个人数据隐私保护更全、更严

2018-05-23 03:46银昕
中国经济周刊 2018年20期
关键词:数据保护数据处理指令

银昕

2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)(下称“《条例》”)将正式生效,这也是欧盟1995年《个人数据保护指令》(下称“《指令》”)生效以来颁布的又一项数据保护措施。

GDPR因何而生?

“在欧盟境内开展数据服务的企业目前一般在隐私政策透明度、获得用户同意的方式以及数据共享方面相对不规范。”中国人民大学金融科技与互联网安全研究中心主任杨东告诉《中国经济周刊》记者,鉴于不少企业在隐私政策中对个人信息收集设定霸王条款、一揽子协议,在收集个人敏感信息时未能提醒收集的用途和必要性,在获得用户同意的方式上采用被动接受方式或默认同意方式,而未给予用户充分的选择权等做法,因此许多欧盟数据企业的做法需要改变。

据悉,此次立法的主旨之一,便是结束1995年《指令》颁布以来各成员国之间的数据保护法律制度差异问题,《条例》的统一规定将直接适用于各成员国。 “《条例》对各成员国直接生效,转化为其国内法。”杨东说,但与《指令》相比,《条例》的强制性较大,“从某种意义上讲《指令》不具有直接生效的权力,因为考虑到各成员国法律传统的不同,还是赋予各成员国在转化为国内法方面以一定的选择权。”

GDPR严在哪儿?

与1995年颁布的《指令》相比,《条例》颁布在数字经济高度发达的2018年,《指令》的很多概念和保护的范围在《条例》中被扩大和细化了。

首先是适用范围的扩大。《条例》规定接受管辖的主体,除欧盟境内的数据控制者和数据处理者外,欧盟境外的数据控制者和处理者,只要其数据处理活动向欧盟境内的个体提供商品或服务,或涉及到监测欧盟境内主体活动的,一概都是被管辖者。相较而言,《指令》的适用范围则简单地取决于属地因素,要么机构的成立地在欧盟,要么利用了欧盟境内的设备进行了个人数据的处理活动。

23年前的《指令》对用户数据的定义仅有登录名、密码和购物記录等几个项目,《条例》则将受保护的个人信息范围大大延伸至:基本身份信息(姓名、地址、ID号码等),网络数据(位置、IP地址等),医疗保健和遗传数据,生物识别数据(指纹、虹膜等),种族数据,政治观点以及性取向等。

其次,《条例》赋予了《指令》之外更多的个体权利。比如,保障个人对其数据的“访问权”“限制处理权”与“拒绝权”。数据主体有权获得其数据处理与否及其处理目的、分类、存储的方式,并有权要求纠正以及限制数据的处理行为,在市场营销以及部分科学研究与统计活动中,数据主体有权拒绝有关其个人的数据处理。

不仅如此,数据主体还有权就其被收集处理的个人数据获得对应的副本,并可以在技术可行时直接要求控制者将这些个人数据传输给另一管理者或管理机构,以及可以随时撤回同意的权利。

此外,《条例》对何谓有效的“个人同意”做了更严格的要求:个人沉默、预先勾选和静止状态不足以认定个人表达了“同意”。

GDPR 要求公司在收集和使用个人数据前必须向用户明确告知数据的收集和使用方法,并且需要在获得用户明确同意后才可以进行。这里的明确同意指的就是不可以和用户协议捆绑,必须要在网站或应用内专门说明,并获取用户同意,同时可以随时便捷地取消和管理。

跨国公司该怎么办?

对跨国公司而言,最引人注意的是《条例》对欧盟境外数据控制方和处理方的境外管辖权。

对此,杨东告诉《中国经济周刊》记者:“《条例》采用的域外管辖接近于‘效果原则(当公司在境外的行为对境内产生了‘效果时就行使对其的管辖权),确实是跨国公司开展业务不得不重点关注的重要法律文件。”如此一来,总部不在欧盟成员国境内,但在欧盟开展数据业务,收集并服务于欧盟成员国个体的跨国公司在《条例》生效后将面临极大考验。

除跨境管辖外,《条例》令全球震动的另一个原因是其严厉的处罚措施,即若违反规定,企业会面临高额经济处罚,在2000万欧元或全球总营业收入4%二者中取最高值作为罚金。

假设以微软为例,其2017财年总营收为899.5亿美元,占其4%的35.98亿美元高于2000万欧元(约合2367万美元),则35.98亿美元就是微软在其2018财年年报尚未发布时违规的罚金数额。

此外,与我国今年5月1日正式实施的《个人信息安全规范》中,要求规模超过200人的、业务涉及用户个人信息的企业建立专门负责个人信息安全保护的部门以及设立专门的负责人的规定相似,《条例》要求相关数据管理的机构、企业任命一名数据保护官(Data Protection Officer,DPO),监督数据处理的活动,推出各项措施来确保不会违反GDPR。

对不久前脸书与剑桥分析发生的数据丑闻事件,《条例》在也有涉及。杨东告诉《中国经济周刊》记者:“脸书与剑桥分析触碰的两个问题是数据共享与数据泄露通知制度。在数据共享方面,《条例》要求企业与服务提供商共享数据时需签订数据处理协议,与欧盟境外的公司共享数据时还需要提供数据传输方案;在数据泄露通知方面,数据控制者应当在发现该情形后的72小时内告知监管机构,如果可能危及个人的权利和自由,则需通知数据主体,如果数据控制方和处理方切实遵守上述规定,对解决不当处理用户信息的问题将有所帮助。”

有分析认为,随着我国对外开放程度不断扩大,企业在欧盟的业务日益扩大,特别是银行、电子商务、互联网等企业均涉及个人信息获取和处理,势必会成为《条例》的规制对象。如果想继续在欧盟开展上述业务,对《条例》的研究和应对至关重要。

杨东表示,在具体的司法实践当中,跨国企业在欧盟境内的海外业务会受到《条例》何种程度的规制,对其未来是否有足够动力开发欧洲市场具有重大意义。

以华为公司为例,根据市场研究公司Canalys的报告,2018年第一季度华为智能手机产品在欧洲市场上的销量同比增长38.6%,达到740万部。“华为的业务肯定是要受《条例》的监管的,因为每一部手机背后都与云服务相连,都会涉及到数据处理的行为。”通信行业观察家项立刚告诉《中国经济周刊》记者,华为为欧盟国家提供云服务的数据中心就建在欧盟境内,从这一点来说并不适用于跨属地管理的原则,而是毫无疑问会受《条例》的管辖。

猜你喜欢
数据保护数据处理指令
电容式传感系统数据处理电路的设计
一样,不一样
基于ARCGIS 的三种数据处理方法的效率对比研究
《单一形状固定循环指令G90车外圆仿真》教案设计
新机研制中总装装配指令策划研究
高层建筑沉降监测数据处理中多元回归分析方法的应用研究
高层建筑沉降监测数据处理中多元回归分析方法的应用研究
欧盟最严数据保护条例生效 违反将严惩不贷
欧盟“最严”数据保护条例生效
未成年人能不能上社交网络