欧盟GDPR新规已生效五天,就问谷歌、Facebook们怕了没
2018-05-30 17:39

欧盟GDPR新规已生效五天,就问谷歌、Facebook们怕了没

本文首发于航通社,原创文章未经授权请勿转载

航通社 (ID:lifeissohappy) 微博 @lishuhang


简称为GDPR的欧盟《通用数据保护法案》日前已正式生效,包括中美在内的全球众多科技企业都在忙着整改,或是撤下原本向欧盟用户提供的服务。而欧盟相关机构和个人针对谷歌、Facebook等科技巨头发起的诉讼正在路上。


GDPR是有史以来对用户个人数据和隐私保护最为完备,对大企业的监管和处罚措施也最为严厉的制度。这样的制度诞生在欧盟,不是没有道理的。欧洲虽然在信息化时代没能如过去工业化历史那样,产生特别大型的、影响全球的互联网企业,但这恰好让他们在制定各种监管措施的时候,没有了顾此失彼的心理包袱。


一、“冰火两重天”


为了GDPR这个可能牵一发而动全身的超级法案,欧盟提供了两年的缓冲期——从2016年开始到现在。但仍有一部分公司没有及时做好准备。他们仓促地应对,引发了背后藏有猫腻的猜测,但更多情况下,只是因为他们对欧洲法律的水土不服。


这使得全球各地的互联网用户们,根据他们平时所使用产品的不同,可能会面对或幸福或痛苦的“冰火两重天”。如果你在欧盟生活,体验尤为明显。你会发现,有很多你想不起来在某个时间曾经注册过的互联网服务,都向你的邮箱发来了确认邮件。有些是重新说明需要根据欧盟的要求,告诉你他们收集了你的什么信息。


而另外一些,则是需要等待你的同意才能继续服务。因为你迟迟没有同意,所以他们发了最后一封邮件向你告别,说明他们将会删除你的帐户。都不用你动一根手指,点一个链接,某些在平时你可能根本没法注销的服务,如今自动为你提供了解脱的机会。


停止或暂停服务的一系列公司,也包括总部在美国或中国的企业。今年4月,QQ国际版发布公告称在欧洲暂停运作。虽然当天QQ方面就辟谣说只是要等待下一个版本升级,但符合GDPR要求的新版并未及时上线。



图 / 澎湃新闻


颇具戏剧性的是,很久没人用的腾讯微博突然“诈尸”,发布了一个iOS版本更新。更新日志里面只是简单的说“修复了bug”。这在国内引发了腾讯微博可能会复活的猜测,毕竟腾讯已经捡起了多年不用的“微视”品牌。但是更有可能的是,这只不过是为了让这片已经荒芜的园地,在GDPR下还能合规而已。


同时,小米生态链企业的YeeLight智能灯泡产品,因为无法赶在GDPR生效之前满足合规要求,而不得不暂停服务。虽然仅仅向欧盟用户关闭服务会更好一些,但是这些公司执行的全球化策略往往是一致的,这就使得很多本来针对欧洲用户的措施,会传导到全球所有用户。


不仅如此,有些人们常去的网站,还针对欧盟境内的读者推出了更清爽的阅读体验——前所未有的清爽。例如《今日美国报》,它们厚道地提供了一个完全没有广告,没有Cookies跟踪,甚至不含有任何JavaScript代码的极简版面,其加载速度也是现代互联网行业中罕见的。



图 / 《今日美国报》


不过,身在欧盟境外的用户只能用远程虚拟机访问,否则会被重定向到默认的《今日美国报》官网,看到的仍旧是“五毒俱全”的完整版。这种“欧洲用户专享体验”前无古人,却并不是后无来者。看看美国公共广播电台(NPR),他们提供了一个复古纯文字版本的网站。




这当然完全符合欧盟的最新规定,以及未来不知会怎么进化的任何规定。它当然没有能力调取用户的一点半点信息,同时可以让你梦回30年前。


为什么我会在这个纯文字版的页面上,读到一种破罐子破摔的潜台词呢?这些功能缩水的页面,都只是上述网站所提供内容的一小部分。因为网站的整体结构都发生了变化,所以之前精心制作的一些富文本内容,例如HTML5专题页面,还有多媒体内容如声音和视频等等,可能暂时都无法让欧盟用户看到。


这是欧盟用户暂时需要承受的损失,也让他们在去广告的“专享体验”之余有了丝丝惆怅。


二、不许二选一


与此同时,《华盛顿邮报》的解法就相对粗暴了:欧盟用户被推荐了一个比一般订阅数字报还昂贵的套餐,在付费内容之外,去掉了广告和可能的数据跟踪、个性化推送等,每个月的费用折合3美刀。




当然,像贝佐斯这么精明的老板,是不可能只让你每个月花3美元就去广告的。你必须购买数字版再额外添加3美元,才能付费去广告。不然呢?《华盛顿邮报》提示欧盟用户,继续免费看就只能证明“你认可我们使用Cookies,以及被美国的和其他第三方的机构跟踪,好为你提供个性化的广告”。


