5月25日起,歐盟網絡數據隱私保護新規《通用數據保護條例》(General Data Protection Regulation,GDPR)將在歐盟全體成員國正式生效。新華社的報道稱,這被廣泛認為是歐盟有史以來最為嚴格的網絡數據管理法規。這一條例全面加強了歐盟所有網絡用戶的數據隱私權利,明確提升了企業的數據保護責任,并顯著完善了有關監管機制。
歐洲《通用數據保護條例》雖然是歐盟地區的法案,卻對全世界科技公司的產品、運營等多方面產生了重大影響。因為該項法規擁有域外效力,歐盟以外的公司也可能要受到該法案的監管。
5月22日,馬克·扎克伯在歐洲議會接受質詢時已經表態,Facebook將會在5月25日符合《通用數據保護條例》的要求。他還補充道,很多歐盟用戶已經閱讀并同意了平臺上符合《條例》要求的新隱私政策。
那么,《通用數據保護條例》是如何通過的,它嚴在哪兒,為何社交巨頭會如此關注,又將對用戶產生哪些影響?
《通用數據保護條例》的前世今生
歐盟5月25日將生效的《通用數據保護條例》是對其1995年《數據保護指令》的修訂、拓寬和升級。
據新華社報道,《數據保護指令》為當時歐洲國家立法保護個人數據設立了最低標準。隨著互聯網行業的迅猛發展和用戶數據的爆發式增長,歐盟在2012年提出改革數據保護法規,旨在幫助民眾進一步保護個人信息,幫助企業利用“單一數字市場”帶來的機遇。2015年6月,歐盟成員國的司法及內政事務部長會議就五項原則達成一致,而這些原則也構成了新規的重要框架:
“同一個大陸,同一套法規”,即在歐盟范圍內建立起一套法規;
“強化‘被遺忘權’”,即如果無必要的法律依據,用戶可以要求互聯網企業從網絡搜索結果中移除個人信息;
“歐洲境內適用歐洲法律”,即設在歐盟以外的企業如果要在歐盟范圍內提供服務,也需要遵守歐盟法律;
“強化各國數據保護機構權力”,并允許各成員國的數據保護機構對違法者處以高額罰金;
“一站式服務”,即企業和用戶都只需與一個國家的監管機構打交道。
歐盟《通用數據保護條例》是一個具有里程碑意義的法案。它不僅規定了數據應被如何處理、保存、使用和交換,還意圖在當下公司普遍收集用戶數據的情況下,讓消費者擁有對自己個人數據的控制權。
2016年4月,歐洲《通用數據保護條例》獲得通過,2018年5月25日正式生效,通過和生效之間,有兩年的適應期,讓企業進行調整,以符合《通用數據保護條例》要求。
值得注意的是,該法案雖然由歐盟設立,但它不僅適用于歐盟本土公司,而是擁有域外效力。對歐盟以外的公司,只要它們向歐盟提供商品或服務、追蹤歐盟民眾的行為,都必須受到該法案的監管。
Squire Patton Boggs律師事務所倫敦分所合伙人Ann J. LaFrance、上海分所資深法律顧問詹智鷹對澎湃新聞記者解釋,即使一家中國公司在歐盟沒有員工或運營,只要它在歐盟提供數字化的商品或服務,有行為或監測行為發生在歐盟,它依舊有可能直接受到《通用數據保護條例》要求的制約。
大型科技公司往往跨國運營,業務遍及全球。因此,谷歌、Facebook、騰訊、阿里巴巴等在歐洲運營的大型跨國科技公司,均必須讓自己在當地業務運營符合歐洲《通用數據保護條例》的要求。除科技公司之外,《通用數據保護條例》適用于所有類型的公司,LaFrance和詹智鷹介紹,某些具體的行業立法對特定行業提出了補充要求,比如,電子隱私權(e-Privacy)法規適用于通信運營商。
《通用數據保護條例》嚴在哪
那么,《通用數據保護條例》到底嚴在哪兒呢?
