原标题:欧盟《通用数据保护条例》生效:我的数据我做主
欧盟坚决捍卫保护个人隐私权
5月23日,笔者收到一封银行来信,以为是广告。打开一看,除了短信还附带一份薄薄的小册子。信的题目是:“Wichtige Informationen Für Ihre Unterlagen”,内容说,从5月25日开始,实行新的“欧盟数据保护法”,银行相关的服务会有所调整和改变。小册子列出了调整改变的相应内容。笔者看过信,认为是例行的客户通知,没当回事地放在一边。一天后的5月25日,在不同网站看到“欧盟实行新数据保护条例”、“世上最严格的数据保护法生效”等报道,笔者突然明白:银行的通知乃是改变欧盟28国公民网络和通信模式的重大事件。回想起来,过去几个月里,笔者在内的欧盟公民可能收到过很多来自互联网运营商、银行等企业的个人隐私政策更新信息,这些都与《通用数据保护条例》的生效有关。
欧盟个人数据保护法规推进时间表
经过近四年的讨论以及两年的过渡期,5月25日,欧盟《通用数据保护条例》在欧盟28个成员国正式生效。《通用数据保护条例》以欧盟法规的形式确定了个人数据保护原则和监管方式,被认为是“史上最严格的个人数据保护条例”,将给欧盟公民的个人数据保护带来革命性的变化。
欧盟《通用数据保护条例》大幅拓展了对于“个人数据”的定义,除了用户姓名、住址、身份证号码以及网络IP地址这些常规信息外,还包括了指纹、虹膜这些生物识别数据,以及种族和宗教信仰等信息。条例所包含的条款,可以说激活了一系列在网络上属于个人的信息主体权利,例如处理个人信息所承担的主要责任、数据的可携带权、实现个人信息集合从一个网络服务运营商向另一个转换的可能、数据的被遗忘权等等。新条例全面加强了对个人数据的保护,并大幅提升了企业的数据保护责任。企业和机构在收集或使用个人数据之前,必须用通俗的语言向用户说明用途,并取得用户的授权。如用户年龄在16岁以下,则必须征得其监护人的同意,否则就被视作违法行为。一旦发生数据泄露,企业必须在72小时内向政府报备。
相比旧版《个人数据保护指令》,《通用数据保护条例》(General Data Protection Regulation,简称GDPR)有三个鲜明的升级:首先,强制了企业的义务,强化了个人的知情权、访问权、反对权等已有权利。另外增加了个人的数据可携带权、被遗忘权两个新权利。其次,在属地管辖的基础上兼采属人管辖,凡在欧盟境内设立的企业或有向欧盟境内个人提供视频或服务的,都将受到《条例》的管辖。第三,统一确立并细化了一些具体制度,使《条例》可以直接作为企业和个人遵守的规范。
数据库上升到云端、数据链接无所不能的时代,用户得以在无限的资源库,快速方便地获取信息,但是代价是个人隐私轻易泄露,互联网世界成为无隐私世界。《条例》为捍卫个人隐私权划出底线。
《通用数据保护条例》GDPR将对用户的网络足迹,以及用户使用的应用程序和服务如何保护或利用这些数据,产生重大影响,简而言之:
GDPR赋予欧盟公民更多的个人数据控制权,并试图澄清在线服务对欧洲用户数据收集、存储以及使用的规则和责任。GDPR扩大了企业必须考虑的个人数据范围,并要求它们密切跟踪存储的欧盟居民个人数据。如果欧盟某个人要求某公司删除他或她的数据、发送数据拷贝或者更正数据中的错误,这些公司都必须照办。
欧盟公民可以反对公司使用他们数据的具体方式。但只要公司停止使用这些数据,他们不会介意这些数据的特定用途。更重要的是,新法要求公司在数据泄露的72小时内通知用户,目前很少有公司这么做。例如,美国个人信用评估机构Equifax遭到黑客袭击,美国和其他地区数百万用户个人信息被泄露,该公司先花了数周时间来阻止攻击,然后在告知公众之前制定好如何处理损害的计划。
GDPR适用的个人信息数据极其广泛:姓名、住址、身份证号码、驾照号码、电话号码、电子邮件地址、银行帐号、某人在线和现实世界活动的信息、位置信息、IP地址、cookie以及其他数据。有了这些信息,公司或特定部门可以即时跟踪锁定某个个人。
对于客户数据失控的公司,或者已经被黑客入侵的公司,GDPR要求在72小时内通知用户。假如公司违规,将面临巨额罚款。如果Facebook被发现未能遵守规定,那么它将面临16亿美元的罚款(基于其2016年400亿美元的收入)。
