（近日，刚在数据问题上引发信用危机的Facebook CEO扎克伯格称，Facebook将在全球范围内推出与GDPR相关的数据控制措施。图/AFP）

《财经》记者 张瑶/文 李恩树/编辑

一项即将在欧盟生效的法律，正前所未有地挑动全球范围内互联网企业们的神经。

许多欧洲用户已体验到变化——5月开始，他们的谷歌和雅虎邮箱开始涌入大量网站和APP的条款更改通知；登录许多APP时都被弹窗要求重新授权；更有公司直接向用户宣布自己要在5月24日起停止营业。

2018年5月25日生效的欧盟新数据保护法规《通用数据保护条例》（下称“GDPR”）是变化的起点。这部新法规将公民个人信息保护提到前所未有的高度，为信息的收集、管理和利用流程划出明确红线，违规企业最高可能面临全球营业额4%的罚款。除重罚之外，其管辖范围广及任何一家与欧盟有相关贸易往来的数字经济企业。

随着生效日期的临近，大公司们开始自我审视，没有谁敢轻言自己能做到百分之百合规。近日，刚在数据问题上引发信用危机的Facebook CEO扎克伯格称，Facebook将在全球范围内推出与GDPR相关的数据控制措施。

电信产业资讯公司Ovum调查显示，52％的受访IT决策者预计GDPR将会“导致他们公司受到罚款”；三分之二的受访者认为这将“迫使他们改变欧洲业务战略”；超过70％的受访者预计会增加开支来满足要求。

普华永道给出更明确的合规成本估计——77%以上公司计划花费68％的公司预计将花费100万到1000万美元的投入；另有9％的企业预计将花费超过1000万美元。

GDPR代表了全球兴起的数据保护立法潮的趋势，美国、中国也在向欧盟靠拢。

近期，欧盟数据保护监管机构（European Data Protection Supervisor，下称“EDPS”）主管Giovanni Buttarelli接受《财经》记者专访，回应与欧盟新规有关的质疑和困惑，介绍他对于隐私观念变迁的看法。

他主管的EDPS是由欧委会任命的独立数据保护机构，旨在通过实践和立法加强欧盟数据保护和隐私标准，有监管、建议等职权。早在2011年，EDPS提出重新审视欧盟数据保护法律框架建议，随后，GDPR立法启动并于2016年通过。在GDPR规定的数据保护委员会（EDPB）成立后，EDPS也将承接其常设秘书处。

Giovanni Buttarelli是意大利最高法院法官，自1997年起曾任意大利数据保护机构秘书长，2014年起被欧盟议会和理事会任命为数据保护监督主管。他参与过欧盟与美国达成的“隐私盾”数据流动框架，在GDPR及相关法律的立法过程中是积极的立法建议者。“这是一场数据保护的变革，但不是革命。”他说。

公众隐私焦虑上升

《财经》：你有超过20年的数据和隐私保护经验，是否观察到公众隐私忧虑的增长？

Buttarelli：是的，公众隐私观念和忧虑的增长正不断上升。我从未看到数据保护议题如此敏感，每个人都在讨论隐私和保护。这不仅仅发生在欧洲，在国际范围内都成为超越政治的议题——贸易协定正聚焦于如何融入数据的自由流动和保护规范；许多议题关注隐私安全、监控、加密、证据以及法律执行活动等。

数据保护正越来越成为一门科学，对个人数据的处理应当建立在专业的基础上。

《财经》：你认为在当下的大数据和AI时代，最大挑战是什么？

Buttarelli：如今网络社会中的公司拥有前所未有规模的个人完整数据，而个人则对自己的数字足迹失去控制。行业追求个人数据的最大化变现，出于商业或政治目的而被定位、画像和评估的程度，已经超越人们的控制和认知，个人感受到无助，他们需要被赋予权利更好控制自己的信息。

我们所面临的挑战是两面的：第一，要找到法律和技术上最有效的工具，帮助个人在算法和大数据时代实现自主权；第二，挑战“大数据思维”的数字公司应当基于对个人信息的尊重来开发可持续的商业模式，而不是进行“数据的独裁”。