(1)獲取用戶同意的細節要求:同意后必須容易撤回
按照《通用數據保護條例》要求,公司必須向它們的歐洲消費者具體說明,在何種允許下,公司持有哪些用戶的個人身份數據,如何使用這些數據,并獲取用戶的同意。獲取個人信息的同意請求必須清晰、容易找到。
值得注意的是,獲取用戶同意時,默認選項必須是保護隱私的選項(Privacy by Design),用戶已經提交了的同意請求也必須容易撤回。此外,對于16歲以下少年兒童,監護人要代表他做出數據收集的授權。
(2)企業持有和刪除、轉移數據的要求:用戶可以要求公司清楚個人數據
除了對征得用戶同意做出細致規定,《通用數據保護條例》對企業如何持有數據,也做出了具體規定。其中數據的“被遺忘權”和“可轉移權”是當下企業較難做到的,即用戶可以要求公司清除其個人數據,并禁止第三方獲取這些數據;用戶也可以帶著他們的數據轉移去不同的服務提供商。
(3)數據保護范圍擴大:政治傾向被列為敏感數據
《通用數據保護條例》擴大了數據的保護范圍,對個人敏感數據做出定義:新規適用于個人數據,包括姓名,電話號碼,位置信息,在線身份信息;以及個人敏感數據,包括:種族、性別及性取向、政治傾向、宗教信仰、生物數據、醫療狀況、犯罪記錄。
(4)發生信息泄露需72小時之內通知
如果發生了高危信息安全泄露,公司必須在事故發生72小時內通知權威機構及受影響的個人。
(5)任命數據安全官
符合相應要求的公司,包括大規模監控的公司、處理與犯罪信息有關數據的公司等,必須雇傭或任命從事數據保護的管理人員。
(6)罰款2000萬歐元起,可能高達公司年度營業額4%
如果違反歐洲《通用數據保護條例》,公司可被判處其全球年度營業額4%或2000萬歐元的罰款,選擇二者中較高的數值判罰。對跨國科技巨頭來說,年度營業額的4%的罰款額非常巨大。2017財年Facebook營收為406.53億美元,4%即為16.3億美元。
為符合《條例》要求,Facebook是如何做的
為了使自己平臺上的隱私政策符合《通用數據保護條例》要求,在8700萬用戶數據泄露的劍橋分析事件曝光之后,Facebook加速了時間表,讓平臺的隱私和數據處理政策能夠提前達到《通用數據保護條例》要求。
除了更新了隱私政策,Facebook重新設計了移動設備上的設置菜單,讓相關內容更易查找,設置欄里不同的區合并到了同一個地方。設置菜單里,可以方便地移除不再需要的應用和網站,查看并更新第三方應用可獲取的信息。
增加了隱私快捷菜單,用戶可以在登錄、瀏覽和刪除內容、編輯個人公開資料的時候直接進入此菜單,做出額外的安全設置。
Facebook還引入了一個叫做“獲取你的信息”(Access Your Information)工具,讓你看到自己留下的評論或你分享后又刪除的帖子。公司稱這會讓用戶更容易下載自己的數據,如添加到賬戶中的照片和聯系人,也可以將這些數據搬運到其他服務上。
《通用數據保護條例》對企業造成的重大挑戰
(1)企業需對其供應鏈負責
歐洲《通用數據保護條例》要求,如果某個歐盟境內運營的公司會將歐盟的數據傳輸到歐盟境外的公司,那么這些歐盟境外公司需要有合同或類似的具有約束力的保障措施制約。
LaFrance和詹智鷹介紹,這意味著企業將個人數據外包處理時,必須對供應鏈負責,并且只有在適當的(充分定義的)有合同或其他法律約束力保障措施的情況下,才能處理或轉移歐盟的個人數據。因此,企業內部和供應商管理的流程也要進行相應的變更。修改供應商協議以納入強制性合同保障成為了大多數公司的一個主要任務。
(2)企業須在歐盟指定一名代表接受相應投訴
另一個重大挑戰是,企業必須制定必要的程序,在30天之內能夠回應數據主體(包括歐盟員工、消費者、商業聯系人)要求行使《條例》中新增強的個人權力的要求。這些權利包括,有權訪問個人數據、糾正不正確的數據、刪除數據(受某些特定條件限制)、反對直接營銷、反對自動化決策和分析,或基于數據控制者的合法利益進行數據處理等。
LaFrance和詹智鷹介紹,不設立在歐盟、但屬于被《條例》域外規定監管范圍的中國公司,必須在歐盟指定一名代表,接受數據主體和數據保護監管機構的投訴。
(3)生效日是企業調整的開始
《通用數據保護條例》正式生效前,公司已經有了兩年適應期讓自己符合要求。如果公司認為它們的商業模式無法達到《條例》的要求,它們可能需要考慮退出歐洲市場。但如果它們能夠調整商業模式以適應《條例》,則需要迅速采取行動進行差距評估,并落實最低合規性所需要的一系列措施。
LaFrance和詹智鷹介紹,《通用數據保護條例》的生效日是這個過程的開始,而不是結束。即使在歐洲,也很少有公司能說自己2018年5月25日起能夠100%完全合規。《通用數據保護條例》要求的最大罰款額非常高,但除了罰款之外,監管部門也能夠采取一系列其他措施,即使企業達到要求的時間有所延遲,真誠的努力也必須考慮在內。
其他國家的數據隱私保護法規
LaFrance和詹智鷹介紹,《通用數據保護條例》授權給歐盟委員會,如果發現一個非歐盟國家擁有“本質上等同”的數據保護制度時,會發布“充分性決定”(adequacy decision),這是歐盟-美國隱私保護框架的基礎,該框架允許美國公司在符合歐美之間此前達成的隱私保護要求Privacy Shield的情況下處理歐盟的個人數據。現在,歐盟和日本也正在進行類似的協議談判,這可能會成為其他亞太地區的模式樣本。
在中國,《全國人民代表大會常務委員會關于加強網絡信息保護的決定》于2012年12月發布并生效,《中華人民共和國網絡安全法》于2017年6月1日生效,以上兩種法規均包含對數據隱私保護的要求。2018年1月24日,《信息安全技術個人信息安全規范》全文在國家標準全文公開系統上線,5月1日正式實施。該規范屬于推薦性國家標準,對個人信息的收集、保存、使用、轉讓等環節進行了規定。
LaFrance和詹智鷹介紹,《規范》是推薦國家標準,不是具有約束效力的法律,但還是強烈建議在中國的每個組織和實體都能采用《規范》指導自己的行為,因為《網絡安全法》和其他相關法律條例只提供了個人信息保護的總體規定,但《規范》對信息手機、存儲、適用、分享、轉移和公共披露等內容做出了具體的指導。
京公網安備 11010502049343號