2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR,以下简称《条例》)即将生效。
作为一项法案,《条例》此前历经了长达四年的讨论,在2016年4月欧洲议会上正式投票通过,将完全替代1995年的《欧盟数据保护指令》(Directive 95/46/EC,简称95《指令》)。
面对在全球范围内引发社会忧虑的数据隐私与安全问题,仅剩一个月生效时期的欧盟《通用数据保护条例》将如何为数据隐私“保驾护航”,又会为用户与企业、乃至国家与社会带来何种影响,愈发引起舆论关注。
《通用数据保护条例》的四大重点
《条例》号称“史上最严”数据保护条例,其包含内容的横向范围以及条例的纵向深度都有所扩展,总结而言,其内容有四大重点:
01 条例适用范围从属地主义向属人主义扩展
相较而言,欧盟之前通行的95《指令》的适用范围取决于属地因素,要么机构的成立地在欧盟,要么利用了欧盟境内设备进行了个人数据的处理活动。
但新版《条例》认为,只要其在提供产品或者服务的过程中(不论是否收费)处理了欧盟境内个体的个人数据,将同样适用于《条例》。其适用范围由属地扩展到个人。
中国信息通信研究院互联网法律中心副主任王融在文章《欧盟〈通用数据保护条例〉详解》中分析,
任何网站甚至手机软件(App)只要能够被欧盟境内的个人所访问和使用,产品或服务使用的语言是英语或者特定的欧盟成员国语言、产品标识的价格为欧元,都可以被理解为该产品、服务的目标用户包括欧盟境内用户,从而需要适用《条例》。
这也是《条例》在全球引起极大震动的核心原因之一。
不论是银行、保险、航空等传统行业,还是电子商务、社交网络等新兴领域,只要涉及向欧盟境内个人提供服务并处理个人数据,都将落入《条例》适用范围,除非放弃欧盟5亿发达人口市场。
02 扩大了用户数据的保护范围
在《条例》出现之前,无论是欧盟还是美国的法律,对于用户数据的定义都很模糊。在欧盟最早的95《指令》中对于用户数据的定义仅包含了登陆名、密码和购物记录等内容。
而《条例》在最开始就描述了哪些类型的隐私数据将受到保护,其中包括:
1.基本的身份信息,如姓名、地址和身份证号码等;
2.网络数据,如位置、IP地址、cookie数据和RFID标签等;
3.医疗保健和遗传数据;
4.生物识别数据,如指纹、虹膜等;
5.种族或民族数据;
6.政治观点;
7.性取向。
相比之前,条例对于隐私数据的分类更为细致精确。这些分类基本上包含了大部分可用于直接或间接识别用户的数字信息。
此外,《条例》还扩展了“数据画像”概念。
“数据画像”指任何通过自动化方式处理个人数据的活动,该活动服务于评估个人的特定方面,或者分析及预测个人的特定方面,被经常运用于商业活动中。
《条例》进一步对“数据画像”进行拓展,但是也明确规定要建立在用户明确同意的基础上。
03 明确用户的基本数据权力
《条例》加强数据控制者与处理者的义务,赋予数据主体更多新权利。
首先,增加了数据主体的“同意”要件。
数据主体的同意指数据主体自愿做出的明确的、具体的同意其数据被处理的指示。
《条例》扩大了“同意”的要件,要求同意必须以易于理解且与其他事项显著区别的形式呈现,同时数据主体有权随时撤回。
其次是保障个人对其数据的“访问权”“限制处理权”与“拒绝权”。
数据主体有权获得其数据处理与否及其处理目的、分类、存储的方式,并有权要求纠正以及限制数据的处理行为,在市场营销以及部分科学研究与统计活动中,数据主体有权拒绝有关其个人的数据处理。
此外,《条例》创建了“可携权”与“擦除权”(又称“被遗忘权”)等新权利。
可携权是指数据主体有权就其被收集处理的个人数据获得对应的副本,并可以在技术可行时直接要求控制者将这些个人数据传输给另一管理者或管理机构。
04 统一法规,统一标准
由指令上升为法规,《条例》生效后无需经过成员国立法转化,将直接适用各成员国,这也将彻底解决成员国之间的法律制度差异问题,减少《通用数据保护条例》在实施过程中的阻力。
2018年2月1日,爱尔兰正式发布《2018年数据保护法案》,将全面执行欧盟《条例》及爱尔兰法律中的相关指令。此外,已经脱欧的英国也于2017年8月7日,由英国数字、文化媒体和体育部发布了一份名为《新的数据保护法案:我们的改革》的报告,披露英国将通过一部新的数据保护法案,以更新和强化数字经济时代的个人数据保护。
《通用数据保护条例》会如何影响中国企业?
