▲欧洲数据保护委员会的新任主席安德烈亚·耶利内克在布鲁塞尔欧盟总部宣布该机构正式成立。视觉中国

5月25日，被全球媒体称之为史上最严格的欧盟《通用数据保护条例》（GDPR）正式生效。相较于其对数据保护近乎于苛刻的界定，更令人关注的是它所规定的巨额罚款数额。根据这份最新生效的《数据保护条例》，任何违规的企业都将面临全球收入4%或2000万欧元的罚款，二者取较大值。

在生效后，GDPR将覆盖所有28个欧盟成员国，替代各国自己的相关法律。对于这项法规，欧盟期待其成为全球数据信息保护的“新标杆”。

保护条例酝酿已久

今年上半年，脸书数据丑闻爆发。拥有超20亿活跃用户的脸书，被指控将近5000万名用户的数据泄露给第三方公司进行大数据分析，而这一行为甚至被怀疑直接影响了美国大选和英国脱欧公投。因此，此次《通用数据保护条例》的生效，让人不得不将两件事情联系在一起。

而事实上，《通用数据保护条例》是欧盟酝酿已久的法规。2015年6月，欧盟成员国的司法及内政事务部长会议就五项原则达成一致，而这些原则也构成了新规的重要框架：第一，建立欧盟范围内的统一法规；第二，用户有权利要求互联网企业从网络搜索中移除个人信息；第三，即使设在欧盟以外的企业只要在欧盟范围内开展业务，也必须遵守欧盟的法律；第四，允许各国数据机构对触犯规则的企业征收高额罚金；第五，企业和用户只需要和任何一个成员国的数据监管机构进行互动，从而节约时间和费用。

其实早在1995年，面对当时方兴未艾的互联网，欧盟就推出了《数据保护指令》。随着互联网技术的发展，这项法规被认为无法再有效保护欧盟公民的信息安全和隐私，而此次生效的《通用数据保护条例》被普遍认为是《数据保护指令》的升级版。

欧盟加强机制建设

为能够更好地执行《通用数据保护条例》，欧盟也进行了相关机制的建设，其中最重要的就是成立了欧洲数据保护委员会。25日，欧洲数据保护委员会的新任主席安德烈亚·耶利内克在布鲁塞尔欧盟总部宣布该机构正式成立。耶利内克表示，欧洲数据保护委员会将负责执行欧盟《通用数据保护条例》；在必要的时候，该机构将集合28个成员国监管机构的智慧，找到欧洲数据保护的最佳方法。根据《通用数据保护条例》的规定，成员国都必须设立一个数据监管机构。

《通用数据保护条例》里有两点核心原则：一是任何机构获取用户个人数据，必须征得用户个人“明确同意”；二是消费者对“本人隐私数据由谁处理、作何用途”有知情权。具体到操作层面，网络用户一方面有权选择将什么样的数据信息提供给服务商，另一方面，也有权要求服务商把已经获取的信息删除，也就是颇受关注的“被遗忘权”。

对于《通用数据保护条例》的施行，欧盟各成员国的数据监管部门显得信心十足。德国数据保护协会负责人提洛·魏谢特说：“毋庸置疑的是，欧盟新条例在推动数据保护方面起到了非常积极的作用。对违规情况的惩罚力度之大，恐怕会让大企业尤其肉痛：罚款金额从眼下的最高30万欧元增加到了公司全球年营业额的4%。除此之外，监管部门的合作同样会进一步得到改善，维权也会变得更加有据可依。”欧盟委员薇拉·尧罗娃分管司法事务，她向媒体表示，新规将“让欧洲人重新掌控自己的数据”。

将产生巨大的合规成本

任何更加严格的监管，在保证安全的同时，势必会带来更大的合规成本，《通用数据保护条例》也不例外。从两个星期以前，记者和绝大多数欧盟公民或者生活在欧盟的外国人一样，开始收到“邮件轰炸”。这些邮件往往是各家公司强调自己将遵守《通用数据保护条例》，并且再次确认用户同意接受来自于他们的邮件。

欧洲的多家媒体都引用了去年来自普华永道的一份调查报告，该份报告调查了300家左右大型企业，绝大多数被调查企业均表示，为了能够使得自己在欧盟的业务符合《通用数据保护条例》，将付出超过100万美元的成本。

然而对于中小企业来说，合规成本将是一笔不小的开支。德国很多中小企业已经向外界表达了自己的忧虑。有评论指出，欧盟推出的这项法律本来是想打击谷歌、脸书、亚马逊等来自美国的巨头们。然而讽刺的是，这些资金雄厚的公司，可以轻而易举地组织起法律和技术团队，来实现完全的合规化。与之相反，那些规模较小的欧洲本土互联网公司，反而可能因为没有办法支付高昂的合规成本而逐步被市场淘汰。

另外，也有英国媒体指出，新的信息规定将让时下流行的大数据和云计算“感到紧张”。因为这些领域非常容易触犯到新施行的法规。而在这两个领域，目前美国、日本、中国和欧盟竞争激烈，新的法规很有可能让欧盟在竞争中处于劣势。   （本报柏林5月27日专电）

作者：文汇报驻柏林记者 赵海博

编辑：陆益峰

责任编辑：沈雷

*文汇独家稿件，转载请注明出处。