■本报记者 武晓莉
　　日前，欧盟《通用数据保护条例》（GDPR，GeneralDataProtectionReg－ulation）正式生效，成了业界的热点话题。这个被誉为“史上最严格的数据保护法”，再一次将广受诟病、令众人不安的个人数据安全问题摆到了台前。
　　人们为什么对欧盟的这个法规如此热心？在业内人士看来，可能是因为它不仅厘清了个人信息采集、存储、处理、交换等环节的法律关系，也让网民看到了个人信息保护的曙光。欧盟有了GDPR，国人的数据安全保护无疑也被敲响了警钟。
　　个人数据泄露仅显冰山一角
　　这几天，连续听到好几个人说接到的诈骗电话特吓人，对方不仅知道自己的名字，还知道自己最近网购了什么、家庭住址等信息。
　　此前，北京市消费者协会曾发布了《手机APP个人信息安全调查报告》，报告显示，部分手机APP过度收集、违规使用个人信息，导致大量个人隐私信息泄露或被窃取，甚至引发各种信息诈骗等刑事案件，给人们的生命财产安全带来严重风险隐患。调查结果显示，有89.62%的人认为手机APP存在过度采集个人信息行为，79.23%的人认为手机APP上的个人信息不安全。手机APP类型排在前三位的分别是购物、餐饮和音乐，而被手机APP采集最多的个人信息依次是联系方式、姓名和头像。
　　在此前的2018中国发展高层论坛上，百度CEO李彦宏说，网络可搜索的数据只占数据总量的20%，剩下的80%全在企业手中。如果能将所有数据聚集起来，将最大程度地实现数据的功用。“我曾经遇到包括医院、政府、金融等好多客户，至少有70%到80%的用户不知道自己的数据在哪里。有一些大概知道在哪里，但几乎百分之百的单位都无法提供包含详细分布的数据地图。”在此前的2018数博会上，杭州美创科技有限公司沈武林指出，个人数据保护的前提，是你要知道数据在哪里，但实际上大多数企业并没有清晰的数据地图，这其中应该包括重要数据、敏感数据的分布以及这些数据之间的关系等。
　　GDPR赋予个人更大话语权
　　“比起此前的规定，这一版的GDPR在要求企业披露或删除他们握有的个人数据方面，让个人拥有了更大的话语权。”一位业内人士说，“最高罚款额度在2000万欧元以上，或一家公司全球营业额的4%，这也是很实际的威慑力。”
　　也正是因为如此，GDPR被称为史上最严格的公民隐私数据保护条例。根据该条例，不仅用户的姓名、身份证号、邮箱等常规数据会受到保护，用户的位置、DNA等个人数据信息也在强制保护之列。也就是说，互联网企业要收集、使用或存储这些数据，必须经过用户明确同意。“这就好比说，以前你只要在提示页点同意，之后的一切都归互联网企业随意处置了，但现在不行了。”这位业内人士说，“此前那种叫征得用户许可，比如微信小程序要使用你的微信头像、用户名和照片，你点‘同意’之后，所有这些数据企业都可以随意处置。但按此版GDPR的要求，企业必须在用户知情的情形之外，再得到用户的明确许可。而且，一旦数据用途发生变化，企业还必须重新征得用户许可。”
用户个人数据安全意识淡薄
　　“隐私政策已更改”“点击此处，以便与我们保持联络”“该应用将使用你的位置信息”“同意访问你的系统相册”……
　　对于大多数互联网用户来说，个人数据安全意识都比较淡薄。《手机APP个人信息安全调查报告》显示，被调查者最担心被采集的个人信息是身份证号和银行账号，最担心出现的问题是个人信息被贩卖或交换给第三方以及被利用从事诈骗和窃取活动。但41.16%的人在安装或使用手机APP之前从来不看授权须知。
　　难怪李彦宏会说，中国人对隐私问题更加开放，或者说没有那么敏感，如果要用隐私来交换便捷性或者效率的话，很多情况下中国用户是愿意这么做的。“其实也不全是不看授权须知。”北京的何女士对记者说，“大多数时候，你安装一个APP或者小程序的时候，必然是因为的确需要。而那些所谓的提示就是格式条款，你不同意就不能用，所以，也就懒得去细看了，只要觉得不是特别危险，一般也就点同意了。”
　　事实也的确如此，很多应用的隐私条款都是强制性的，不同意就不能用。如果急于使用，又觉得自己手机电脑里没有什么太要紧的秘密，就马马虎虎点同意了。
　　沈武林说：“大家在保护个人数据的时候，往往只是关注个人的敏感数据，比如我的财产信息、健康信息等等。”
　　沈武林认为，在大数据时代，敏感信息保护固然重要，其实非敏感信息一样很重要，通过数据分析，非敏感数据一样可以透露用户个人隐私。“大量不敏感的信息都具有非常重要的价值。”沈武林说，“比如说每个人在系统内的编号、每个人的顺序、每个人的生日等等，这些数据大家都认为不敏感，泄露出去也不影响个人隐私。但这些数据一旦跟别的数据组合，就会得出大量有价值的信息。怎么能够看到这些数据有没有被非法使用？一定要知道有哪些人、哪些业务、哪些应用用了你的数据，用了数据哪个部分、哪个特征，使用者最终通过这些数据是为了获得什么？做到这些的时候，我们才能看到这个数据有没有被滥用，个人数据有没有被泄露。”
　　用户应该学点数据安全常识
　　从支付宝偷偷为用户签署《芝麻服务协议》，到WiFi万能钥匙APP轻松窃取密码，个人对数据保护的不敏感，一定程度上造成了企业过度采集、违规使用用户数据的行为泛滥成灾。
　　据自媒体“勇敢说”报道，一位杭州用户想掌握手机流量使用情况，下载了某运营商营业厅APP。结果发现，安装此APP时，应用程序称将访问传输手机号码、IMSI、IMEI、MEID、手机型号等设备信息，系统验证通过后提供安全免密登录、读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头、改变WLAN状态及录音等权限。而且，如用户点击不同意，则自动退出该应用。
　　自媒体作者席佳认为，用户会越来越多地发现各类软件的“大数据”可能比我们自己还了解自己。这些大数据其实就是通过对用户日常生活轨迹的记录、累积和统计，再使用分析软件得出结论。因此，互联网企业在收集、处理、展示用户的数据时，必须和用户形成“合同”关系。而互联网用户必须具备一些数据常识，以保护自己的隐私。
　　这些常识包括：要明确企业会获取哪些数据？是否有拒绝选项（不能默认勾选）？拒绝后能否使用企业服务？企业是否会与第三方共享用户数据？第三方包括哪些？企业是否会将用户数据用于广告推送？企业怎样保存数据？是否有针对数据泄露的应急措施？等等。