25日前滿足條例規定的數據保護要求。

GDPR之所以被我認為是對于中國互聯網企業最重要的數據治理和數據保護法規，理由有四點。

首先，適用范圍跨越全球。

傳統來說，任何法律法規都有管轄權，而管轄權一般是由物理位置決定的，數據在哪個國家物理存放，就適用于哪個國家的法律法規。而GDPR則打破了國家和地區的限制，明確指出任何處理歐盟公民相關信息的公司都必須遵守GDPR對于個人數據保護的相關要求，而不受物理位置的約束。

李軍

云計算時代，數據往往是在云端動態地操作管理，其物理位置有可能在短時間內發生重大改變。

GDPR的規定讓向歐盟提供數據和互聯網服務的云計算和互聯網企業對于數據保護的責任無可逃避。存在于任何國家的“云服務”都將不會被GDPR法規豁免。

因此，受GDPR約束的對象是所有處理歐盟公民數據的歐盟或非歐盟組織和企業。

所有進軍歐盟的中國企業，甚至只是遠程向歐盟提供數據服務的企業和組織都要適用GDPR，要遵守GDPR規定的監管要求，并在違反規定時接受歐盟處罰。

中國互聯網企業意識到自己在監管范圍內了嗎？在摩拜單車（英國）網站的隱私與Cookie政策頁面上，目前是這樣的內容：“從您那里收集到的數據，將被傳輸和存儲到歐洲經濟區（European Economic Area）以外的地區，例如中國和新加坡等對于數據保護力度較弱的地區?！?/p>

言下之意是，我們將滿足數據物理存儲所在國家的數據保護監管要求，但會比歐盟的數據保護要求要低。在2018年5月25日GDPR強制合規日期前，這樣的免責陳述或許還能被接受。

2018年5月25日GDPR強制合規日期后，這樣的陳述根本不會被消費者和歐盟監管部門認可，因為GDPR監管的是數據本身，和數據存儲的物理位置無關。

其二，涉及領域包含流程、組織、系統等多個方面。

GDPR對于個人數據保護的要求首先從業務流程入手。所有收集了歐盟客戶數據的企業和組織在對個人數據進行操作時，必須記錄相關的操作流程和步驟。任何沒有系統監控或不可審計的數據操作都不可接受。而所有的數據操作監控和審計信息都需要備案并接受政府和相關監管機構檢查。

對于存儲個人數據的系統和相關設備，企業和機構都必須將其記錄并納入數據安全策略管轄范圍內，并確保數據加密策略的合理利用。這里談到的系統和相關設備包括但不限于服務器、傳統硬盤、固態硬盤、USB 閃存盤、計算機和各種移動設備等。

對于組織機構方面，在個人數據被廣泛使用的情況下，例如被超過250名雇員的企業使用、或者個人數據在特定目的下被持續和系統地收集監控，那么進行數據處理或控制的企業或組織應該任命有專門數據保護知識的數據保護專員/數據保護官（Data Protection Officer，DPO）。

數據保護專員/數據保護官的任職期限至少為兩年，并向公眾及監管機構通報其姓名及詳細的聯系方式。

數據保護專員/數據保護官需要確保企業遵從個人數據保護條例的規定，并在企業發生個人數據操作違規時承擔相應的法律責任。

可以說，GDPR就是個人數據保護領域的薩班斯法案（對在美國上市的公司提供了合規性要求，使上市公司不得不考慮控制IT風險在內的各種風險），為個人數據保護套上了從流程到風險控制再到組織架構的層層約束，并通過強制設定數據保護專員的方式讓個人數據保護的責任落實到企業的組織架構設置中。

第三，實施要求清楚明確。

歐盟從1995年通過《數據保護指令》（即“95指令”）以來，就不斷通過完善法律法規來加強互聯網時代對個人隱私數據的保護。從2002年發布的《隱私與電子通訊指令》，到2009年通過的《歐洲Cookie指令》，這一系列法律法規和監管主要是從明確個人數據保護基本原則的角度作出了監管規定。

但是在具體操作層面還相當粗略，既沒有給出企業在遵循相關規定時需要達到的客觀標準，也缺乏有威懾力的違規懲戒措施。

GDPR作為歐盟歷史上最嚴格的數據保護措施，一改以往的大處著眼、細節模糊的做法，從各個角度明確了企業和組織在涉及個人數據保護時需要承擔的責任和義務，甚至包括個人數據泄露時需要完成的強制補救措施。

除了前文提到的設置數據保護專員/數據保護官（Data Protection Officer，DPO）之外，GDPR還明確了企業在進行個人數據操作時需要承擔的監控記錄責任，以便監管機構對于個人數據保護的合規審計。

