理查德·斯托曼会喜欢新的 GDPR。

一项新的法律生效，将对全球数字产业产生重大影响，这并不常见。更罕见的是，这样一项法律还将支持自由软件的潜在理念。但欧洲联盟的通用数据保护条例 (GDPR) 将于 2018 年 5 月 25 日起强制执行，它做到了这两件事，使其出现成为开源历史上最重要的事件之一。

自由软件以其自由而闻名，而不是免费饮料

“自由软件”是指尊重用户自由和社区的软件。 粗略地说，这意味着用户有运行、复制、分发、学习、更改和改进软件的自由。 因此，“自由软件”是关于自由的问题，而不是价格。 要理解这个概念，您应该将“自由”理解为“言论自由”中的“自由”，而不是“免费啤酒”中的“免费”。

理查德·斯托曼为通过使用户能够选择受其控制的软件来增强个人能力而发起的伟大运动取得了成功，以至于现在任何人都可以从各种各样的自由软件程序中进行选择，并避免专有锁定。 但几年前，斯托曼意识到自由面临新的威胁：云计算。 正如他在 2008 年告诉卫报的那样

您不应该使用 Web 应用程序进行计算的一个原因是您会失去控制权。 这与使用专有程序一样糟糕。 在您自己的计算机上使用您自己的尊重自由的程序副本进行您自己的计算。 如果您使用专有程序或别人的 Web 服务器，您将毫无防御能力。 您掌握在开发该软件的人手中。

斯托曼指出，运行自由软件操作系统（例如谷歌的 ChromeOS）无法防止这种控制权丧失。 要求云计算服务使用 GNU Affero GPL 许可证也无法解决问题：仅仅因为用户可以访问服务器上运行的底层代码，并不意味着他们掌握了主动权。 真正的问题不在于代码，而在于其他地方——数据。

在您自己的计算机上运行自由软件，您显然保留了对您自己数据的控制权。 但云计算服务并非如此——实际上，大多数在线服务（例如电子商务网站或社交网络）也是如此。 在那里，关于您的高度个人化的数据通常由相关公司持有。 无论他们是否在其服务器上运行开源代码（正如现在大多数公司所做的那样）都无关紧要；重要的是他们控制着您的数据——而您没有。

新的 GDPR 改变了这一切。 正如自由软件试图通过赋予个人对其运行代码的控制权来增强个人能力一样，GDPR 也通过赋予人们控制其个人数据的能力来增强个人能力，无论数据存储在哪里，以及由哪家公司处理。 GDPR 将对整个在线世界产生巨大影响，因为其影响是全球性的，正如欧盟关于该主题的网站解释的那样

GDPR 不仅适用于位于欧盟境内的组织，而且如果组织向欧盟数据主体提供商品或服务，或监控欧盟数据主体的行为，则 GDPR 也适用于位于欧盟境外的组织。 它适用于所有处理和持有居住在欧盟的数据主体的个人数据的公司，无论公司位于何处。

如果您认为位于欧盟境外的互联网巨头会简单地无视 GDPR，请再想一想：根据该立法，未能遵守新法规的公司可能会被处以高达其全球营业额 4% 的罚款，无论他们位于何处。 谷歌去年的总营业额为$1100 亿美元，这意味着不合规可能会使其损失 44 亿美元。 这些数字保证了世界上每个与欧盟公民有任何形式、任何方式交易的企业都将全面实施 GDPR。 实际上，GDPR 将成为全世界的隐私法，全世界都将从中受益。 根据《金融时报》去年的一份报告，仅美国排名前 500 位的公司就将花费$78 亿美元以满足新规则（付费墙）。 最近关于 剑桥分析公司使用 Facebook 应用程序大规模收集个人数据的丑闻可能会在全球范围内增加企业加强对所有人（而不仅仅是欧盟公民）个人数据保护的压力。

GDPR 的主要特点如下。 数据处理的同意“必须清晰且与其他事项区分开来，并以可理解且易于访问的形式提供，使用清晰明了的语言。撤回同意必须与给予同意一样容易。” 公司将不再能够将糟糕的隐私政策隐藏在冗长且难以理解的条款和条件中。 数据处理的目的必须明确附加到同意请求中，并且撤回同意必须与给予同意一样容易。

GDPR 中有两项重要的权利。“访问权”意味着人们能够从组织那里了解是否正在处理与其相关的个人数据、在哪里以及为了什么目的。 他们必须根据要求免费获得个人数据的副本。 该数据必须采用“常用”且机器可读的格式，以便可以轻松地传输到另一项服务。 另一项权利是数据删除权，也称为“被遗忘权”。 这适用于数据不再与原始处理目的相关，或者人们已撤回其同意的情况。 但是，该权利并非绝对：公众对数据可用性的兴趣可能意味着数据不会被删除。

GDPR 的创新之一是它包含了“设计和默认隐私”。 也就是说，隐私必须从一开始就构建到技术中，而不是作为事后才添加的东西。 在许多方面，这反映了自由软件坚持认为自由必须渗透到计算机代码中，而不是被视为可以在事后附加的东西。 最初的设计隐私框架解释了这在实践中意味着什么

隐私必须成为组织优先事项、项目目标、设计流程和规划运营不可或缺的一部分。 隐私必须嵌入到我们生活的每一个标准、协议和流程中。

由于其透明、灵活的流程和反馈机制，开源项目可能处于有利地位，可以实现这一目标。 此外，根据 GDPR，计算机安全和加密的重要性得到了提高，尤其是在“违规通知”有新要求的情况下。 相关机构和受影响者都必须迅速获悉任何违规行为。 同样，开源应用程序在这方面可能具有优势，这要归功于源代码的 readily availability，可以检查可能的漏洞。 对于未能遵守违规通知的人，新的罚款（高达全球营业额的 2%）可能会为公司提供额外的激励，促使他们要求开源解决方案，以便他们可以选择在问题变成昂贵的 GDPR 违规行为之前查找问题。

GDPR 的重要性再怎么强调也不为过，它将对整个隐私行业，特别是对整个数字世界产生全球性的影响。 它对开源的影响更加微妙，但同样深刻。 尽管它从未打算这样做，但它将有效地解决自由软件遗留下的关键问题：当用户使用在线服务时，如何赋予用户与他们在自己的计算机上享有的相同类型的控制权。 因此，2018 年 5 月 25 日应该被载入史册，成为开源赋予的自由提升一个档次的日子。