来源：Tow_Center

作者：Susan McGregor & Hugo Zylberberg

编译：张梦

2018年5月25日，“通用数据保护条例”（下称GDPR）将生效。该法规规定：未能达到GDPR要求的对象，需缴纳2000万欧元或公司全球年度收入的4％作为罚款，数目以较高者为准。

这套隐私法规将影响全世界为欧盟居民提供服务，并在此过程中收集数据的组织（从软件生产商到服务提供者），将从根本上改变收集数据的组织之间的关系和数据所涉及群体之间的关系。同时，GDPR可能对数字平台和广告公司的运营造成重大影响，而借助技术平台发布广告并利用平台数据的媒体也将承担相应的责任。

本报告包含三部分：第一部分概述数据保护的背景，比较GDPR与欧盟之前的监管政策以及美国的现行惯例和法律有何不同；第二部分概述GDPR的主要内容；最后一部分通过对政策文件的解读和对行业专家的采访，阐述GDPR对技术平台、数字广告商和媒体的潜在影响。

数据保护的背景

1、欧盟的数据保护历史

虽然自1990年代中期以来，欧盟已有以数据保护为导向的法律框架，但先前法规的影响的范围和直接性与GDPR相差甚远。1995年，欧盟通过了《关于与个人数据处理相关的个人数据保护及此类数据自由流动的指令》即《个人数据保护指令》，并建立了正式的数据保护工作组WP29。2009年，《欧洲联盟基本权利宪章》生效，其中第7和8条规定“视个人数据保护为基本人权”。

《个人数据保护指令》规定，只有当欧盟委员会认定某国家可以保障个人数据，并特别考虑数据性质，提出处理数据的目的和持续时间，明确数据流通的起源国家和最终目的地，有相应的法律、规则和安全措施时，欧盟公民的信息可以被转移到欧盟以外的国家。这被称为“适当的决策”。

虽然《个人数据保护指令》为欧洲公民保障了许多关键数据权利，并创建了“数据保护部门”(DPAs)，但该指令的实际执行由成员国决定。此外，《个人数据保护指令》的领土适用性模棱两可，这导致了执法的不确定性和一系列法律纠纷。

2、美国的数据保护历史

尽管美国宪法第四修正案通常被认为保障了“隐私权”，但与欧盟不同，美国“没有一个单一的、全面的数据隐私和保护框架。”相反，它的数据隐私法经常被认为是联邦和州法规的“拼凑物”，比如1974年的《隐私法案》、1986年的《电子通信隐私法》、1996年的《医疗保险可移植性和责任法案》等。美国的框架在很大程度上依赖于个人可识别信息(PII)的概念。但GDPR认为任何可以链接到个人的数据（即使只是与其他数据相结合）都是“个人数据”。这大大扩展了需要征得用户同意的数据类型。

美国官员和行业代表认为，美国的做法比欧盟的“一刀切”更灵活，更可能促进公司创新使用个人数据，不受繁琐的数据保护规定所累。然而，美国一些关切隐私保护的团体一直敦促国会制定全面的数据保护法案。

3、欧盟与美国之间的数据流动

为确保欧盟和美国间个人数据资料的安全转移，2000年双方签订了“安全港协议”。加入协议的美国企业需遵循通知、选择、向外转移、安全、资料完整、获取和执行7大原则，否则可能面临诉讼，且欧盟和美国间的数据流通可能中断。2015年10月6日，欧盟法院(CJEU)宣布安全港无效，原因是安全港有太多漏洞。这个裁决导致了美国和欧盟之间长达数月的谈判。2016年2月2日，双方签订了“欧盟-美国.隐私保护（the EU-U.S. Privacy Shield）”框架协议，于2016年8月1日开始生效。

该保护框架专注解决三方面问题：美国公司应如何处理欧洲人的数据信息，限制美国政府访问和分享欧洲人的数据，为那些认为自己的数据被滥用的欧盟公民提供司法补救方案。此外，参与隐私保护的公司承诺遵守以下七项隐私原则：通知要求、使用限制、退出选择、安全保证、访问权、追索权和责任权利，以及继续转让的责任。

欧盟委员会每年会审查该协议的有效性。2017年10月，欧盟委员会发布了第一份隐私保护审查报告。报告显示，隐私保护协议将继续保护从欧盟转移到美国的个人数据，且美国有必要的结构和程序，以确保隐私保护的正常运作，包括补救措施。然而，尽管目前隐私保护审查的结果相对正面，但随着GDPR的实施日期临近，担忧和不确定性依然存在。

GDPR的主要内容

欧盟委员会于2012年1月25日发布了GDPR的第一个版本，要求加强法律对经济经营者和公共部门在个人数据处理方面要求的确定性。“GDPR的目标是通过协调和加强欧洲的数据隐私法，朝着数字单一市场的方向努力，从而重塑整个地区(以及其他地区)的组织方式，以保护数据隐私。”

