小米中枪隐私数据保护法案(GDPR)被迫下线智能灯 还有多少企业需要审视隐私保护

欧盟史上最严厉隐私保护法(GDPR)于5月25日正式生效，它是二十年来数据隐私规则领域发生的最重要变化，它会给全世界的企业带来重大影响。无论企业是否在欧盟境内，只要与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民的数据，都必须严格遵守该条例。

小米生态链企业、智能灯具Yeelight近日通知称，由于无法满足欧盟最新出台的《通用数据保护条例》(GDPR)要求，将不再向欧洲用户提供服务。意味着旗下智能灯具多数功能无法使用，可能还不如一个普通灯泡。

微博用户“ruanyf”因此质疑Yeelight是否收集用户隐私数据。他说：“作为该品牌的中国用户，我立刻得出结论，它的服务器上一定保存着我所有开灯/关灯的记录……”

至此，小米生态链企业的个人隐私保护问题不仅公开化，也让它有幸成为我国第一家中枪GDPR法案的数字企业，那么GDPR为何中国互联网高科技企业——小米这样畏惧呢？

欧盟一般数据保护法案(General Data Protection Regulation, 679/2016, 下简称「GDPR」)通过于 2016 年，是欧盟为解决互联网时代用户数据的收集、使用问题而制定的。与此前欧洲地区颁布的其他个人信息保护法规不同，GDPR 具有强制力，直接对所有的欧盟成员国生效，也就是法规一旦生效自动对所有国家生效(部分国家如有其它规定，可协调处理)。

GDPR 规定欧盟所有成员国都必须在国内设立监管机构，且该机构有权调查各科技公司的产品或服务可能存在的违法情形，并进行相应的处罚。

GDPR 就像一张巨大的筛子，所有在欧洲有产品或服务(无论公司是否在欧盟地区)，会收集用户数据，或与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民数据的公司都要经过这把筛子筛选。留者生，漏者死。

总的来说，GDPR 从管理机构、管理模式，和管理方法三个方面，对个人信息保护行政执法机构的管理方式做了改革创新。关于科技公司使用用户数据的边界、应当承担的责任和义务，GDPR 进行了清晰的阐述，主要包括个人对其信息的控制权、信息控制者、处理者的义务和责任的界定、信息跨境和刑事活动领域的特殊信息保护规则。

通俗点来说，这部法规囊括了普通人正在遭遇或可能遭遇的绝大部分事关数据使用和保护的问题，且它主要对「控制者」——数据的收集者和使用者做成了严格的规定。它将解决但不限于下列问题：

之前科技公司写的那些让人看不懂的用户协议将不被允许存在。按照 GDPR 的规定，所有用户协议必须采取普通用户能理解、接受的方式写清楚。如果用户在使用后不再愿意同意该协议，可随时撤回许可。另外，科技公司不得收集除提供服务必需之外的数据，收集之后不得滥用用户数据，同时还必须履行保护用户数据的义务。

用户信息主体权将进一步扩大，新增对信息遗忘权的详细规定。在符合 GDPR 规定的情况下，用户可以要求科技公司删除自己存储在该平台上的信息。并且，这些企业应当保证用户可以便利地查询和转移其信息。

控制者要通过技术保护措施和信息处理记录加强信息保护，在信息泄露时需要履行报告和通知义务。像 Uber 之前隐瞒 2016 年黑客盗取了 Uber 5000 万乘客的姓名、电子邮件和电话号码，以及约 60 万名美国司机的姓名和驾照号码的事件如果再次发生，要面对的可就是 GDPR 的巨额罚款了。

事实上，更早之前，风声鹤唳的微软、Facebook、谷歌已经开始为遵守这项法规调整自己的产品设置。这些公司之所以如此小心翼翼，是因为根据 GDPR 规定，任何企业违反信息跨境流动要求和未经信息主体许可的收集、处理等行为，最大处罚额可达到 2000 万欧元或者当年全球收营业额的 4%，且二者取较高值。

所以，小米生态链企业中枪也就没啥可好奇的，关键是我国还很多这方面数字企业，在个人数据信息保护方面存在着不足，甚至是漠视用户隐私数据保护。不过，伴随着这部法案的生效，留给它逃避市场监管时间也不多了。欧盟立法机构除了自己落实 GDPR 之外，还在联合包括中、美、日、韩等互联网市场大国实施类似法规。肆无忌惮地收集用户数据，贩卖滥用数据的商业模式行将逝去，一道生死题正浮现在此前滥用用户数据的公司面前。

写在最后，GDPR是一个比较好的契机，让我们的企业审视自己的隐私保护政策，倒逼我们去努力合规。拒绝或者存有侥幸心理都是不对的。这一过程中需要数据公司的服务和技术上的支持，会增加客户成本，但同时也能令企业的价值得到提升。虽然小米首席架构师、人工智能与云平台副总裁崔宝秋博士对事作出了积极回应，解决隐私保护问题，但是隐私问题不只存在于小米，还涉及更多从事数字经济的企业，他们更需要审视隐私保护政策，不要再肆意而任性获取个人隐私数据了。