在GDPR下,《华盛顿邮报》仅仅提醒用户免费选择的风险,却不能断绝他们继续免费浏览的渠道。这已经算是商业公司能做到的极限了。


今年年初,中国也展开一轮执法行动,让所有的网络服务提供商,必须向中国用户说明自己的隐私策略,包括收集了用户哪些个人信息。但是包括微博、微信、QQ、知乎、今日头条等几乎所有常用的软件,都设计了必须点击同意才能继续使用的隐私策略展示页。


即使用户已经看到了可能会涉及到个人信息的条款,也不得不点击同意才能使用,不然就要退出软件。在欧盟,这样做会被相关机构和个人盯上,一场场不间断的诉讼随时等待着违反条约的公司。


在奥地利做律师以及隐私相关社会活动的Max Schrems,直接瞄准了Android、Facebook、Instagram、WhatsApp。Schrems以在GDPR生效之后,上述应用依然以“要么接受,要么滚”的“二选一”方案逼迫用户为由,直接对谷歌、Facebook提起诉讼,打响了GDPR相关诉讼的第一枪。


根据GDPR的规定,被判违法的公司需要支付罚款,数额相当于其全球营业额的4%,或最高2000万欧元(如果营业额没那么高的话)。如果顶格处罚的话,谷歌和Facebook将会分别被处以30亿美元~40亿美元的罚款。


在此前的一次公益诉讼当中,所谓“避风港”,即科技巨头们将案件转移到欧盟以外(多数情况下是美国)的法院进行审讯,这样的情况可能会被断绝了。


Schrems选择在爱尔兰提起诉讼,因为此地是Facebook在美国以外的海外运营总部的所在地。Facebook请求将案件转回美国的法院审理。但是在5月初,爱尔兰高等法院下令将此案立即移交给欧盟最高法院,因为担心美国法律缺乏与欧盟法律规定对等的有效救济措施。


科技巨头们愿意用一切可以用的手段,包括让用户“二选一”,去规避必须做出的让步。既然欧盟不让用户“二选一”,那么相关企业就只能“三选一”了:对软件做出改进,提供功能缩水的版本,或者干脆停止服务。这就导致了上文所讲的许许多多的改变。


三、理解但不宽容


事实上,欧洲的立法和执法部门,在GDPR的制定和实施过程中所堵上的法律漏洞,远远不止科技公司要求异地审判这一点。


在长达91条、200多页的法案中,还规定了使用用户数据生成大数据画像的算法,必须向社会公开其基本运行原理,以及输入输出结果;不可以用算法黑箱子或者是商业机密为借口,在收集用户数据的同时不给出理由。


同时,法案要求所有的数据必须是最终用户可以完全控制的。这种控制体现在,他们可以自主决定分享/不分享哪些内容,将自己的数据导出/转移到其他平台上不受限制,以及在注销自己的账号之后,不在原网站上继续留存信息的“被遗忘权”。


没有对比,就没有伤害。人们可能仍会对扎克伯格在“剑桥分析”事件之后,到美国国会作证的情景记忆犹新。连续两次询问,并没有让扎克伯格承担太多的压力,反而为他的形象加分。当议员们问出了各种无聊或荒诞的问题时,屏幕内外的人都替扎克伯格松了口气:“幸亏这帮老家伙不懂互联网。”


新浪科技曾写道,两场听证会累计开了八九个小时,其中五小时都是重复内容。有众议员将话题引回到了Facebook是否有责任保护用户隐私的问题上,这已经是当天第84次提到相关话题了。至于有议员说,自己闲聊的内容转瞬间出现在了Facebook上,还有说在个人发布的信息中卖药等无关主旨的问题,则更是层出不穷。


5月22日,扎克伯格在欧洲议会接受12位议员的质询时,气氛迥然不同。


这次听证会并非冗长的马拉松式,总共只有一个半小时。但是议员们提出的问题都相当尖锐,毫不浪费时间;而扎克伯格也意识到了环境的凶险,整体回答问题的时间仅仅占了15分钟。欧洲议员批评他大部分时间都在避重就轻,表达了不满。


此前的5月16日,扎克伯格还因为拒绝到英国出席听证会而面临被捕的风险,或者他可能会在今后去伦敦希思罗机场转机时,被要求在机场作供。英国即将脱欧让英国人可能会被排除在GDPR保护范围之外,他们需要一个能和GDPR大致看齐的规定。而英国的立法水平可以说和欧盟不相上下。


有别于1998年那次险些分拆微软的反垄断案件,也不同于美国国会对扎克伯格过家家一样的质问,GDPR既体现出欧盟官员们对技术的相对了解,同时也体现出他们对技术的不宽容。


四、靠法律回到中心舞台


在扎克伯格出席美国国会听证的时候,人们回想起了1998年比尔·盖茨参加国会听证会的往事。由于盖茨当年在听证会上的态度比较傲慢,导致司法部做出将微软分拆的判决,盖茨不得不用巨额和解金、游说资金,与向鲍尔默交班的代价,来弥补自己犯下的错误。