GDPR的颁布，延续了欧盟在“个人数据治理”上的优良传统。与之前的法规不同，GDPR适用于收集欧盟居民数据的组织，即使该组织在欧盟并无实体存在。因此，尽管非欧盟的组织不太可能因GDPR而受到直接审查，但它们仍受制于相应规定，并可能调整自身战略。

1、数据收集模式和要求

GDPR并没有禁止公司收集或使用个人数据，“知情同意”是其要求的数据收集模式。它详细地说明了如何(以及何时)需要获得用户同意，并限制了存储和传输个人数据的方式。GDPR要求某些公司指定数据保护人员(DPOs)，负责确保和证明企业运作是否合规。此外，它还为个人提供了数据滥用的投诉途径，并概述了这些投诉将被评估和解决的程序。

GDPR不仅扩充了《个人数据保护指令》的许多条款，也增加了许多新的规则和概念，包括管理个人数据处理的原则、数据主体的新权利、数据控制和处理的更多义务，以及关于补救的规定。

（1）处理个人资料的原则

问责：“控制者应该确保处理个人资料原则得到实施”。数据保护负责人的设置、审计以及发布对最敏感信息的数据保护影响评估，都倾向于保障这一原则的实施。

儿童保护：在某些司法管辖区， GDPR要求组织在收集16岁或13岁以下儿童的数据时，必须获得家长的授权。

（2）数据主体的权利

用户界面：征求用户同意数据收集和处理的相关信息应该是简明、透明、可理解、易访问的，应该使用清晰和简单的语言。

删除权和数据可传递性：数据主体必须能够在任何时候访问、传输、纠正或删除他们的数据，并撤回对其继续使用的同意，且请求不能被无故延迟。

（3）数据控制者和处理者的义务

隐私设计：实施适当的技术和组织措施以实现数据保护原则，如数据最小化；应确保在没有个人干预的情况下，个人资料不能被不确定的自然人处理。

数据泄露通知：数据控制者应在知晓数据泄露后的72小时内，将信息通知监管机构，否则，应附有延迟原因。

（4）规定赔偿

补偿和赔偿责任：任何因违反本法规而受到物质或非物质损害的人，有权从数据控制者或处理者那获得赔偿。

（5）执法机制的变化

执行GDPR的主要主体是国家数据保护机构（DPA），但如今它们可以收取更高金额的罚款，而此前，像法国的数据保护局CNIL最多只能收30万欧元。

（6）行政罚款分类

根据“侵权行为的性质、严重程度和持续时间”、“有意或无意的性质”、“控制者或处理者是否采取了任何缓解损害行为的措施”、“与监管机构的合作程度”以及“通知是否正确完成”，GDPR规定了两类行政罚款。

若数据控制者和处理者违反“儿童同意”、 “数据保护的设计和默认”、 “数据保护控制者职责”、 “与认证计划有关的组织义务”等条款，将被罚款1000万欧元，或全球全年总营业额的2％，以较高者为准。

若数据控制者和处理者违反 “个人资料合法处理的基本原则”、“规定的数据主体权利”、“ 在国际转移个人资料应履行的义务”、“不遵守由GDPA发出的暂停处理个人数据的命令或未能提供GDPA要求的所有信息”等条款，将被罚款2000万欧元或全球全年总营业额的4％，以较高者为准。

2、首席监管机构

GDPR还建立了“首席监管机构”。尽管数据主体可以在自己的成员国（以及他们工作的国家或怀疑发生侵权事件的国家）提出投诉，但首席监督机构始终具有裁决权，也有权将投诉委托给诉讼发生地的其它监督机构。DPAs也可以自行处理侵权行为，但受GDPR约束的组织，必须有欧盟机构来处理任何成员国监管当局的投诉。

（GDPR投诉流程概述）

GDPR对传媒业的影响

之前，媒体是广告商和消费者之间双向市场的必要中介。除了为广告商提供渠道之外，媒体还有效地垄断了读者的数据以及获取这些数据的途径。而网络的兴起以多种方式打破了这些模式。

随着Craigslist等专业网站的崛起，尤其是WordPress、Google的AdSense43、Facebook Marketplace、BuzzFeed的推出，广告商开始无需通过媒体就能够接触到用户，媒体对受众的数据控制能力逐渐被削弱。

如今，互联网数据和广告生态系统中基本有四类参与者：平台(如谷歌和Facebook)，除了运营广告网络之外，还收集消费者直接提供的原始数据(以股票、网络搜索等形式)；广告网络公司，通常收集附带数据例如用户的网络浏览行为，并投放广告；广告商，收集的数据很少，并依靠广告网络公司和平台来数据收集和定位；媒体，创建和托管广告服务的内容。

（网络经济中主要参与者之间资源流动示意图）

尽管平台与媒体定位的争论比比皆是，但GDPR不是通过类别而是通过行为人处理个人数据的作用来定义其责任。数据控制者（可能有多个）要确定收集数据的原因，要确保在整个数据生命周期内遵守用户的同意，而数据处理者只负责处理。

1、对平台的影响

GDPR对平台的影响最大。“访问权”条款，赋予了数据主体长久的个人数据所有权，主体有权使用电子方式请求、查阅和纠正个人数据，且这类要求必须“在一个月内不延误地”完成，这加剧了大型平台发展的复杂性。