欧盟的每个成员国都有自己的GDPR执行和监管机制,公民可以向各自国家的监管机构投诉。违反GDPR的公司可能面临非常严重的处罚,违反GDPR的最高罚款金额为2000万欧元,或相当于该公司年度全球收入的4%,判罚时,哪个数额更高,就会按照哪个标准计算。
美国企业知趣,中国人有微词
各界普遍认为,欧盟《通用数据保护条例》的实施,使得欧盟对于个人数据的保护及监管达到了前所未有的高度。新《通用数据保护条例》取代欧盟1995年出台的《个人数据保护指令》,具有更强的法律效力。
《通用数据保护条例》涵盖范围超出欧盟范围,因此引发国际关注。GDPR适用于任何收集、处理、管理或存储欧洲公民数据的组织,几乎将世界范围内主要互联网企业一网打尽,因为它们靠收集、处理、管理或存储数据为生。因此,GDPR实际上为数据保护设定了一个新的全球标准。
Facebook、微软、苹果以及其他公司都向欧盟以外的用户提供了一些额外的数据权限,但这些权限无法律效力。这意味着非欧盟居民,即使被侵犯个人数据隐私,也不能投诉微软等违反了GDPR。许多大型在线服务和社交媒体公司正在更新他们的隐私政策和服务条款,以准备应对新法。鉴于刚刚爆发了剑桥分析公司(Cambridge Analytica)滥用数据丑闻以及过去对该公司收集数据的担忧,Facebook的回应肯定会受到欧洲监管机构的密切关注。其中包括2007年该公司有争议的Beacon广告计划,即在合作伙伴网站上播放用户活动。此外,当Facebook及其子公司Instagram声称拥有用户个人资料和照片时,不要忘记用户的喧嚣。GDPR将更明确地表明态度:这类活动不合适。
4月底,扎克伯格参加欧洲听证会,为FACEBOOK数据保护做辩解
4月10日,在参议院司法与商业委员会的联合听证会上作证时,扎克伯格表示,在用户同意放弃自己的数据之前,他“原则上”支持为用户提供类似GDPR的选择标准,但他没有许下承诺,接着讨论了Facebook收紧数据政策的计划,保护用户不受进一步数据泄露事件的影响。之后,欧洲议会议员在布鲁塞尔对扎克伯格提出质询时,这部法案也是其中一个主要焦点。欧盟官员表示,他们对扎克伯格有关GDPR问题的答复并不满意,后者已经承诺将继续以书面形式给出回答。不仅是Facebook这样的家喻户晓的互联网巨头必须遵守新法,医疗保健提供者、保险公司、银行和其他处理敏感个人数据的公司也将面临严格的监管。
有学者认为:全球出现了两个版本的网络空间规则。一个是美国规则,即关注信息安全,关注个人隐私,但更优先关注发展经济利益,促进谷歌、脸书这类公司在网络空间获得最大限度的保护。而欧洲用GDPR重新确立“人权至上”原则,实际上是用政治化的方式解决网络安全问题。GDPR关注的不是网络安全,而是个人隐私,其潜台词是,当个体安全面临潜在威胁时,宁可不要发展,不要信息化,也要保障个人隐私安全。
GDPR图示
欧盟《通用数据保护条例》正式生效后,会大幅提升企业对于个人数据保护的责任和要求。对于个人隐私保护问题,欧盟民众开始体验到“自互联网诞生以来的最大变革”。为了适应新的法规,在欧中资企业纷纷加强了相关的培训。
然而,中国国内人士照例发出不同声音,北京师范大学法学院教授刘德良认为:《条例》将个人数据等同为隐私予以保护,把对个人数据的控制权视为基本人权。其次,极端个人主义本位有碍社会经济快速发展。数据能够高效、自由的流动是大数据产业发展的基础,《条例》夸大了个人对其数据的控制权,对企业苛责过严,不利于刚刚起步的产业发展。第三,技术上有过时之嫌,《条例》的立法核心是如何保障个人有效控制其数据,立法的基本原则源于上世纪六、七十年代的美国公平信息实践原则(FairInformationPrac-ticePrinciples)。信息数字化、网络化,人们很难知道何时、何地、何人收集、加工、存储了自己的哪些数据。因此,《条例》因循守旧,沿袭公平信息实践原则的做法,在技术上已经过时了,立法宗旨也难实现。他认为,在全面发展数字经济的年代,个人数据的保护和开发利用不仅攸关个人利益,还关乎产业发展、公共利益和国家利益。因此做好个人利益保护和个人数据合理利用的平衡。在个人信息立法上,有必要合理区分个人信息、个人数据和个人隐私。坚持利益平衡的指导思想,树立正确的隐私观,把重点和核心放在防治对个人信息的滥用问题上,制定一部中国的个人信息(数据)滥用防治法。
(图片来源于网络)
