新浪法問 李詩韻

　　距離《一般數據保護法案》正式生效前的三天，扎克伯格因Facebook數據泄露事宜接受了歐洲議會的質詢。此次聽證會，扎克伯格被要求解釋Facebook在劍橋分析數據泄露事件中的責任、新的歐盟隱私法案《一般數據保護法案》的合規情況等。

　　據報道，該聽證會持續了一個多小時，但扎克伯格回答時間僅15分鐘。扎克伯格針對質詢回應稱，Facebook將嚴格遵循《一般數據保護法案》（General Data Protection Regulation，簡稱GDPR）。此外，他還補充稱，許多歐盟用戶已經閱讀并同意了平臺上的新隱私政策，新隱私政策符合了（上述法案）的要求。

　　被反復提及的《一般數據保護法案》到底是什么？

　　蘇黎世中國金融險專家向新浪法問介紹稱，GDPR其實并不是一個很新的概念。 早在2012年，歐洲各國就在討論推行一部新的關于信息數據保護的法案，用于替代已經稍顯過時的舊指令（Data Protection Directive 95/46/EC）。

　　根據該法案，企業在收集和處理個人敏感信息要求獲得數據當事人的明示同意，不能像過去一樣提供長篇大段晦澀的法律條文要求用戶點擊接受以獲得授權；法案還給予數據當事人被遺忘權，例如用戶可以注銷刪除個人社交賬號的信息；而16歲以下青少年使用互聯網在線服務時，企業獲得的數據，在進行處理時還需要得到其父母的同意等……

　　經過近四年的討論，歐洲議會于2016年4月14日通過了新的法案，即《一般數據保護法案》（General Data Protection Regulation（GDPR））。法案將于2018年5月25日，即本周五在28個歐盟成員國統一實施生效。

　　對于中國企業的影響主要在哪里？

　　雖然上述探討的法案受眾似乎是歐盟公民，影響范圍在歐盟地區。但蘇黎世中國金融險專家提醒稱，GDPR其實不僅適用于在歐盟國家注冊的組織機構， 也同樣適用于任何在歐盟以外地區注冊但為歐盟地區提供商品和服務， 并監控個人行為和數據信息的組織機構。

　　換言之，“隨著國際化進程的推進， 越來越多的中國企業與歐洲企業開展了商業合作，這也意味著所有與歐洲企業有業務往來的中國企業也同樣要遵守該法案并受其管轄，對中國企業的信息安全管理提出了更高的要求”，該專家向新浪法問表示。

　　值得注意的是，GDPR中設置了巨額懲罰上限，最高可達上億元人民幣。具體根據違法程度的不同，規定了不同程度的法律責任，主要為如下兩種情況。一、對于一般違法行為，罰款的上限是1000萬歐元或前一年該企業全球營業收入的2%，以較高者為準。二、對于嚴重違法行為，罰款的上限是2000萬歐元或該企業前一年全球營業收入的4%，以較高者為準。

　　PwC Legal China*分析報告稱，該巨額懲罰金額的規定無疑給企業上了緊箍咒，尤其是Google、Facebook這些擁有大量個人數據的跨國公司，一旦從事了違反GDPR的行為，罰款將可能會是上億美元。

　　針對全球性的跨國企業尚且如此，落實在中國的互聯網巨頭或是從事數據收集分析相關的公司，該條案影響力之大毋庸置疑。

　　蘇黎世中國金融險專家也認為，相較于國內的《網絡安全法》中100萬元人民幣單項罰款的上限，GDPR的罰款對于違法企業來說是一項極其難以承受的損失，違法成本大大提高。這也是為什么有些企業寧愿關停經營也不愿觸犯法案的原因。

　　而隨著《一般數據保護法案》的正式實施，國內相類似的《網絡安全法》（草案）也再次成為關注點。據PwC Legal China*分析報告，《網絡安全法》（草案）中就個人信息保護也進行了專門的規定，但該等規定仍較為宏觀和粗線條，目前也沒有配套的可執行的操作細則，“我們預計中國就個人信息保護的立法很可能會借鑒甚至是吸取歐盟GDPR的相關內容。”

　　*北京瑞栢律師事務所和上海信栢律師事務所（均以“PwC Legal China”的品牌運營）為經中國司法部注冊的中國律師事務所。