由于GDPR将个人数据视为“任何与已识别或可识别的自然人有关的信息”，因而，即使平台删除明确的标识符（如姓名、地址或用户ID等），也可能仍不满足要求。

这些规定意味着，平台的数据收集和处理能力会受到限制，那些业务模式建立在大规模数据收集和分析上的企业，可能会更强烈地感受到技术和业务实践改革。

2、 对新闻机构的影响

为吸引广告投放，新闻机构会利用网站或应用收集GDPR所规定的个人数据。虽然新闻机构通常不会保留这类数据，但它们也是数据的“联合控制者”，将负责获得数据主体的同意，并确保其合作商的数据处理流程符合法规。

这些要求可能会给新闻机构带来负担，毕竟新闻机构目前可能没有明确的流程规范和监管措施。许多新闻机构可能并不明确在其网站上收集个人数据的公司以及这些公司处理数据的方式和用途。

根据GDPR，新闻机构需确保任何由其网页加载的第三方脚本或广告符合法规的要求，需承担对受众数据处理不当的责任，需确保无第三方跟踪用户。最近研究表明，除了能够捕获密码和其他个人信息之外，大多数网站所有者可能无法有效审计其网站上加载的跟踪器和其他材料。

GDPR要求在收集数据前，需征得网站访问者的同意，因此新闻机构需调整网页设置和广告位。编辑Le Monde表示，他们正努力设计符合法规要求但不会削减流量和广告收入的主页。尽管许多欧洲网站目前使用弹窗式通知来告知读者网站使用cookie，但CNIL表示，这可能不符合GDPR真正要求的“同意原则”，因为有些广告可能会在用户点击“同意”之前加载并收集数据。因此，可能需要一个更有效的解决方案，例如许可协议或新用户的“启动页面”。

虽然GDPR明确指出，应该对“仅出于新闻目的”而处理的数据进行豁免，并且认为艺术、学术和新闻活动至关重要。但数据主体的删除权可能对新闻采集造成影响。GDPR规定了任何需要“行使言论和信息自由权利”的数据处理应豁免，但这些都由成员国来定义和实施的。因此，各国对这些豁免的解释不一。

此外，目前还不清楚是否可以将“用户授权数据收集”与网站的“付费订阅”联系起来。虽然欧洲IAB认为GDPR允许如此，但其他组织不同意。那些没有建立“付费墙”的媒体可能不会要求用户同意数据跟踪。

然而，与其他企业相比，新闻机构总体上可能从新政策中获益。所有组织都需要获得同意才能收集数据，而受众对新闻机构的信赖，可能会让媒体更容易获得同意，从而比广告网络或大型平台更具优势。这可能会部分恢复新闻机构作为读者数据中介机构的角色，并允许新闻机构更有选择性地（并且有利地）与广告商和平台公司共享数据。另外，GDPR可能促使新闻机构专注高质量内容的生产，而非依赖社交媒体算法。

3、对广告商的影响

GDPR可能会阻碍广告商收集或分享数据，这可能挤压小型广告商的生存空间，扩大在线广告生态中的双寡头（Google、Facebook）垄断地位。如果缺乏数据支撑，小型广告商唯有强化合规性和用户友好性并降低费用，才能不被市场淘汰。

4、被遗忘权

欧洲正式提出 “被遗忘权”（RTBF）后，新闻界担心新闻采访和出版会受此影响。然而，研究表明，“被遗忘权”对新闻业的影响很小。有学者担心，一旦GDPR生效，数字中介（如社交媒体网站）会过快遵从删除请求，这可能会影响其他各方的信息自由和表达权。

5、对非欧盟组织的影响

从短期来看，监管的复杂性以及对合规性和责任的担忧会暂时使监管较少的市场更加吸引广告商和广告主，因而非欧盟市场在线广告费用可能增加。然而，随着欧洲市场的正常化，其他地区也可能加强数据保护，因而非欧盟的新闻机构、平台、广告商等，可能会遇到一系列较长期的次要影响。

受GDPR影响的公司，必须决定是在欧洲建立独立的、并行的系统和流程，还是简单地将所有业务流程转换为符合规定的流程。对于大型跨国公司(如平台和技术公司)而言，长期合规的方法更能取得效益。因而，它们的全球实践可能会发生重大变化。

GDPR依赖于DPAs的执行。尽管DPAs网络已有合作和协调，但GDPR是否能够持续执行仍不能确定。虽然GDPR不是影响媒体的唯一隐私法规，ePrivacy Regulation也会提出使用cookie的要求，但作为提高隐私保护要求和明确数据收集责任的先例法规，GDPR将具有全球影响力。对于媒体及受众而言，从长远来看，该法规将发挥积极效果，尤其有益于旨在培养强大用户群的组织。尽管人们并不愿意接受GDPR执行过程中带来的复杂性，但GDPR或许会成为协调广告商、平台、媒体和受众关系的有效机制。