美国国会、司法部等部门的听证会,都是为了让原本不明白科技是怎么回事,具体原理如何的立法、司法人员,弄清楚事件运行的基本原理,并且将这些陌生概念,套用到他们已经很熟悉的传统法律框架内,从而代表人民做出决断。


因此,当扎克伯格以谦谦君子的合作者姿态出现在美国国会的听证席上的时候,他对这些不懂技术的老家伙们,表现出足够谦虚和配合的态度,恭敬承认他们的地位和权利,并最终通过幽默的方式化解危机。扎克伯格与这些议员们个人之间达成了和解,就间接与他们代表的整个美国达成了和解——虽然事实是不是这样很难说。


在中国,科技企业与监管间的关系,也呈现出类似的微妙状态。


一方面,科技企业的违规违法行为,确实会干扰社会的正常秩序,或者引发一定程度的民意反弹,这些都是管理者不得不面对的。而不同利益诉求相互交织,也造成一些科技企业对未知的禁令战战兢兢,如履薄冰。


另一方面,科技企业作为中国未来经济转型发展的动力和希望,从微观上来说,也跟各级主管部门招商引资,经济发展的目标是相适应的。因此,政府有足够的诱因,和这些出自本土的科技企业达成合作,站在同一条战线上。


总体上,因为中美两国的科技企业都涌现出了一些真正能对全球市场产生影响的巨头,两国对科技企业的监管及规范,只可能是引导和扶持,而绝不能是打压处罚为主。


特别是在中国,对于用户基本权益保障相对不完善,以及有足够充足的劳动力和网民资源,都使得中国不仅成为电商、外卖等线下服务的福地,更成为了需要大量语料、原始数据训练的人工智能技术发展的试验田。


在谷歌助手演示AI向餐厅打电话订餐的几乎同时,微软小冰在中国境内向数千名登记参与测试的用户“打电话”。通过收集他们的语料资源及聊天记录并加以分析,小冰向他们的手机拨打了完全由人工智能生成的语音通话,并且实现了全双工的对话功能。


至于其他可能会被GDPR严厉查处的行为,例如对比全国所有电脑用户的开机时间,生成用户看哪些类型电影的偏好等,花样百出的大数据统计报告,在中国更是司空见惯,已是家常便饭。


那么,欧洲呢?


也许二战后的欧洲人并不算很民族主义,所以欧盟的管理者们,不太可能会因为一家美国或中国公司,抢走了本来可能在欧洲大陆成长起来的互联网企业的机会而耿耿于怀(在这方面,可以跟中国的民意对比一下,我们几乎缺什么都想补回来)


但是,面对一家海外公司占据了本地市场主导地位的局面,在行使监管权力的时候,却不能随心所欲像美国或中国那样关起门来由自家去处理,这才是让欧洲人真正烦心的问题之一。同时,欧洲客观上不存在众多需要监管的超级企业的事实,让他们可以放心将立法的天平,更多地倾斜于保护用户权益上。也不用担心过于严苛的处罚,会阻碍当地科技创新及巨头向政府纳税。


有统计认为,隐私相关的GDPR对于科技企业可能造成的处罚金额,大致相当于企业违反欧盟反垄断法所带来的处罚金额。实际上,GDPR所起到的作用,也在某种程度上跟反垄断法类似,都能够保护本国相关小型企业,免遭大企业肆虐的灭顶之灾,为市场带来公平。


但是,反垄断法一般需要一定时机来触发。例如,在高通和恩智浦的收购案中,中国做出反垄断调查,就是为了对冲美国对中兴通讯所进行的调查。GDPR的实施则相对灵活了许多。在GDPR之前,欧盟也有过其他针对科技企业监管的“神来之笔”。微软、高通、谷歌、Facebook等公司,无一例外都曾成为欧盟关注的对象。


1998年、2004年和2008年,欧盟分别针对微软的Windows操作系统,提出三次有关反垄断的调查。分别是关于Sun系统公司称微软在Windows内捆绑Java运行时环境、Windows Media Player媒体播放器、捆绑IE浏览器。


针对欧盟各种要求,微软相继推出了在欧盟流通的,不预装媒体播放器和浏览器的特别版本Windows。2009年,微软最终向欧盟妥协,为双方11年间的频繁过招划上句号。


微软分两次被欧盟处罚8.99亿和5.61亿欧元,英特尔被处罚过10.6亿欧元,Facebook收购WhatsApp曾经被罚1.1亿欧元。2017年6月,欧盟向谷歌收了24.2亿欧元的罚款,刷新了此前所有对科技企业罚款的记录。


此外还有查税:谷歌在西班牙和法国的办公室都曾在2016年被突击检查;今年4月,苹果向爱尔兰补缴了欧盟声称拖欠的130亿欧元税款的一部分。


这样看来,欧洲人民虽然没有创造出太多信息科技跨国公司,但是在信息立法、执法方面的成就,可真是领先世界,无人匹敌。

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定