當發生嚴重的數據泄露時，GDPR要求公司及組織第一時間通知相關國家監管機構，并把數據泄露的數量、方式、渠道以及可能的影響范圍上報，甚至明確了數據泄露的通知上報必須在獲知泄露的72小時內完成。

最后也是最有威懾力的是，GDPR對未滿足合規要求的企業和組織給出了罰金標準。

這讓未來歐盟針對違反GDPR的行為開出高額罰款有了明確的法律依據。一旦違規，罰款金額巨大。

條例中最引人注目的就是巨額的罰金上限，因為罰金上限是按照企業全球年收入劃定的，并不局限于歐盟范圍的業務收入。

對于嚴重的違法，如大量泄露個人數據、嚴重違反個人數據保護操作規范或在歐盟警告下多次違反GDPR的相關規定，罰款上限是2000萬歐元或前一年全球營業收入的4%（兩值中取大者）。如果是針對Google這樣年收入近900億美元的公司，基于一年全球營業收入4%的罰款就將達到36億美元。

對于不太嚴重的違法，例如沒有保持清晰明確的個人數據操作記錄、沒有向監管機構和數據所有者通知數據泄露、或者沒有就個人數據操作流程進行實施影響評估，罰金上限是1000萬歐元或前一年全球營業收入的2%（兩值中取大者）。

對于大型公司來說2%-4%的罰金上限，對于中小型公司來說1000萬-2000萬歐元（近8000萬-1.6億元人民幣）的罰金上限，都是足夠有威懾力的。

中國公司尚未做好準備

GDPR對于歐盟內整個數字化產業的影響都將是深遠的。一方面各個企業和組織需要重新審視自己的數據業務流程，并根據GDPR的要求調整現有的業務并改造IT系統，以滿足GDPR的合規性要求。

另一方面，企業在引入任何新技術和新平臺/軟件時，都會把GDPR合規作為一票否決的需求。這一點對于像騰訊這樣積極開拓歐洲市場的云計算服務提供商來說，是必須要面對的強制客戶要求。

目前進軍歐洲的OfO和摩拜單車為明年5月就將落下的“達摩克里斯之劍”做好準備了嗎？

在摩拜單車英國的網站上（https：//mobike.com/uk/privacy），有關《隱私和Cookie使用聲明》（PRIVACY AND COOKIE STATEMENT）中，就個人數據保存與保留有如下描述：

VI. Retention of Personal Data（個人數據保留）：We shall retain your personal data for such period as you have an account with us（在您擁有[摩拜單車]賬戶期間，我們將保留您的個人數據）。

GDPR明確規定，數據所有者（用戶）擁有個人數據刪除權（有時也被稱為“數據被遺忘權”，“right to be forgotten”）。當數據所有者（用戶）撤回自己向企業或組織授予的個人數據使用權時，相關企業或組織必須立即無條件刪除所有的個人數據。

在目前摩拜單車英國的網站上，只列出了個人數據保留的內容，但對于個人數據刪除權的保障，以及具體的個人數據刪除功能提供，都只字未提。目前這樣的描述如果延續到明年5月不做修改，一定是違反GDPR的。

至于OfO英國的網站，連最基本的隱私和數據保護策略的內容都沒有，更談不上GDPR合規的其他要求了（作者注：雖然英國脫離歐盟已經在進程中，但英國政府明確表示GDPR同時在英國生效）。

或許有人質疑，GDPR目前還沒有到最后截止期，OfO和摩拜單車也許已經開始了針對GDPR的合規性準備，目前還沒有正式發布相關內容。

那么我們可以看看2011年5月25日在歐盟正式啟用的《歐洲Cookie指令》。該指令要求網站在用戶初始使用時必須關閉Cookie的使用，直到用戶明確同意啟用Cookie時才能開啟此功能。

目前歐盟范圍內絕大多數企業和政府網站都遵從此指令對用戶給出了明確的Cookie使用選擇。遺憾的是，目前OfO和摩拜單車都沒有給出明確的Cookie使用選擇提示。

多年前就開始全球化進程并進入歐洲市場的華為和聯想，在自己的歐洲國家主頁上都明確給出了網站使用Cookie的提示，提供了用戶關閉Cookie的選擇，并在條款中明確包含了隱私政策的詳細說明鏈接。

相比華為和聯想這樣的“老司機”，OfO和摩拜單車需要快速地補上歐盟個人數據保護要求這一課。

企業全球化和開拓歐洲市場需要建立在對當地法律法規和監管要求清晰了解的基礎上，希望未來更多走出國門的中國互聯網企業能夠認識到這一點，避免未來要付出的高昂“學費”。

（作者為科技與互聯網資深分析師，編輯：謝麗容）