欧洲最严隐私法来了！天价罚款为全球收入4%

欧洲的新数据制度已经到来。从5月25日起，《通用数据保护条例》(GDPR)正在由28个国家的监管机构强制执行。

在经过四年的审议之后，2016年欧盟正式通过了“通用数据保护条例”(GDPR)。该条例赋予公司两年的合规延期，理论上有足够的时间变得井然有序。但现实更加混乱。像术语文件和纳税申报表一样，有些人会尽早完成，然后就是拖延症患者般的其他人。

GDPR加强了对欧盟公民个人数据的保护，并且已经让公司争相满足其要求。在规则生效之前，出现了大量无意义的营销电子邮件和公司修改其隐私政策。

所有大小公司以及公共机构和慈善机构等其他组织都受到GDPR的影响。对于最大的公司来说，这是一个特别关键的问题。谷歌，Facebook，Twitter，亚马逊，微软和苹果掌握着全球数十亿人口的大量信息。不遵守GDPR，他们有可能面临巨额罚款。

五大公司都采取了不同的GDPR方法，它们之间有一些根本性的差异。我们已经浏览了一些公司及其各个子公司做出的一些较大改变。

图片来源：WIRED

Facebook

剑桥分析公司带给马克·扎克伯格一段艰难的时期。GDPR的实施，情况并没有变得更容易。

扎克伯格在5月22日欧洲议会议员面前表示，他的公司已经准备好参加GPDR，并且“很大一部分”被提示更新隐私设置的用户已经这样做了。奇怪的是，Facebook使用GDPR作为开启欧洲人脸识别的机会。

Facebook还将位于美国，加拿大和欧盟之外约15亿用户的注册地从都柏林移至美国。据路透社报道，Facebook的举动意味着非洲，亚洲，澳大利亚和拉丁美洲的人们不受GDPR的影响。 Facebook表示它正在向全球所有人提供隐私工具。但这些在每个国家都不一样。

苹果

一般来说，苹果收集的数据少于其大科技对手。早在2011年的iOS 5中，苹果公司就在其设备之间发送的iMessage上添加了端到端加密。与Facebook和谷歌不同，苹果不依赖广告赚钱。

对于GDPR，苹果已更新其隐私条款并推出了新的用户页面。欧洲的人们现在可以下载苹果公司掌握的所有数据。这是由苹果公司提供的服务——照片、Apple Pay、联系人等等。下载以压缩文件夹的形式出现，其中包含可重复使用的CSV和JSON文件。

苹果还引入了暂时停用帐户的功能。完成后，苹果服务将停止工作，但公司也将停止使用其机器学习和AI系统的客户数据。这些功能将在未来几个月内推广到全球各地的所有帐户。

谷歌

像Facebook一样，谷歌因其GDPR计划受到批评。首先，该公司受到出版商和代表他们的团体的抨击。代表4000家出版商的四家主要贸易机构抱怨谷歌对其广告平台的改变。出版商代表说，谷歌计划将获得用户同意的责任转移到使用数据“将破坏GDPR的基本意图”。

谷歌首席执行官桑达尔·皮查伊在4月份表示：“重要的是要明白，我们的大部分广告业务都是搜索，我们依赖非常有限的信息 —— 基本上就是关键词中的内容 —— 显示相关广告或产品。” 皮查伊补充说，他认为GDPR对于互联网用户来说通常是件好事。

推特

Twitter在GDPR之前更新了服务条款和隐私政策。 “通过在该日或之后使用我们的服务，您将同意这些修订。”该公司在一篇博客文章中解释道。

它没有清楚地说明已更新的内容，但说更新“关注我们为您提供的有关您个人数据的控制措施”以及Twitter如何公开分享您的数据。部分GDPR准备工作也让Twitter关闭了其流媒体服务Roku，Android TV和Xbox的应用程序。

亚马逊

亚马逊网络服务(AWS)是亚马逊庞大服务中较大的一部分。在3月底，亚马逊宣布AWS已准备好迎接GDPR。 “AWS服务使你能够以你需要的方式实施自己的安全措施，从而遵守GDPR。”该公司当时解释道。

