专题

欧盟史上最严网络数据管理法规生效:违规可罚年度营业额4%

澎湃新闻;新浪科技2018/5/30 14:44:18

 从4月传出的QQ国际版在欧洲停止服务传言,到Facebook创始人扎克伯格现身欧洲议会接受质询,其背后的大背景都是史上最严的网络数据管理法规即将在欧盟生效。

  • 5月25日起,欧盟网络数据隐私保护新规《通用数据保护条例》(General Data Protection Regulation,GDPR)将在欧盟全体成员国正式生效。新华社的报道称,这被广泛认为是欧盟有史以来最为严格的网络数据管理法规。这一条例全面加强了欧盟所有网络用户的数据隐私权利,明确提升了企业的数据保护责任,并显著完善了有关监管机制。

  • 欧洲《通用数据保护条例》虽然是欧盟地区的法案,却对全世界科技公司的产品、运营等多方面产生了重大影响。因为该项法规拥有域外效力,欧盟以外的公司也可能要受到该法案的监管。

  • 5月22日,马克·扎克伯在欧洲议会接受质询时已经表态,Facebook将会在5月25日符合《通用数据保护条例》的要求。他还补充道,很多欧盟用户已经阅读并同意了平台上符合《条例》要求的新隐私政策。

  • 那么,《通用数据保护条例》是如何通过的,它严在哪儿,为何社交巨头会如此关注,又将对用户产生哪些影响?

  • 《通用数据保护条例》的前世今生

  • 欧盟5月25日将生效的《通用数据保护条例》是对其1995年《数据保护指令》的修订、拓宽和升级。

  • 据新华社报道,《数据保护指令》为当时欧洲国家立法保护个人数据设立了最低标准。随着互联网行业的迅猛发展和用户数据的爆发式增长,欧盟在2012年提出改革数据保护法规,旨在帮助民众进一步保护个人信息,帮助企业利用“单一数字市场”带来的机遇。2015年6月,欧盟成员国的司法及内政事务部长会议就五项原则达成一致,而这些原则也构成了新规的重要框架:

  • “同一个大陆,同一套法规”,即在欧盟范围内建立起一套法规;

  • “强化‘被遗忘权’”,即如果无必要的法律依据,用户可以要求互联网企业从网络搜索结果中移除个人信息;

  • “欧洲境内适用欧洲法律”,即设在欧盟以外的企业如果要在欧盟范围内提供服务,也需要遵守欧盟法律;

  • “强化各国数据保护机构权力”,并允许各成员国的数据保护机构对违法者处以高额罚金;

  • “一站式服务”,即企业和用户都只需与一个国家的监管机构打交道。

  • 欧盟《通用数据保护条例》是一个具有里程碑意义的法案。它不仅规定了数据应被如何处理、保存、使用和交换,还意图在当下公司普遍收集用户数据的情况下,让消费者拥有对自己个人数据的控制权。

  • 2016年4月,欧洲《通用数据保护条例》获得通过,2018年5月25日正式生效,通过和生效之间,有两年的适应期,让企业进行调整,以符合《通用数据保护条例》要求。

  • 值得注意的是,该法案虽然由欧盟设立,但它不仅适用于欧盟本土公司,而是拥有域外效力。对欧盟以外的公司,只要它们向欧盟提供商品或服务、追踪欧盟民众的行为,都必须受到该法案的监管。

  • Squire Patton Boggs律师事务所伦敦分所合伙人Ann J. LaFrance、上海分所资深法律顾问詹智鹰对澎湃新闻记者解释,即使一家中国公司在欧盟没有员工或运营,只要它在欧盟提供数字化的商品或服务,有行为或监测行为发生在欧盟,它依旧有可能直接受到《通用数据保护条例》要求的制约。

  • 大型科技公司往往跨国运营,业务遍及全球。因此,谷歌、Facebook、腾讯、阿里巴巴等在欧洲运营的大型跨国科技公司,均必须让自己在当地业务运营符合欧洲《通用数据保护条例》的要求。除科技公司之外,《通用数据保护条例》适用于所有类型的公司,LaFrance和詹智鹰介绍,某些具体的行业立法对特定行业提出了补充要求,比如,电子隐私权(e-Privacy)法规适用于通信运营商。

  • 《通用数据保护条例》严在哪

  • 那么,《通用数据保护条例》到底严在哪儿呢?

