欧盟《通用数据保护法案》(下称“GDPR”)5月25日就将正式生效，谷歌、Facebook这些科技巨头都已经改写了用户政策条款，以符合欧盟数据保护新规。

　　GDPR是二十年来数据隐私规则领域发生的最重要变化，给欧盟、乃至全世界的企业都将带来重大影响。无论企业是否在欧盟境内，只要与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民的数据，都必须严格遵守该条例。

　　与以往的隐私规则相比，GDPR的影响更为深远。在数据保护上，数据供应链自上而下的各方（包括数据的拥有者和使用者）都会被问责；在获取和管理个人信息上，GDPR提出了新的、更严格的要求，并赋予个人明确的权利，为企业通过人工、流程和技术进行客户数据管理都带来了一定的冲击；而且，GDPR还大大增加了数据保护的强制性和责任性，对违规的处罚提高到了2000万欧元或企业全球年营业额的4%（二者取较高值）。

　　新的条例要求企业用通俗的语言向用户解释他们是如何收集用户数据的。比如谷歌就用了YouTube的视频来解释他们的理念。GDPR列出了企业处理用户数据的六种方式，其中包括履行合同义务，或者在以广告为目的的用户信息收集过程中，必须征得用户同意。企业同时被要求给予欧盟用户进入或者删除个人数据的权利；企业还必须告诉用户他们将用户数据保留多久。

　　值得注意的是，GDPR目前仅针对欧盟用户。一些企业将至少一部分欧盟数据保护条例延伸至欧盟之外的用户，但是针对这部分用户，如果涉及GDPR不履行的问题，企业并不会受到惩罚，除非那些市场也将GDPR列入法律框架。但目前来看，近期美国和其它市场并不会跟随欧洲。

　　GDPR推出于Facebook的数据丑闻之后，这无疑给Facebook施加了压力。Facebook创始人CEO扎克伯格上个月在两会作证时已经承诺将在全球范围内都执行欧盟数据监管标准，不过对于具体该如何做仍然采取较为模糊的措施。当被问到美国用户是否能够像欧盟用户享受到同样的数据隐私保护待遇时，扎克伯格回答道：“我目前还不确定我们在美国会怎么做。”

　　事实上，包括谷歌和Facebook在内的大大小小的科技公司都已经修改了他们的用户政策条款，不过大部分企业条款的变化并不大，甚至有些模糊和宽泛。有媒体注意到，谷歌在修改条款时，出现了一个微妙的变化，悄悄将其长期坚持的座右铭“不作恶”（Don’t be evil）的条款移到了最后一条，提及的次数也明显减少。

　　Facebook早在今年3月就已经更新了对用户隐私的控制，使之更加通俗易懂。比如在使用人脸识别技术在用户上传照片中标识照片中的人物时，公司加强了用户准许的条例，目前使用人脸识别的技术时，采取的是用户默认同意的条款，除非用户自己提出异议。

　　不过要把欧洲用户与全球其它地区的用户完全切割开来并不容易，尤其是对于那些规模不如谷歌和Facebook那么大的科技公司。隐私研究机构Ponemon Institute创始人Larry Ponemon表示：“这看似是一种明智之举，但实际上还有很多工作要做。”

　　GDPR对于科技公司而言将是巨大的挑战。根据一项面向云服务供应商的客户感知调查显示，仅6%的企业被认为符合GDPR、无需在新的规定条款框架下重新商谈合同；而91%的企业出于对数据处理的复杂性和成本的考虑，对自身能否符合GDPR表现出了担忧。

　　对此，咨询和技术服务提供商埃森哲建议企业内部制定GDPR合规战略，并对企业运营达标情况展开评估，制定最佳合规解决方案，确保数据处理供应商与合作伙伴安全可靠。

　　埃森哲全球技术研发董事总经理马克-卡雷尔-比利亚德（Marc Carrel-Billiard）对第一财经记者表示：“人类正处于一个全新的科技复兴时代。一个重要的趋势是，所有的事情是建立在信任基础上，企业的运作必须符合伦理道德。Facebook的数据泄露事件无疑给企业和用户都敲响了警钟，但是问题是人们还是要用社交媒体，企业必须给出更好的解决方案。”不过，比利亚德表示不确定全球其它国家会跟随欧盟的步伐，实施更加严厉的数据保护法规。（第一财经）