微软

虽然谷歌和Facebook因其GDPR方法受到批评，但微软已宣布将向全球所有用户提供新的隐私权。 “我们相信隐私是一项基本的人权。”该公司的副总顾问朱莉·布里尔在一篇博客中写道，宣布这一惊人举动。

“GDPR是欧洲乃至全球隐私权迈出的重要一步，自2012年首次提出GDPR以来，我们一直热心支持GDPR。”布里尔补充道。

微软还创建了一个隐私仪表板，允许用户查看设置，删除数据并下载关于它们的信息。它还强调了它在其GDPR隐私声明中更新的内容。

图片来源：The Verge

准备好了吗?

在近日的欧洲听证会上，马克·扎克伯格说Facebook将在截止日期前符合GDPR标准，但如果真能做到的话，可谓是“异类”。 “在5月25日，很少有公司会100%合规。”联合Lex律师事务所首席隐私官杰森·斯特赖特说，该公司为企业设立了GDPR合规计划。 “公司，尤其是美国公司，在过去的一个月里肯定在忙着准备好自己。”在4月份由Ponemon Institute进行的对1000多家公司的调查中，有一半的公司表示他们将无法在截止日期前符合标准。按行业划分，60%的科技公司表示他们还没有准备好。

GDPR是一套雄心勃勃的规则，从需求到通知监管机构数据泄露(72小时内)，以及用户透明度，了解收集的数据以及原因。 “已经持续多年了，‘我们还可以欺骗人们给我们多少数据?’以及‘我们会在以后使用它们’，这在GDPR下不会是一种可以接受的方式来操作。”斯特赖特说。

“有些公司我们曾经交谈过，他们说‘你在开玩笑吗?如果我们告诉他们是如何使用他们的数据，他们一开始就不会把数据给我们的’。” 斯特赖特说，“我想表达的是，‘没错，这就是点。’”

这在某种程度上是不可避免的结果。一年前，61%的公司还没有开始实施GDPR。斯特赖特表示，总的来说，欧洲公司 - 尤其是德国和英国等国家的公司，其现有的私隐法律与GDPR重叠 —— 已经有了更好的时间调整。 (尽管如此，今年1月的一项调查发现，伦敦四分之一的企业甚至不知道GPDR是什么。)

公平地说，GDPR总体来说有点复杂。科罗拉多大学博尔德分校人类学和信息科学教授Alison Cool在《纽约时报》上写道，这项法律“非常复杂”，并且试图遵守法律的人实际上难以理解。与之交谈的科学家和数据管理员“怀疑甚至完全遵守的可能性。”

这不是一个愉快的情况，因为GDPR可以允许监管机构对违反GDPR的公司施以罚款，高达其全球收入的4%。从这个角度来看，亚马逊的罚款4%将为70亿美元。 (有趣的是，由于像亚马逊这样的公司收入巨额，但利润相对较低，因此4%的罚款可能会使耗费他们两年的利润。)

GDPR的沉重打击可能促使PayPal联合创始人彼得·泰尔指责欧洲制定了一个保护主义法律制度。“在欧洲没有成功的科技公司，他们嫉妒美国，所以他们惩罚我们。”泰尔在三月份的纽约经济俱乐部发表讲话时说。

GDPR要求监管机构采取一些措施来执行法律。这可能不是百分之四的罚款，但他们不能直接将投诉扔给废纸篓。 “如果他们在第一个月遇到10,000个投诉，他们会遇到麻烦，”Straight说。路透社本月早些时候接受调查的24家欧洲监管机构中有17家表示，他们还没有准备好实施新法，因为他们还没有资金或法定权力来履行职责。

另一个可能压缩监管资源的GDPR规定是数据泄露通知要求。公司需要在发现后的72小时内通知相关数据保护机构，但监管机构之后的工作并不完全清楚。监管机构可能没有准备好对公司的安全进行审计，或者找出如何做才能保护受到违规影响的欧盟居民。但是，他们仍然需要做点什么。他们可能在如何应对方面有一定的灵活性，但GDPR不会让他们无所作为。