《歐盟數據保護通用條例》（General Data Protection Regulation，簡稱GDPR）已于5月25日正式實施。從2016年發(fā)布至今，兩年的過渡期轉瞬間就過去了，數字化企業(yè)大佬們有沒有做好準備，在GDPR的槍口下，全球性的企業(yè)能在歐盟合法地做生意嗎？

GDPR對數據隱私的部分保護條款有悖我們的"常理"，所以這就更需要企業(yè)領導以及產品業(yè)務的設計者學習了解，哪些行為違規(guī)，哪些動作存在風險。雖說法律工作者提供了非常詳細專業(yè)的解讀和分析，也給出了不少應對的策略和路徑，但是對于絕大部分中國企業(yè)來說，對于GDPR的重視和理解程度仍不充分。

尤其是準備積極投身全球市場的互聯(lián)網企業(yè)，國內對野蠻生長的寬容以及企業(yè)自身的快速發(fā)展掩蓋了很多問題，年輕的他們還不太理解"合規(guī)經營"的分量，以及違規(guī)的風險。而GDPR里很多的規(guī)則涉及到了互聯(lián)網數字化企業(yè)經營的核心，GDPR生效后，個人以為：大數據和云服務這兩類企業(yè)被GDPR擊中的概率比較高。

上周談的主要是大數據，今天說說和云計算有關的事情。

此前對數據跨境流動的限制

曾幾何時，我對歐盟數據保護要求的理解就是六個字：數據不能出境。之所以有這么深的印象，主要原因就是1995年歐盟發(fā)布過非常嚴格的《數據保護指令》。

根據指令規(guī)定："只有當第三方國家通過相關國內法或者國際承諾，對個人數據提供充分保護時，才允許歐盟公民個人信息的轉移、存儲到該第三方國家進行處理。那么這樣的國家都有誰呢？瑞士、新西蘭、加拿大、阿根廷等。這里既沒有美國，也沒有中國。

歐盟這樣嚴格地進行數據保護，根本原因是注重公民的個人隱私和權益；而大洋彼岸的美國則不然，更從科技和商業(yè)的視角看數據處理的規(guī)則定義。尤其當互聯(lián)網第一波快速發(fā)展是由美國企業(yè)推動的，主要采取"行業(yè)分散保護機制"，無法滿足歐盟的成分保護要求。于是在2000年，美國和歐盟達成了一個"安全港協(xié)定"，明確只要美國企業(yè)加入安全港，并公開承諾遵守安全港的要求，就可以將歐盟的個人數據轉移到美國進行處理了。

這就像給嚴苛的《數據保護指令》開了一個后門，允許不符合要求的美國人轉移數據，能開這個后門當然是出于對美國的信任，然而美國卻辜負了這份信任。

2013年斯諾登提供的文件顯示，美國情報機構可以利用這個"后門"進行監(jiān)聽監(jiān)控。丑聞曝光后，歐盟成員國們紛紛質疑安全港協(xié)定對個人數據的保護能力，最終2015年10月，歐盟法院否決安全港協(xié)定，美國企業(yè)轉移數據就成了"違法行為"。于是，2016年2月歐盟和美國又宣布達成了"歐盟-美國隱私盾"協(xié)定，對相關企業(yè)施以更加嚴苛的管理方式；而到4月份，GDPR就發(fā)布了。

諾大的世界，只有歐盟認可的少數國家以及和歐盟達成特殊協(xié)定的美國可以把歐盟的數據拿走，可以說歐盟對于數據保護是最保守的。實際上不止歐盟，其他國家和地區(qū)也都有類似的法規(guī)和規(guī)則，雖然在具體條款上有不同，但核心都是對數據出境進行限制。

比如中國的《網絡安全法》和《數據出境辦法》中規(guī)定，原則上，通常情況下個人信息和重要數據應當存放在中國境內，只有因業(yè)務需要必須向境外提供，且通過安全評估的，才能傳輸至境外。而評估的規(guī)則和流程也是非常繁復，相信如果不是真的特別必須，也沒有多少人去申請評估。

GDPR適度放松了數據跨境流動的限制

雖然號稱是史上最嚴格的數據保護條例，其實GDPR對數據出境是有利的。

為什么這么說呢？

首先是條款設計和描述更加清晰準確，企業(yè)能明確知道什么可以做，什么不能做，需要得到哪些許可。比如明確只要符合GDPR規(guī)定的合法條件，數據就能出境，歐盟各成員國不能再以許可證方式管理數據跨境流動問題。