《财经》：一个担忧是，找到公司非法利用或者错误处理数据的证据对个人来说很难。这是当我们在讨论个人信息保护时所面临的最大挑战吗？

Buttarelli：个人感受到失控的原因有很多，不止你提到的难以获得证据。还有：算法决策的不透明性；在一个复杂的数据生态系统中，非法处理数据者的责任分配等都构成挑战。相比而言，捆绑合同、不公平的服务只是增加了一些困难。

GDPR考虑到了这些挑战。它首次明确承认，数据权利组织可以成为个人和系统之间的中间人，可以在法庭上代表个人的利益，帮助个人寻找有效救济。我非常支持这一条款——个人不能在为自己的权利而战时被孤立。

法规是否过于严苛

《财经》：GDPR提出的许多新权利备受关注，如基于隐私的设计（Privacy by design），企业在进行个人数据处理时，应采取匿名化、数据最小化等必要技术措施；默认隐私保护（Privacy by default），默认情况下，个人数据仅在必要时才能被收集和使用；数据可携带权，用户有权向企业索取有关自己的个人信息，并自主决定用途，这意味着用户可以在不同网站间进行个人数据“搬家”，实现自己数据资产的管理；等等。这些新权利背景下，GDPR有何进一步重要意义？

Buttarelli：首先，它加强了数据主体的权利，规定了许多新的权利，比如数据可携带权等。虽然“默认隐私保护”和“基于隐私的设计”是公司的义务而非公民的权利，但它们的有效实施也将增强用户权利。

其次，加强了商业主体的责任。数据控制者们被要求在进行数据处理之前更好地评估影响，并对其行为负责。

最后，只要是向欧盟范围内提供服务的公司等数据控制者，即便建立在欧盟以外，GDPR也对其适用。我们希望欧盟范围内的法规统一适用，即一站式监管，实现欧盟范围内只需向一个法律机构提供电话号码、电子邮箱和联系人，而不是向28个成员国分别提供。

GDPR既有对旧规则的延续，也有许多创新。许多公司正在采取措施调整做法，有很多积极信号。我们正在接近大数据世界，需要以未来为导向，使规则在数字社会中被很好地应用。

《财经》：许多从业者认为法规过于严苛，因此不能有效实施，你认为这是个问题吗？

Buttarelli：我认为恰恰相反。GDPR生效前的一个现实是，遵守数据保护法规与否对于公司来说不重要，他们甚至为可能的制裁准备好了预算。但未来完全不同，当人们有选择性地对待这一法规时，特别是严重而反复违法时，会受到严厉的制裁。

我们也会引入其他国家关于执行法律的经验。过去，欧洲一直被批评有坚实的理论基础而缺乏强有力的执行能力。

世界上121个国家如今有数据隐私保护条例，这些条例部分复制了欧盟原则。近期有人在国际研究中指出，中国关于个人信息保护的新国家标准也许在某些方面比欧盟更为严格。

《财经》：具体你们会采取什么措施确保它的执行？

Buttarelli：在执行方面，首先要成立一个新委员会以替代现存的咨询性组织——第29工作小组。

这一新实体被称为欧洲数据保护委员会（EDPB），我的数据保护专员机构（EDPS）会是这个组织的成员，并且接手其常秘书处。我们会确保委员会的新权力被负责任地行使。比如，在捆绑条款、认证标准、公司行为准则等方面发表意见和进行授权。我们也会更深入地向企业提供咨询意见，将他们的意见带到委员会。这一机构在GDPR实施的第一天就会开始工作。

其次，GDPR不仅意味着责任和义务，也是商业机会。因为涉及基于隐私的设计、默认隐私、数据安全、认证、合格鉴定、行为准则以及数据保护官等方面，会是世界小中型企业可以发挥的市场机会——它们可以提供服务帮助数据控制者合规，我认为这一市场潜藏着无限潜力。

