“我們將GDPR(歐盟《通用數據保護條例》，GeneralData Protection Regulation，簡稱GDPR)拆解為18個主要項目、34個階段，最終在2018年5月25日之前從技術、流程、管理、人員等各個方面準備就緒。”阿里巴巴國際業務法務VP劉允泉近日透露，阿里云籌備GDPR的過程中經歷了一個系統工程。

《中國經營報》記者梳理發現，阿里巴巴旗下的全球速賣通和阿里云、騰訊旗下的微信海外版和騰訊云、新浪微博的國際版、在歐洲擁有較大市場份額的華為和海爾等制造企業，以及國航、東航、海航等，都是在較早之前就面向GDPR進行合規布局，且已更新用戶隱私條款。

然而，并不是所有的企業都可以像巨頭公司一樣，投入較多的人力、物力、財力，去適應GDPR的要求。就像第三方檢測和認證機構TUV萊茵公布的“2018年GDPR業務發展白皮書”所顯示的，86%的企業對2018年5月25日開始正式實施的GDPR帶來的影響表示擔憂。

這種擔憂正在將以數據安全為代表的網絡安全產業推向“風口”。國內一家網絡安全廠商——志翔科技CEO蔣天儀接受《中國經營報》記者采訪時表示，受到“合規”需求促進，GDPR將促進數據安全行業的大發展，數據安全行業已變為“藍海”市場。

GDPR是起跑線

《中國經營報》記者獲悉，以BAT為代表的中國大型企業普遍在2017年就開始對GDPR進行合規布局，才完成了在2018年5月25日GDPR正式實施之日的“起跑集結”。

比如，騰訊云一位人士介紹，騰訊云提前1年就開始對GDPR進行評估和摸底。“大公司采取的應對措施上肯定要夠嚴謹，并保證不會對自身業務造成影響。”

按照劉允泉的介紹，阿里云的GDPR合規布局非常細致，整個過程協同了業務、合規、安全、法務、政府關系、中臺等部門，連法律和咨詢合作伙伴也參與其中。

比如，在產品規劃中，阿里云將遵從默認隱私設計(Privacyby Design)理念，所有新發布的云產品上線之前必須通過安全+隱私設計的雙重評估。再如，針對“數據的被遺忘的權利/刪除權”，阿里云提供賬號刪除功能，全球客戶都能自助完成操作。

阿里云主要是為大量中小企業提供公有云服務。阿里云國際合規團隊成員告訴記者，在和客戶交流時，看到很多中國企業在應對GDPR時“過度忽視”和“過度緊張”。“過度忽視”表現在一些企業人員認為，借助工具和平臺、借助第三方審計和評估、借助完善法律文件等手段就能夠符合GDPR法規的要求;而“過度緊張”表現在一些企業人員認為，GDPR就等于個人數據完全不離境、就等于盡量不保存客戶數據在自己的系統上等。

阿里云國際合規團隊認為，GDPR合規應該強調分工協作，阿里云的做法是以法務和合規部門為核心，與產品、安全、IT、運營等團隊配合，共同推進落實。比如，產品團隊應該在產品設計過程中考慮隱私、安全要求，確保產品功能、設計能夠通過法務及合規團隊的審批;IT系統架構團隊負責依據相應的隱私保護制度及合規團隊的評估和建議，調整IT系統的架構設計;運營團隊應該確保運營行為如何達到隱私保護的流程和制度，判斷新的運營需求是否涉及隱私條款以及能否通過合規團隊審批。

阿里云安全事業部總經理肖力認為，數據安全是馬拉松賽跑，GDPR只是起跑線，不是終點線，GDPR是一項持續性的工作。

事實的確如此。谷歌、Facebook、Twitter等美國巨頭也是提前面向GDPR進行合規布局，并在2018年5月25日之前更新了用戶隱私條款，但在GDPR生效當日，谷歌和Facebook還是被舉報了。外媒最新報道顯示，自GDPR生效以來，已經出現19起針對谷歌和Facebook及相關應用提交的跨境投訴，導致這兩家公司及相關產品很可能遭到歐盟的隱私調查。