其次是擴展了標準合同條款。除了保留已經生效的3個標準合同范本之外，還允許成員國數據監(jiān)管機構指定其他標準合同條款。這個變化既擴展了商業(yè)合作空間，也給企業(yè)帶來商業(yè)模式創(chuàng)新的可能。

第三是認定了"有約束力的公司規(guī)則"（BCR）的合法性。這意味著，如果企業(yè)集團獲得了BCR的認可，那么個人數據就可以合法地從集團內的一個成員傳輸到另一個成員那里，這對于跨國企業(yè)來說，可謂是一勞永逸的解決之道。

從這些解讀中可以看出，相對于此前的《數據保護指令》，GDPR定義了明確的數據跨境流動的方式和通道，這主要是為了適應互聯(lián)網的發(fā)展。

互聯(lián)網企業(yè)不會像傳統(tǒng)行業(yè)那樣四處建實體，大都通過一個點提供覆蓋全球的服務，這就不可避免地涉及到數據的跨境流動和境外處理。換句話說，如果讓互聯(lián)網企業(yè)在每個國家（或者區(qū)域）建立一套系統(tǒng)，那么就會大大增加他的建設和運營成本，業(yè)務也就很可能玩不動了。

所以歐盟還恪守此前的僵化規(guī)則，就可能迫使互聯(lián)網企業(yè)遠離歐洲。但如今互聯(lián)網逐漸成為趨勢，如果互聯(lián)網企業(yè)不把業(yè)務覆蓋到歐洲，他們就難以體會到科技帶來的紅利和價值，長此以往，后果可想而知。

在保護公民的隱私權和跟上時代發(fā)展這兩難選擇中，歐盟最終選擇了后者，我覺得這是明智的。

云計算企業(yè)會被GDPR擊中么

從前面的分析看來，由于在數據跨境流動的規(guī)則更加清晰、細化、可操作，云服務企業(yè)進入歐洲市場似乎比以前更容易了。比如提供SaaS服務的企業(yè)，只要經過合規(guī)認定，即便將服務器和存儲設備放在歐洲之外，也可以為歐盟客戶提供服務。然而數據跨境流動規(guī)則的改善只是解決了云服務提供商的部分問題，更大的風險在于：歐盟數據保護規(guī)則的設定與云計算商業(yè)模式之間，還可能存在沖突。

為了更全面地進行數據的安全保障，GDPR對數據的控制者（如云計算的客戶）和數據的處理者（如云服務提供商）提出了同樣的要求，這一政策的本意是讓接觸數據的各個企業(yè)都承擔起數據安全保護的責任，但是云計算是由多層次組成的，強調開放性和企業(yè)之間的自由組合與協(xié)作。這二者放在一起，就產生了矛盾沖突。

比如，GDPR要求，如果沒有數據控制者授權，數據處理者不應聘用另一個處理者；如果數據控制者反對，那么數據處理者就不能將數據提供給第三方。那這是不是意味著：PaaS平臺發(fā)展任何一個用戶、開發(fā)任何一個應用，都必須事先征得IaaS廠商的同意？

再比如，GDPR要求，數據處理者必須在收到數據控制者書面通知后才可以處理數據。這條規(guī)定在云服務場景中幾乎是不可能實現的：得不到上層應用的書面通知，底層的基礎設施和平臺就不能對數據進行處理？

云計算服務提供商與其客戶簽署的合作協(xié)議或合同本來是你情我愿的市場行為，雙方根據自己的訴求協(xié)商最終確定任務分工和利益分配，根據客戶的實際情況，云服務企業(yè)可以提供不同檔次的服務和能力。由于云服務在全球只是剛剛起步，因此這種合作往往是由云服務企業(yè)提供一個模板，然后與客戶通過談判最終商定。

然而GDPR對于數據安全保護的要求必須落實到雙方的合同里，而這些細則又和云服務的基本規(guī)則有沖突，這很可能會導致云服務商面對GDPR時無所適從。

Gartner剛剛發(fā)布了全球IaaS魔力象限圖，AWS和Azure依然遙遙領先，Google第一次進入了領導者區(qū)域。更讓吃瓜群眾們吃驚的是：這次發(fā)布的魔力象限中只剩下六個玩家，除了三個領導者之外，還有阿里云、Oracle和IBM。

除了阿里云，都是美國公司。

這些非歐盟企業(yè)能在歐洲做生意么，怎么做才算是符合GDPR規(guī)則的？相對于其他企業(yè)，云服務提供商面臨的問題更復雜，往往不是不想合規(guī)，而是一不小心就違規(guī)，GDPR的子彈真可能會打在云服務企業(yè)身上。