  • (1)获取用户同意的细节要求:同意后必须容易撤回

  • 按照《通用数据保护条例》要求,公司必须向它们的欧洲消费者具体说明,在何种允许下,公司持有哪些用户的个人身份数据,如何使用这些数据,并获取用户的同意。获取个人信息的同意请求必须清晰、容易找到。

  • 值得注意的是,获取用户同意时,默认选项必须是保护隐私的选项(Privacy by Design),用户已经提交了的同意请求也必须容易撤回。此外,对于16岁以下少年儿童,监护人要代表他做出数据收集的授权。

  • (2)企业持有和删除、转移数据的要求:用户可以要求公司清楚个人数据

  • 除了对征得用户同意做出细致规定,《通用数据保护条例》对企业如何持有数据,也做出了具体规定。其中数据的“被遗忘权”和“可转移权”是当下企业较难做到的,即用户可以要求公司清除其个人数据,并禁止第三方获取这些数据;用户也可以带着他们的数据转移去不同的服务提供商。

  • (3)数据保护范围扩大:政治倾向被列为敏感数据

  • 《通用数据保护条例》扩大了数据的保护范围,对个人敏感数据做出定义:新规适用于个人数据,包括姓名,电话号码,位置信息,在线身份信息;以及个人敏感数据,包括:种族、性别及性取向、政治倾向、宗教信仰、生物数据、医疗状况、犯罪记录。

  • (4)发生信息泄露需72小时之内通知

  • 如果发生了高危信息安全泄露,公司必须在事故发生72小时内通知权威机构及受影响的个人。

  • (5)任命数据安全官

  • 符合相应要求的公司,包括大规模监控的公司、处理与犯罪信息有关数据的公司等,必须雇佣或任命从事数据保护的管理人员。

  • (6)罚款2000万欧元起,可能高达公司年度营业额4%

  • 如果违反欧洲《通用数据保护条例》,公司可被判处其全球年度营业额4%或2000万欧元的罚款,选择二者中较高的数值判罚。对跨国科技巨头来说,年度营业额的4%的罚款额非常巨大。2017财年Facebook营收为406.53亿美元,4%即为16.3亿美元。

  • 1.jpg

  • 本文图均为 facebook截图

  • 为符合《条例》要求,Facebook是如何做的

  • 为了使自己平台上的隐私政策符合《通用数据保护条例》要求,在8700万用户数据泄露的剑桥分析事件曝光之后,Facebook加速了时间表,让平台的隐私和数据处理政策能够提前达到《通用数据保护条例》要求。

  • 除了更新了隐私政策,Facebook重新设计了移动设备上的设置菜单,让相关内容更易查找,设置栏里不同的区合并到了同一个地方。设置菜单里,可以方便地移除不再需要的应用和网站,查看并更新第三方应用可获取的信息。

  • 增加了隐私快捷菜单,用户可以在登录、浏览和删除内容、编辑个人公开资料的时候直接进入此菜单,做出额外的安全设置。

  • Facebook还引入了一个叫做“获取你的信息”(Access Your Information)工具,让你看到自己留下的评论或你分享后又删除的帖子。公司称这会让用户更容易下载自己的数据,如添加到账户中的照片和联系人,也可以将这些数据搬运到其他服务上。

  • 2.jpg

    图为facebook截图

《通用数据保护条例》对企业造成的重大挑战

  • (1)企业需对其供应链负责

  • 欧洲《通用数据保护条例》要求,如果某个欧盟境内运营的公司会将欧盟的数据传输到欧盟境外的公司,那么这些欧盟境外公司需要有合同或类似的具有约束力的保障措施制约。

  • LaFrance和詹智鹰介绍,这意味着企业将个人数据外包处理时,必须对供应链负责,并且只有在适当的(充分定义的)有合同或其他法律约束力保障措施的情况下,才能处理或转移欧盟的个人数据。因此,企业内部和供应商管理的流程也要进行相应的变更。修改供应商协议以纳入强制性合同保障成为了大多数公司的一个主要任务。

  • (2)企业须在欧盟指定一名代表接受相应投诉

  • 另一个重大挑战是,企业必须制定必要的程序,在30天之内能够回应数据主体(包括欧盟员工、消费者、商业联系人)要求行使《条例》中新增强的个人权力的要求。这些权利包括,有权访问个人数据、纠正不正确的数据、删除数据(受某些特定条件限制)、反对直接营销、反对自动化决策和分析,或基于数据控制者的合法利益进行数据处理等。

  • LaFrance和詹智鹰介绍,不设立在欧盟、但属于被《条例》域外规定监管范围的中国公司,必须在欧盟指定一名代表,接受数据主体和数据保护监管机构的投诉。

  • (3)生效日是企业调整的开始

  • 《通用数据保护条例》正式生效前,公司已经有了两年适应期让自己符合要求。如果公司认为它们的商业模式无法达到《条例》的要求,它们可能需要考虑退出欧洲市场。但如果它们能够调整商业模式以适应《条例》,则需要迅速采取行动进行差距评估,并落实最低合规性所需要的一系列措施。

