欧盟在第一年将可能收到60亿美元的罚金。这60亿美元的罚金会有来自中国公司的“贡献”吗？但愿不会有。

（资料图 来自网络）

《财经》记者 周源 特约撰稿人 何芊樾/文 谢丽容/编辑

5月25日，欧洲居民一觉醒来发现，他们被芝加哥论坛报和洛杉矶时报等一些美国知名新闻网站暂时屏蔽了，点开网站首页时，显示出的只有一则暂停使用的通知。造成这一改变的原因在于5月25号正式开始实行的欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）。

GDPR被称为有史以来最为严格的数据保护法规。作为一项强制性法律，它保护的是自然人的“个人数据”，包括姓名、地址、生日、信用卡、银行、医疗信息、位置信息、IP地址等等。

任何在欧盟设立机构的企业或向欧盟境内提供产品和服务的企业，在处理欧盟境内个人的数据时都受到GDPR的约束，除非放弃欧盟5亿发达人口市场。

如果违反GDPR，企业最高将面临高达全球年营收4%或者2000万欧元（约1.5亿人民币）的巨额罚款（两者取其高）。

不过，巨额罚款仅是一方面，上市公司们如果被发现在个人数据保护方面有失职甚至“失德”行为，必将面临股价和声誉的双双“跳水”，Facebook即是前车之鉴。

国外的大企业们早已行动起来应对GDPR。例如，苹果停止了在其机器学习和AI系统开发中使用用户数据；微软为GDPR项目投入了1600多名工程师；Facebook将约15亿用户的注册地从爱尔兰转往美国，来实现GDPR的合规；Twitter关闭了Poku、Android TV和Xbox版的Twitter应用。

一些中国公司同样对GDPR严阵以待。一位中国知名互联网公司法务告诉《财经》记者，该公司半年前开始根据欧盟GDPR标准进行产品合规的改造与升级。“据我所知，中国其他一些大的互联网公司也是如此。”她说。

华为25日官网上贴出公告，称其内部审计部门完成了全面的技术和流程的审视，确保相关业务遵从适用的GDPR要求。而且，华为所有业务单元均设置有专职的隐私相关的角色和/或组织。根据GDPR的要求，该公司还任命了欧盟数据保护官。

阿里云表示已从平台、系统、产品、服务、合规、流程、政策等方面，全面按照该要求持续进行数据保护与相关服务改进，相关工作已经准备就绪。阿里云尤其强调，该公司已为客户提供账号删除功能，全球客户可以自助操作完成。

GDPR侧重“自然人的基本权利和自由，特别是数据主体的权利”，尤其是“数据的被遗忘的权利/删除权”，是否提供账号删除服务也成了是否符合GDPR的最显著标志之一。

京东法律研究院甚至编撰了国内第一本GDPR专著：《欧盟数据宪章-GPDR评述及实务指引》。

但并非所有受GDPR约束的中资企业都有实际行动。安杰律师事务所IT和数据业务合伙人杨洪泉告诉《财经》记者，从其服务的涉欧企业来看，虽然大部分企业对于GDPR的适用范围和违反GDPR可能导致的巨额罚款比较清楚，但仍有些企业对于GDPR的域外效力（即能够管辖远在中国的企业）半信半疑，仍在观望。

还有一些公司是低估了业务合规改造的复杂度，导致实际上并未在25日之前完成改造。

“这是个系统化的问题，先要找出在什么环节可能会遇到什么问题，再制定系统化的调整方案，然后要求IT部门执行，其后还要定期给相关人员做培训，是个需要调动各部门联动的任务，很复杂。有的公司理解不够，觉得我写个公告就完了，但是事情并不是这么简单的。”英国3HR律所董事李海巍向《财经》记者解释说。

李海巍主要负责中资公司在英国的业务。据他介绍，大部分驻英中资公司是近三五年才来到英国，管理层的主要精力还在建立业务结构上，可以说在最忙的时候遇到GDPR，因而比较被动。

即便是欧洲本土公司，也为GDPR合规做出大量准备。芬兰AI教育公司Claned的 COO Kalle Lehtinen告诉《财经》记者，为了达到合规标准，他们一方面审视内部流程，针对相关环节做出技术解决方案并改进；另一方面，他们也对用户协议进行了更新。“我们已经投入了数月的时间来适应新的法规，也花费了大量的精力来培训我们的员工，”Kalle说。

Kalle认为难点在于，新规要求在流程中建立必要的控制措施，从而能够记录“一切操作（everything）”，以证明数据处理是按照GDPR完成的，而这个工作量巨大。此外，去征求客户同意必要的数据处理协议也是一个难点，因为有些客户迟迟没有完成同意协议的升级这一步。

但无论处于哪一状态的中资企业，无论是中国企业还是外国企业，没有谁真正有十足的把握表示已经彻底准备好。从《1995数据保护指令》34个条款发展到99条，GDPR创建了大量的新概念、新原则、新权利，导致产生许多争议和尚待细化的领域。

“2016年GDPR立法文本的正式通过，并不意味着制度规范都已成熟，相反，秩序建设才刚刚拉开序幕，面临挑战的不仅是GDPR的适用对象，也包括GDPR本身。”腾讯研究院数据保护法律法规资深研究专家王融说。

杨洪泉认为，中国企业所面临的挑战还包括，如何在满足GDPR要求的同时接驳中国的网络安全法及其配套法律法规、以及《个人信息安全规范》的要求。尽管中国《网络安全法》已出台，但仍有部分配套法规尚未最终落地（例如《个人信息和重要数据出境安全评估办法》），这亦给企业的合规实践带来不确定性。

市场调研公司Ovum的一份调查报告显示，52%受访的IT决策者预计GDPR将导致他们公司收到罚款。管理咨询公司奥利佛.怀曼（Oliver Wyman）则预测，欧盟在第一年将可能收到60亿美元的罚金。这60亿美元的罚金会有来自中国公司的“贡献”吗？但愿不会有。