4月15日消息,據Engadget UK網站報道,歐洲議會今天宣布投票支持新的數據保護法,后者將適用于位于歐盟的所有公司,無論他們的總部位于哪里。這一法律早在四年前提出,它代表了對1995年起草的規則的意義重大現代化更新,當時網絡和數字服務遠沒有現在這么成熟。去年底在各個歐盟有關當局同意這些規則后,現在這些規則正式上線,這使得公司必須負責數據保護,也讓公民對與他們有關的信息擁有更大的控制權。
根據通用數據保護規則(GDPR),公司必須確保在默認狀態下自己的產品和服務盡可能少的獲取和處理個人信息。這迫使例如社交網絡這樣的服務必須確保用戶擁有最嚴格的隱私設定,而不是必須從菜單里尋找如何退出他們在注冊時就自動包含的項目或者特征。
這與公司負有保證數據收集更加透明化的責任相一致。公司必須獲得用戶“清晰明確的”同意才能處理他們的個人數據,并提供撤回同意權的簡單方式,此外,數據將用于什么用途必須以“清晰直白的語言”陳述清楚。在新的數據保護規則下,任何處理大量個人數據的業務必須雇傭一名數據保護官員,違反這些規則必須在72小時內公開揭露。
歐洲議會表示最新的規則將讓公司受益,因為它引入了單一一套必須遵守的法律(而不是28個成員國各自的規則)以及單一的監管機構。切不可對GDPR掉以輕心,如果任何公司或者組織違反或者不遵守這一規則將處于高達4%全球營業額的罰款。像谷歌這樣的巨頭這將是一筆巨款。
除了針對公司更加嚴格的規則,GDPR還讓歐盟公民對自己的個人數據獲得更大的控制權,包括“數據可攜帶性”,也即在不同服務之間移動數據的能力,例如指導目前的網絡服務提供商(ISP)將特定信息透露給新的ISP。然而,事情遠比這個更加復雜。理論上來說,你將可以切換郵件提供商,例如將所有的聯系人信息和郵件歷史從谷歌移動至雅虎;或者利用現有社交網絡賬戶的數據設立新的社交網絡賬戶。
“被遺忘權”(Rightto Be Forgotten)也是新規則的重要部分。你可能還記得歐洲法院裁定個人可以要求搜索引擎從包含“不相關”或者“過期”個人信息的結果里移除鏈接。這種法律拘束性判決現在不僅是歐盟法律的一部分,這一權利還已經延伸到覆蓋各種類型的個人數據。例如你可以要求Facebook 刪除你的賬戶以及所有與你的活動相關的數據;社交網絡必須立即執行。當然這其中存在某些警告,當“數據被用于歷史、統計和科研目的,為了公共健康或者為了執行自由表達的權利。”
在被遺忘權下,兒童擁有特殊的保護,GDPR還包含新的規則要求社交網絡在讓兒童注冊賬戶之前尋求父母的同意。好幾個歐盟成員國已經有了這一規定,每一個國家將設立自己的年齡門檻。
雖然可能與一般網絡用戶不太相關,但今天批準的數據保護“套裝”還為歐盟法律執行部門處理個人數據創造了一套指導方針。數據保護指令劃分了成員國之間數據移動的“最低保護標準”,例如確保個人信息“被合法、公平的處理,且只針對某一特殊目的。”
本質上來說,數據保護指令試圖平衡個人的權利和法律執法部門之間跨界合作的需要。利用一套指導方針,有關當局不再需要處理不同國家的各種繁瑣規則,這將促進成員國有關當局之間更順利更有效的數據傳輸。
現在既然這些規則已經被批準,GDPR和數據保護指令將很快變成歐盟法律的一部分,但這些規則要等到2018年4月才真正生效。這給成員國提供了兩年時間將這些規則復制粘貼到自己本國的法律和流程中。當然這些規則可能在此之前就會產生影響。
毫無疑問,這是討論立即更新歐盟電子隱私指令的關鍵,后者專門處理電子通訊數據,例如cookies的使用。此外,歐盟和美國正在研究Privacy Shield隱私保護法案,后者將主導大西洋兩岸個人數據的移動和使用,主要是為了取代已經失效的安全港協議。
京公網安備 11010502049343號