LaFrance和詹智鹰介绍,《通用数据保护条例》的生效日是这个过程的开始,而不是结束。即使在欧洲,也很少有公司能说自己2018年5月25日起能够100%完全合规。《通用数据保护条例》要求的最大罚款额非常高,但除了罚款之外,监管部门也能够采取一系列其他措施,即使企业达到要求的时间有所延迟,真诚的努力也必须考虑在内。

其他国家的数据隐私保护法规

LaFrance和詹智鹰介绍,《通用数据保护条例》授权给欧盟委员会,如果发现一个非欧盟国家拥有“本质上等同”的数据保护制度时,会发布“充分性决定”(adequacy decision),这是欧盟-美国隐私保护框架的基础,该框架允许美国公司在符合欧美之间此前达成的隐私保护要求Privacy Shield的情况下处理欧盟的个人数据。现在,欧盟和日本也正在进行类似的协议谈判,这可能会成为其他亚太地区的模式样本。

  • 在中国,《全国人民代表大会常务委员会关于加强网络信息保护的决定》于2012年12月发布并生效,《中华人民共和国网络安全法》于2017年6月1日生效,以上两种法规均包含对数据隐私保护的要求。2018年1月24日,《信息安全技术个人信息安全规范》全文在国家标准全文公开系统上线,5月1日正式实施。该规范属于推荐性国家标准,对个人信息的收集、保存、使用、转让等环节进行了规定。

  • LaFrance和詹智鹰介绍,《规范》是推荐国家标准,不是具有约束效力的法律,但还是强烈建议在中国的每个组织和实体都能采用《规范》指导自己的行为,因为《网络安全法》和其他相关法律条例只提供了个人信息保护的总体规定,但《规范》对信息手机、存储、适用、分享、转移和公共披露等内容做出了具体的指导。

欧洲数据保护法规生效,Google和Facebook最先被“开刀”

  • 3.jpg

    虽然Facebook想尽办法符合条例要求,但欧盟的《通用数据保护条例》(GDPR)周五刚刚生效,就有法律专家表示,Facebook和谷歌都已经违反了这项新规,甚至已经遭到起诉。

  • 倘若欧洲监管者认定这两家公司的确违规,他们就有可能面临数十亿美元的罚款。“我们正在寻找那些故意违反这项法律的大公司,也就是那些试图忽略和逃避这项法律的公司。”奥地利律师麦克斯·施瑞姆斯说(Max Schrems)说,他所在的非政府组织None of Your Business已经提交了诉讼。

  • 在该法律周五凌晨生效时,这家组织就向奥地利数据监管者起诉Facebook,向法国监管者起诉谷歌,向德国监管者起诉WhatsApp,还向比利时监管者起诉Instagram。

  • 按照新规,从本周五开始,欧盟数据监管者就可以对违反这项法规的企业处以最高达到其年收入4%的罚款。

  • “没有宽限期。”英国数据保护部门负责人詹姆斯·迪普尔-约翰斯通(James Dipple-Johnstone)说,“我们会查看他们用来利用数据的算法,确保公平合理。”

  • 施瑞姆斯10年来一直在数据保护问题上与Facebook斗争。他之前的诉讼成功挑战了Faceboook把数据从欧盟转移到美国的行为。

  • GDPR希望阻止企业在没有获得用户许可的情况下收集人们的敏感信息,包括政治观点、宗教信仰、种族和性取向等。施瑞姆斯和其他法律专家都认为,Facebook已经违反了GDPR的规定。

  • 伦敦大学学院科技政策专家迈克尔·维勒(Michael Veale)表示,即使用户从资料中彻底删除敏感信息,Facebook仍然可以通过分析他们在平台和其他网站上的行为判断性取向等敏感信息。

    “Facebook在全球40%的网站上都有追踪器。”维勒说,“所以,Facebook可以通过你在移动设备和各种应用上的海量数据推断出很多事情。法律禁止Facebook在没有获得明确许可的情况下作出这些推断。”

  • 上周四出席欧洲议会听证会时,Facebook CEO马克·扎克伯格(Mark Zuckerberg)曾经坚称他的公司会遵守新的监管规定。

  • “我们已经进一步明确了政策,还简化了隐私设置的寻找难度,并且推出了更好的工具,让人们可以获取、下载和删除自己的信息。”Facebook首席隐私管艾琳·伊甘(Erin Egan)在电子邮件中说。

