違反歐盟《通用數(shù)據(jù)保護(hù)條例》 亞馬遜可能面臨7.46億歐元天價(jià)罰款

亞馬遜“攤上”事兒了。

近日彭博社表示，因違反歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)，亞馬遜可能面臨 7.46 億歐元(約合 8.88 億美元)的天價(jià)罰款。這或?qū)⑹菤W盟有史以來最大的數(shù)據(jù)隱私泄露罰款。

7 月 30 日，亞馬遜在一份監(jiān)管文件中，披露了盧森堡的數(shù)據(jù)保護(hù)委員會 CNPD7 月 16 日的決定。

該決定表示，歐洲的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)有權(quán)對亞馬遜處以全球年銷售額 4% 的罰款。不過，這筆罰款金額并沒達(dá)到這個數(shù)。

堪稱史上最嚴(yán)的個人信息保護(hù)法 GDPR，可以說讓歐洲各大企業(yè)“人人自危”。其中有一條規(guī)定就足以讓企業(yè)“聞風(fēng)喪膽”：如發(fā)現(xiàn)嚴(yán)重違規(guī)，最高可罰 2000 萬歐元或企業(yè)上一財(cái)年全球營業(yè)總額的 4%，以較高者為準(zhǔn)。

昂楷科技 CEO 劉永波曾表示，GDPR 除了天價(jià)罰單，最值得關(guān)注的點(diǎn)，應(yīng)該是它作為一個專門保護(hù)個人信息法案的出臺。普通的個體并不是這些信息保護(hù)法案的主要針對者，而 GDPR 第一次把目標(biāo)明確地指向了相對弱勢的個人。

普通用戶的數(shù)據(jù)一直被濫用

在過去十幾年互聯(lián)網(wǎng)的快速發(fā)展中，個人信息正在大規(guī)模地被各類企事業(yè)組織所采用，無論是打車、外賣、網(wǎng)購，還是在公共服務(wù)領(lǐng)域，都會大規(guī)模采集公民個人信息，近年來有關(guān)個人信息泄露的案例更是數(shù)不勝數(shù)，所以這個問題是全球各個國家都正在面對的。

而 GDPR 的到來，讓人驚呼，從未有一部法案對個人信息的保護(hù)規(guī)定的如此周詳。

例如，我們身邊經(jīng)常出現(xiàn)過于精準(zhǔn)的廣告推送，在淘寶上刷到了偶款心儀的產(chǎn)品，結(jié)果在微博也看到了相關(guān)的推送。從廣告匹配的實(shí)現(xiàn)原理上說，它是在用戶訪問網(wǎng)站時(shí)，在你的瀏覽器里寫入一些 Cookies ，淘寶通過其廣告平臺來利用這些 Cookies 對應(yīng)顯示更為精準(zhǔn)的廣告。

雖說近年來我們已經(jīng)對這種精準(zhǔn)的廣告推送習(xí)以為常，但這背后的操作在 GDPR 這里是違規(guī)的。

為什么說 GDPR 堪稱最嚴(yán)?劉永波從授權(quán)、適用范圍和撤回這三個具有代表性的條例來分析。

1、從授權(quán)來講

數(shù)據(jù)的收集必須事先征得數(shù)據(jù)主體的同意，而且 "同意" 必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的，不能是以非常隱晦的手段。因?yàn)橛脩粼谶@種情況下是處于弱勢地位的，特別是一些常用的 App，為了生活的便捷，很多人不得不選擇同意。

比如國內(nèi)企業(yè)常用的，以小字號淡顏色甚至缺省方式獲取用戶的授權(quán)，通過冗長晦澀的隱私政策來獲取用戶同意，或者讓用戶在簽訂業(yè)務(wù)協(xié)議時(shí)通過 "打勾" 作出一攬子授權(quán)，都可能被認(rèn)定為違規(guī)。

2、對于數(shù)據(jù)使用的范圍，更加嚴(yán)格

如果企業(yè)將數(shù)據(jù)使用的范圍擴(kuò)大，無論是將數(shù)據(jù)提供給了第三方，還是把數(shù)據(jù)作為企業(yè)對外服務(wù)的一部分(比如提供給廣告企業(yè)作為營銷推廣對象，或者作為對外發(fā)布的報(bào)告中的案例)，都必須重新獲取數(shù)據(jù)主體的授權(quán)和同意。

以我們剛剛提到的淘寶和微博為例，根據(jù) GDPR 的要求，如果以后遇到類似微博要用淘寶數(shù)據(jù)的情況，必須明確告知用戶使用理由和范圍。并獲得明確同意。

