《欧盟数据保护通用条例》（General Data Protection Regulation，简称GDPR）已于5月25日正式实施。理论上来说，GDPR只适用于欧盟国家公民的数据，但互联网的全球性质意味着几乎所有的网上服务尤其是移动应用领域都将受到影响，虽然大部分GDPR内容都是基于欧盟早期的隐私保护措施而制定的，但它对其中两个重要领域做了深入地扩展：一、GDPR对获取个人数据设置了更高的门槛，在默认情况下，任何收集欧盟公民个人资料的公司都需要在用户知情并同意的情况下才能展开相关工作；二、GDPR进一步加大了对违规公司的处罚力度，其最高值将可以达到被处罚公司全球营业额的4%（或是2000万美元甚至更高）。

距离公布实施的日子已过去了三个多月了，在GDPR的威势之下，全球性公司尤其是移动应用出海企业又是一番怎样的景象？

GDPR 将最终影响海外应用市场的多样性

GDPR带来的最明显、最直接的改变就是公司在收集用户数据后如何共享做出了严格而近乎苛刻的规定。这意味着这些公司在做这件事之前需要重新考虑如何处理分析、登录以及广告问题。也就是说，GDPR要求各家公司在处理数据上做得更加透明。它们需要对外公开其合作商，同时还要重新编写能够符合GDPR的新合同。

由于共享用户数据不仅要付出代价，而且还会变得更加昂贵，一些网站将尽可能地减少合作伙伴，这在隐私角度来看肯定是一次胜利。然而这样的规定对小公司的冲击可能会是巨大的，虽然像谷歌、脸书等规模的公司，其整体数据也会缩水，但显然其受到的影响程度不及前者。

根据GDPR 的规定，App 产品仅仅采用隐私承诺和用户数据保护是不够的。新的规定将会影响应用的设计方式。像应用游戏开发商不仅要在新规定下翻新旧款游戏来重新获取用户许可并保存和使用数据，还要为所请求的信息、满足需求的条件和用户而暂停运行。有了这些要求和成本后，一些开发商宁愿将表现不佳的游戏下架，也不愿花时间和金钱去为 GDPR 而翻新游戏。像开发商Edge of Reality工作室宣布，旗下第三人称射击游戏《枪械师》关闭欧盟地区服务器。韩国大型在线游戏《仙境传说》也做了同样的选择。微软公司有超过1600位工程师参与GDPR有关的项目，对开发工具、系统、流程进行了大量的重新设计，来确保其符合GDPR相关规定。对这些企业而言，违规问题可能严重关系着其在海外市场的生死存亡。一旦遭遇GDPR处罚，超过25%的企业声称会令其海外公司彻底倒闭；如果整体员工规模不足50人，将会有50%的公司在受处罚后关门停业。

此现象引起了从业者的广泛关注，这意味着只有最大的开发商和发行商能有时间和能力去收集资源，对原移动应用进行翻新或重新开发新的应用，因为他们在Apple Store 和 Google Play 的存货经得起折腾，反之中小型公司则需要斟酌行事，慎重确定哪款应用适合海外发行。这种选择的结果，可能会引起一个有趣的现象，即暂时性清理掉市场上大量表现不佳的应用后，隐私友好型的新应用会更容易进入市场，填补之前的空白。

出海企业如何应对GDPR？

首先，采集数据和使用用户的cookies均需得到授权。企业需要开发采集组件控制功能，以实现依据用户授权，可调用对应的控制开关；在理顺数据使用情况时，企业应仔细排查是否存在数据过度采集的情况，如果数据使用情况与企业主营业务没有必要联系，必须停止相关数据的采集和应用，因为数据的过度采集不符合GDPR规定。

其次，GDPR条例对数据生命周期的各个环节都有相应的规定，企业必须添加定期提供删除日志的配置功能，并且能依据配置，定期删除用户的日志数据；同时，还具备超出条款要求的存储周期，可实现自动删除日志数据的功能，严格遵循GDPR的规定事项。

再者，GDPR规定了一套全新的数据管理规则，其中包括需要指定一个数据保护官（DPO）等。出海企业需要根据移动应用所涉及到的数据管理工作的难度和强度，决定是否配置DPO。虽然GDPR并没有规定每一个企业都要设立DPO，但设立这一职位代表了企业对落实个人数据保护的重视程度。这种内部的职责分配和资源安排对遵守GDPR非常重要。在开展工作时，DPO也会对其他员工进行培训，将个人数据保护落实到每一个业务流程中，这也是落实GDPR的一个重要环节。

最后，很多企业虽然有时候把自己内部的事情处理好了，但因为对下游供应商没有严格把控和选择，在下游供应商的数据保护出现违规或数据泄露时，企业也需要承担一定的责任。因此，企业应强化对下游供应商的筛选和监管。

很多中企对GDPR的直观判断就是罚款高、执法严，或者认为GDPR太难执行了，企业达不到要求肯定会遭遇天价罚款。其实，适用GDPR只是意味着数据使用以及保护规则要按GDPR的规定来做，不代表适用了GDPR的中国出海企业就一定是违反这个法律规定的。