  • 伊甘还表示,该公司正在开发名为“清楚数据”的新工具,让用户可以“看到那些在你使用的时候向我们发送信息的网站和应用,在自己的帐号中清楚数据,并禁止我们继续存储与你的帐号有关的信息。”

  • 谷歌被控强迫用户必须提供个人数据才使用Android移动设备。该诉讼指控这种“强迫同意”的做法违反GDPR。谷歌则表示会努力遵守新法规。

  • 施瑞姆斯认为,GDPR非常严格,足以避免剑桥分析(Cambridge Analytica)不当使用8700万Facebook用户数据的事情再次发生。他采取法律行动的目的就是为了确保GDPR得到恰当落实。

  • “如果执行得当,我们就可以在数字化的世界中找到一种平衡。”他说,“最终,你应该可以在使用Facebook的时候,不必再去整天担心自己的数据。”

  • 数据保护新规GDPR生效 欧洲程序化广告需求骤降

  • 5.jpg

  • 5月25日的《通用数据保护条例》正式实施令数字媒体和广告行业陷入混乱。自那之后,广告交易平台的欧洲广告需求量骤降了25%至40%。

  • 广告技术厂商都在加紧通知客户,他们预计来自谷歌的广告需求将会大幅下滑。而一些美国内容发布商甚至停止在其欧洲网站上投放所有程序化广告。                                      

  • 谷歌过去几天向Double Click Bid Manager客户发出警告,从5月25日开始,在该公司完成相关的整合工作之前,内容发布商、广告技术合作伙伴和广告主在第三方欧洲广告位上投放DoubleClick Bid Manager广告时可能遇到“短期中断”。

  • “营收和广告需求可能出现全面的大幅下滑。”一位来自内容发布商的高管说。

  • 在很多平台上,来自内容发布商的广告位供应也大幅减少,一些知情人士认为,这是美国内容发布商从欧洲大量撤下了程序化广告所致。《洛杉矶时报》和《芝加哥论坛报》等公司关闭了欧洲网站。《今日美国报》虽然仍然开放欧洲网站,但却撤下上面的广告。

  • 《纽约时报》的欧洲网站似乎也没有出现任何程序化广告。知情人士称,《纽约时报》欧洲网站的广告位已经无法通过广告交易平台获取。但《纽约时报》尚未对此置评。

  • 开创网络数据保护新纪元

  • 4.jpg

路透社评论称,GDPR将迫使企业更加关注如何处理客户数据,同时也让消费者能很好地控制数据,并且其隐私权也能得到更严格的保护。

  • 欧盟GDPR将取代1995年的旧规。本次新条例预示着一个时代的到来:对于违反隐私法的企业,欧盟监管机构将可以获取该企业全年收入的4%作为罚金,或是直接处以2000万欧元(约2348万美元)的罚款。具体罚金数额取决于这两个数字哪个更高,这远超之前几十万欧元的罚金。

  • 世界各地的许多隐私维权人士都称赞这项新规是互联网时代个人数据保护的典范,并呼吁其它国家效仿欧洲模式。不过,批评人士说,新规定过于繁琐——尤其是对小型企业而言。而广告商和出版商则担心,这将加大他们寻找客户的难度。

  • 《通用数据保护条例》澄清并加强了现有的个人隐私权利,例如用户有权删除数据,并有权要求公司提供一份个人数据的副本。但它也包括了一些全新的授权,比如要求将数据从一个服务提供商转移到另一个服务提供商,以及限制公司使用个人数据,等等。

  • “如果你将《通用数据保护条例》与数据保护指导意见(data protection directive)进行比较,你会发现,这就像是一款软件从1.0升级到2.0,”律师事务所DLA Ppier的合伙人帕特里克·范艾克(Patrick Van Eecke)表示。

  • “这是一个渐进的过程,而不是一种革命性的东西……然而,对许多公司来说,这却是一个巨大而又突兀的警钟,因为他们从来没有事先对此做过功课。他们从来没有认真对待过数据保护指令。”

  • 活动人士已经在计划利用访问个人数据的权利来扭转大型互联网平台们独霸话语权的局面——这些平台的商业模式依赖于无数用户的个人信息。这意味着,企业必须制定出应对新监管条例的程序,并对员工进行培训,因为任何不合规行为都可能导致严厉的制裁。

  • 研究表明,许多公司还没有为新规定做好准备。

  • 国际隐私专业协会(The International Association of Privacy Professionals)发现,受新条例影响的公司中,只有40%的公司在5月25日之前会完全遵守规定。

  • (编辑/刘瑞琦)

  •  


返回
分享到:

Copyright ©2017 深圳科技新闻网 版权所有   深圳网站建设:沙漠风