3、GDPR 賦予數(shù)據(jù)主體可以隨時(shí)撤回同意的權(quán)利

如果這組數(shù)據(jù)已經(jīng)傳播出去，或者給第三方使用了，企業(yè)還有責(zé)任通知數(shù)據(jù)的使用者刪除。

比如在知乎上發(fā)帖，如果牽扯上他人隱私，當(dāng)事人要求刪除，如果按照 GDPR 的條例，該帖子必須刪除。

可以這樣說，GDPR 賦予了數(shù)據(jù)主體更為明確的同意權(quán)、訪問權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)、拒絕權(quán)及自動化自決權(quán)等廣泛的權(quán)利和自由。

也許有人會認(rèn)為，如此嚴(yán)格的 GDPR 會妨礙部分企業(yè)的發(fā)展，對于手握大量數(shù)據(jù)的公司而言，很難辦。

劉永波表示，對于在海外開設(shè)分公司的國內(nèi)企業(yè)，只要為歐盟境內(nèi)的數(shù)據(jù)主體提供了服務(wù)，即使其在歐盟境內(nèi)沒有設(shè)立任何分支機(jī)構(gòu)，也依然受到 GDPR 的管轄。

GDPR 的到來，對于企業(yè)而言，無論與通訊有關(guān)的廠商，還是為用戶提供服務(wù)的 App 公司，未來在數(shù)據(jù)的收集、駐留尤其是在云上的數(shù)據(jù)流轉(zhuǎn)和使用，將會更為嚴(yán)格。比如為了達(dá)到更為明確的知情權(quán)，企業(yè)就要重新搭建一個新的系統(tǒng)，讓用戶選擇同意與否，這些都會增加企業(yè)的成本，而這些成本，未來還是要轉(zhuǎn)移到用戶身上的。

為了合規(guī)，也需要很多廠商一起拿解決方案，眾多產(chǎn)品和技術(shù)要重新規(guī)劃，不過整個歐盟用統(tǒng)一的規(guī)則也避免了企業(yè)根據(jù)各個國家的不同要求而進(jìn)行調(diào)整。

從長遠(yuǎn)來看，GDPR 對行業(yè)的發(fā)展是有好處的。

正如劉永波所言：“好比說開車，如果沒有交通的管制，車還少的時(shí)候，肯定是很舒服的，但如果到了早晚高峰，不制定相應(yīng)的規(guī)則，是很可怕的，大家都說人工智能需要算法，但如果算法的數(shù)據(jù)來源本身就是違規(guī)的，這樣的算法你還敢用嗎?”

亞馬遜不會是最后一個被罰的企業(yè)

亞馬遜之前，在歐盟最大的中槍者是谷歌。

2019 年 1 月 22 日，谷歌被法國隱私監(jiān)管機(jī)構(gòu)國家信息與自由委員會(CNIL)處以 5000 萬歐元(約合 5700 萬美元)的巨額罰款。

CNIL 曾表示，用戶在訪問谷歌提供的信息時(shí)，需要五、六個繁瑣的步驟，即便完成后，依然不能獲取完整的信息。這違反了 GDPR 有關(guān)透明度和信息的規(guī)定，并且谷歌也違法向用戶推送個性化廣告。

隨著信息安全的發(fā)展，我國關(guān)于數(shù)據(jù)資源保護(hù)也采取了行動。

2020 年 4 月 9 日，中共中央、國務(wù)院首次公布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》，首次將數(shù)據(jù)列為除土地、勞動力、資本、技術(shù)之外的第五大生產(chǎn)要素。

2021 年 7 月 6 日，深圳市第七屆人民代表大會常務(wù)委員會公告(第十號)公布《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》，內(nèi)容涵蓋了個人數(shù)據(jù)、公共數(shù)據(jù)、數(shù)據(jù)要素市場、數(shù)據(jù)安全等方面，是國內(nèi)數(shù)據(jù)領(lǐng)域首部基礎(chǔ)性、綜合性立法。

其中有個方面值得關(guān)注，就是所有處理個人數(shù)據(jù)的都要基于告知同意的基本原則。例如，當(dāng)我們登錄手機(jī) App 的時(shí)候，彈出的“要求 App 不跟蹤”和“允許”，就和上述條例有關(guān)。

如今，全球的科技巨頭們正在成為全球各國反壟斷的重點(diǎn)監(jiān)管對象，而亞馬遜也不會是最后一個被罰的企業(yè)。

關(guān)鍵詞： 歐盟 通用數(shù)據(jù)保護(hù)條例 亞馬遜 天價(jià)罰款