■郝俊慧
　　最近，打开几个许久不用的App，都会收到一条提醒“隐私政策已更改”，要求我再次确认同意。本想看看究竟改了些什么，但打开一看，密密麻麻的小字顿时让人没了了解的兴趣，算了算了，点击“同意”了事，不同意又能如何呢？除非你不再使用它。
　　这个生活中的小插曲让我开始关注今年5月25日正式实施的《欧盟一般数据保护条例》（简称GDPR）。GDPR被称为有可能是对全球互联网公司影响最大的数据隐私保护法律。虽然它只适用于欧盟境内和欧盟居民，但管辖范围却并不限于欧盟，只要是这家企业向欧盟境内的个人提供了商品或服务、并收集或处理了个人数据，那么不管这家企业有没有在欧盟设立机构，欧盟都有权对其开出罚单，而最高处罚金额是2000万欧元（约1.5亿人民币）或企业全球营业额的4%。
　　GDPR明确了用户在数据上的几点权利：访问权、纠正权、擦除权，有权限制/反对处理、数据可移植性的权利、有权收到数据泄露的通知。也就是说，明确了数据的所有者是数据主体，也即普通用户，虽然授权企业使用自己的数据，但企业必须随时“响应数据主体的访问请求”，要清晰告诉数据主体，收集了哪些信息，提供给谁使用，一旦数据主体要求删除或纠正个人信息，互联网公司必须响应，而且必须将已经传播给第三方服务商的信息同步删除。
　　这便是这些互联网公司急急忙忙调整“隐私政策”的原因，但从我个人的体验来看，这样的调整，对于用户没什么实质性作用。再仔细看这些修改后的隐私政策，几乎都是霸王条款。
　　以某电子商城调整后的政策为例，我不仅要同意它可以收集我的所有个人信息，还要同意它把我的信息提供给第三方服务提供商，除了购买时的财务信息，包括现任雇主、现任职称、教育背景等与社交活动相关的信息，通过它的云盘同步的联系人、相册信息，它都有权收集。这样的条款让我不能理解：我只是在你这里买了点商品，你收集我这么多数据干什么呢？而且云里的联系人和照片，是我的个人隐私，你也有权收集吗？如果是这样的话，谁还敢用你家的云服务呢？
　　如此不合理的“隐私政策”真能避开 GDPR吗？答案可能是NO！事实上，GPPR生效第一天，Facebook和谷歌就遭到了诉讼，被指控强迫用户同意共享个人数据，请注意关键词是“强迫”。GDPR条款对用户同意的场景做了明确规定，比如只有企业与用户有实际交易关系才可以默认用户同意，可以向用户发送与此前交易商品和服务相关的信息，比如以防欺诈、网络信息安全保障、向主管部门报告犯罪或公共重大威胁为目的的数据处理活动，可以作为“数据控制者的正当权益”。
　　可见，不少互联网公司所谓的隐私政策，只是将所有能想到的、能够拿到的用户信息全部写在了新的政策里，然后通过同意继续用，不同意就“拜拜”的方式，让用户不得不接受“不平等条约”，从而可以获得用户更可能多的信息而不必承担法律责任。
　　坦白地说，这么做，可真流氓，也与GDPR的初衷相悖。中国的互联网公司真该参考一下一些国外公司的做法：给用户选择权。将数据根据不同用途分为：必须授权和非必须授权，必须授权的信息都是基础底层信息，用户不同意只能卸载，而非必须数据则用户可以说“不”，不影响后续使用。可以类推的做法是，在对垃圾短信的治理中，在成为商户会员时，是否在“接受商家促销信息”上打勾，是判断此后的营销短信是否属于”垃圾“的重要标准。
　　只有让用户清清楚楚、心甘情愿授权，互联网公司在出海扩张时才可能避免触碰GDPR“数据过度采集”的红线。否则，现在这些强迫用户签署的所谓新“隐私政策”，将来只会是个摆设。