《财经》：要维护数据权利的个人会得到什么支持？

Buttarelli：个人在寻求信息、进行声明或者投诉时会得到更多支配权，不论他们居住地在哪里、属于哪一个成员国，都可以向法院或者独立数据保护机构提出诉求。GDPR确认，在个人希望被通知、确认或验证数据的质量时，或者对于合法权益希望得到答案的时候，数据控制者们有给予快速回应的义务。

《财经》：个人的被遗忘权为什么很重要？

Buttarelli：被遗忘权早已存在，不是欧盟的发明，在许多国家是法律传统。一个小的创新之处在于，例如，数据主体可以直接去找谷歌寻求错误信息的删除，而不是通过很多步骤先找到原始信息源网站，再诉求搜索引擎作出更改。

《财经》：隐私保护和数据保护有何区别？

Buttarelli：二者在里斯本条约中是被分别规定的，在许多成员国的法律系统中也是。隐私更多涉及亲密层面，涉及“孤独生活”而不被披露某些敏感信息的权利。数据保护超越这一点，它给你作为数据主体的另一项独立的基础权利。这在实践中意味着，别人处理关于你的个人信息的方式，不管其是否属于隐私，都是你的权利。你有权要求信息安全，有权在你需要的时候获得关于你的全部信息。

《财经》：除了GDPR，还会有更多为了个人信息保护而需要做的法律变化吗？

Buttarelli：GDPR的成功很大程度上取决于欧盟数据保护和隐私框架其他要素的部署和完成。不过，现在仍有许多缺失，例如E-privacy 法规。因为GDPR需要与确保电子通讯秘密的规则相辅相成，现在是时候停止使用追踪技术来逃避检测，停止不断增加的数据收集周期。我希望立法机关能尽快完成网络隐私的“交通法规”。

仅有法律也是不够的。我们还需要投资于隐私增强技术以及加密技术，需要一套可持续的立场，说明国家和执法部门应如何获取商业和私人数据——人们不应该持续地被在线监控和控制。

最后，正如我之前提到的，我们需要一些关于数据流动的国际标准来补充贸易协定。

保护数据会阻碍创新吗？

《财经》：你同意GDPR是世界上最严格的数据保护法规，并将杀死很多商业机会的说法吗？

Buttarelli：不同意。我们生活在一个现代化的世界上，这里信任和开放都是本质的需求。对大数据世界来说，没有不断提升的透明度就没有成熟的改革。

我们坚信并承诺，保护数据和隐私不是创新或者经济增长的障碍，所以我们希望促进欧盟内部市场数据的流动。

问题可能出现于那些数据过度集中在少数手里的商业模式以及政治原因等，但这些其实与GDPR的影响无关。

《财经》：在欧盟运营的大公司和数据控制者们现在准备得如何？

Buttarelli：我在数据保护领域已经全职工作超过23年。回顾20年前，许多公司在争辩规则、请求延期执行或宽限期等。现在，特别是科技巨头们，都急于宣称他们愿意承担责任。

这一法规施行前他们曾有两年的时间准备。我们相信，特别是大的机构和公司能够很快遵守合规，不过，只有国家数据保护机构通过调查和审计，才能决定他们的努力是否足够。也许小中型企业在合规上会存在问题，这是我们作为独立的监管者将会关注的地方。

《财经》：数据保护担忧会否成为中国高科技企业进入欧盟市场的一个壁垒？你对此有何建议？

Buttarelli：任何企业在欧盟向个人提供服务和商品，都应当遵守GDPR。公司应当采取行动决定他们是否属于被监管主体。欧盟法院的判例明确指出，国家对数据保护和隐私权利的任何干涉都必须是适当和必要的，这也适用于对任何商业持有数据的获取。

这些都是基本要求，不仅适用于中国的高科技企业，也适用于所有想在欧盟做生意的企业。

《财经》：为什么GDPR这项数据保护法规在全世界都受到关注？

Buttarelli：GDPR标志着数据保护文化的变革。许多基本规则体现在里斯本条约中，有着和宪法一样的价值。