《条例》尽管是欧盟的法规,但在全球化和互联网深度发展的今天,同样对中国企业带来深刻的影响。
01 适用范围拓展,企业覆盖范围广
由于《条例》的适用范围将有较大拓展,因此无论公司总部在哪儿,无论数据存储和处理地点在哪儿,只要与身处欧盟的人做生意,或者收集欧盟公民的行为信息,就必须遵从《条例》。该法规将对中国企业的数据安全产生重大影响,不但包括大数据公司、互联网公司,也包含大型央企等。
02 高额罚金设置红线,企业拓展需谨慎而行
如果违反《条例》相关规定,相关企业会首先面临高额的经济处罚:处罚高达2000万欧元或者全球总营业收入的4%(两者中取最高者)。
4%这个数字意味着什么呢?
苹果公司最近两年的年收入都超过了2000亿美元,所以假设苹果公司违反了《条例》的规定,那么罚金就有可能高达80亿美元。
与其形成对比的是,如果在美国触犯了隐私保护条例,那通常情况下罚金的大概范围是几十万到几百万美金。
从数量级上看,《条例》的罚金是远高于其他数据保护条例的。
因此对于我国企业而言,为了避免高额的罚款,未来在欧盟拓展业务时就需要更加成熟谨慎的规划与方案,避免野蛮生长。
03 推动企业审慎评估法案内容,提高合规能力
经济方面的影响仅是中国企业要考虑的因素之一,中国企业在欧盟的业务日益扩大,特别是银行、电子商务、互联网、IT企业和软硬件生产商因涉及个人信息处理,势必会成为《条例》主要规制的对象,如果中国的企业特别是互联网企业想在欧洲开展业务,就需要仔细评估《条例》的内容,提高对《条例》的了解与重视程度;
调整已有的数据保护条例、数据传输合同、“合法”依据、数据披露制度,提升数据保护能力,积极记录处理活动,评估数据保护措施,任命数据保护官,并对履行情况进行积极的“明示”,满足合规要求。
《通用数据保护条例》的数据管理与保护启示
从数据保护而言,欧盟《条例》一些具有开创性的举措对我国数据保护工作的开展同样具有启示意识。
例如,《条例》指出相关数据管理的机构、企业,需要设立数据保护官员(Data Protection Officer)一职,负责企业在处理数据的过程中考核监管和合规。这一岗位并不是虚职,数据保护官必须依法履行职责,在企业违法情况下,数据保护官将被追究法律责任。
此外,《条例》建议所有需要处理个人信息的公共机构(除掉法院)都必须指定DPO去监管组织的相关行为。
再如,《条例》将不再允许公司向互联网用户发送“不请自来”的电子邮件。因此企业和组织需要为其电子邮件广告系列设置双重选择并加入发送系统,以清楚明确地告知用户其收集的数据并获得他们的同意。
此外,对于互联网平台而言,需要调整cookies,增强用户对其数据的控制权和被收集时的知情权。互联网平台必须告诉用户什么时候 cookies会收集他们浏览的信息。法案实施后,cookies程序将安装新的更详细的接受按钮,因此,用户将能够cookies的控制权增强,并且如果没有通过点击“允许或拒绝”按钮来接受cookies,用户将不能再访问该站点。
然而,《条例》的系列数据保护举措中,个别条例的实际效果以及是否值得向欧盟之外的地区借鉴,仍有待观察。
例如,欧盟对数据可携权较为重视,并最终在经过数次草案重大调整后将其相关内容固定《条例》的第二十条法案中。
有学者指出,这一权利的确立虽然愿景美好,但是在适用范围、数据来源和细则规定上都还存在一定欠缺。如果盲目引入,大小互联网企业很可能会因为过于繁重的法定义务而增加企业运行成本,进而阻碍整个产业的快速发展。
整体而言,欧盟《条例》是当前较为贴近互联网发展最新情况的数据保护法案,它实施的效果与影响如何,必然对全球其他地区的下一步数据保护与管理工作、乃至全球互联网治理带来重要的参考价值。
来源:网络舆情
原标题:《通用数据保护条例》范围内引发社会忧虑的数据安全问题
