AD
5月25日,经过两年过渡期的欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效。该条例最大的作用是什么?被称为史上最严条例到底有哪些要求?针对中国企业,触及GDPR的监管红线在哪?
对于如何理解GDPR,知乎上有一个解释很简洁明了:对于个人而言,这项条例将保护人们对个人数据有更多的掌控权,比如修改、删除自己的数据,限制别人处理你的数据等,无论是年轻时候写的博客,还是发过的奇怪照片,乃至整个账号等,只要你想,这些”黑历史”统统都可以从社交网络彻底删除;对于企业而言,社交网络公司在使用个人的数据前,必须征得其同意,所以,欧盟各大报纸都说此项法律将会重创Facebook Google等科技公司。通用数据保护条例细则据了解,GDPR在2016年4月在欧洲议会上正式通过,将完全替代1995年的《欧盟数据保护指令》,该条例被称为“史上最严”。为保障新规的推行,欧盟增设的独立监管机构——欧洲数据保护委员会也于同一天正式成立。尚儒客栈公众号作者宁宇表示,GDPR生效后,大数据和云服务这两类企业被GDPR击中的概率比较高。他指出,根据GDPR的要求,处理个人数据必须要有合法理由和方式,而对于"合法"的定义非常严苛。具体而言,企业要征得数据主体的同意,而且"同意"必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。GDPR赋予数据主体可以随时撤回同意的权利,而且数据控制者应当明确告知用户现有该权利,并为用户方便地行使该权利提供便利。其次,GDPR中明确规定,数据控制者必须以清楚、简单、明了的方式向个人说明,其个人数据是如何被收集处理的。个人有权获得其提供给数据控制者的相关个人数据,且其获得的个人数据应当是结构化的、普遍可使用的和机器可读的。企业“玩火”要付出多大代价?对于违法行为,GDPR规定了处罚力度。轻者,处以1000万欧元或者上一年度全球营收的2%,两者取其高;重者处以2000万欧元或者企业上一年度全球营业收入的4%,两者取其高。业内人士表示,GDPR实施的第一年,欧盟的罚款收入可达60亿美金。条例对中国企业有何影响GDPR 将会影响到全球各地的公司,包括为欧盟公民提供服务和商品的中国企业。中央财经大学副教授刘权接受央视采访时表示,使用欧盟用户数据就要守新规,许多人可能认为,如果公司是在中国处理数据,就不用遵守欧盟新条例。但事实上,今后只要涉及到使用欧盟个人数据,中国公司就一定要遵守欧盟新规。冯坚坚也表示,适用GDPR的中国企业主要有两种情形:一,在欧盟境内设有机构的中国企业,如其通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理是否发生在欧盟境内,都应适用GDPR;二,尚未在欧盟境内设有机构的中国企业,如其向欧盟境内的个人提供商品或服务的过程中(无论是否收费),涉及对个人数据的处理,也应适用于GDPR。中国企业应提早意识风险在荷兰从事GDPR合规咨询的资深法律顾问陈红娟接受采访时表示,从她目前接触到的在欧中国企业来看,对GDPR的态度普遍还不是很积极。“很多中国企业现在处于观望状态。GDPR开始执行了,到底严不严?特别是中小企业,不太想花这个合规的成本,如果真的有警告或罚款,就再开始重视。这其实是对风险没有正确的认识。”陈红娟说。GDPR条例的实施,虽然被业界认为是“严苛”执法,在笔者看来,严格的规章制度背后,是对企业的合规约束,这也是对用户的一种责任感。最近数据泄露与滥用的都例子比比皆是,GDPR的到来显得适逢其会,积极的管控下,相信数据产业会走得越来越好。观点:GDPR实际效用有限 南京信息工程大学法政学院副教授 蒋洁根据笔者对近期全球企业应对GDPR的具体举措和欧盟相关实践状况的观察,GDPR的实际效用颇为有限,甚至可以推测在很长一段时间内不能发挥出预想中保障用户数据权益、欧盟数据主权和提振本土数字经济的作用。首先,GDPR对跨境互联网巨头企业的规制作用较为有限。最初设想中,这部“史上最严的隐私数据保护条例”将通过用户“明确同意”、“被遗忘权利”、“数据使用知情权”等条款强有力地规制美国谷歌、脸书公司等在欧洲地区的数据收集、存储和使用。然而,目前不少企业更新的隐私条款采用隐性的“同意或退出”的强迫选择方式要求用户广泛、明确地进行授权。(虽然数个隐私权倡导组织已经将针对Google、Facebook、WhatsApp和Instagram的投诉分别提交到法国、比利时和奥地利的监管机构。但是,姑且不论结果,整个过程必然漫漫无期。)同时,当前国际互联网巨头企业的数据安全防护与数据去真处理的技术和程序普遍较为完善。此前在数据收集和使用上暴露出的问题常常是因为“忘记”写入隐私条款,而不是用户特别重视数据隐私。(调查显示,美国居民中迄今尚有半数不知道数据隐私;而针对此次GDPR引发的全球企业隐私政策更新风潮的调查显示,95%的人在没有阅读的情况下点击“同意”)。GDPR不过是促使这些企业通过冗长的隐私政策将可能违反GDPR规定的内容事无巨细地逐项写入,进而分门别类地、轻而易举地取得用户的“明确同意”,顺理成章地履行了合规义务。其次,GDPR对用户数据权益保障较为有限。对用户而言,GDPR使其可以要求企业提供(或授权下载)所有个人数据,享有要求企业告知数据“由谁处理、作何用途”的权利,以及数据泄露72小时内接获通知的权利等等。问题在于,虽然GDPR要求企业隐私政策使用“清晰而平实”的语言,但目前所见的大量更新条文冗长复杂、包罗万象,并非普通用户可以直观理解,且阅读长文耗时耗力。这种即便从企业获得个人数据和数据使用状况说明、还需要专家解读的形式意义上的高透明度,对于绝大多数用户意义不大,导致了仅有5%的用户阅读了巨头企业近期更新的隐私政策。再次,GDPR难以发挥推动本土数字经济增长的作用。欧盟居民的日常生活长期依赖海外互联网产品供给,Google、Amazon、Facebook等垄断问题严重,既威胁区域数据主权、数据产权和数据隐私安全,也制约了本土企业有序成长。理论设想中,GDPR配合欧盟的《数字化单一市场战略》及其附件,能够有力支撑欧盟数字经济攀登全球顶峰。但是,实施前后各方动作显示,实力雄厚的国际互联网巨头企业正在按部就班地推进合规工作。海外受到巨大波及、甚至暂停欧洲区服务的大多为娱乐社交类中小企业、大量知名的新闻网站和阅读辅助工具等,如loadout、tunngle、Instapaper。相反,欧盟内的绝大多数互联网企业规模较小,受到较大影响。事实上,超大型跨国企业的合规能力和合规成本都低于中小初创企业。目前来看,GDPR提振用户数据参与信心的作用有限(绝大多数人不关心),也未能妥善发挥扶持本土企业发展的间接作用。据此,在GDPR落地实施的过程中,亟待对隐私政策条款“清晰而平实”的表达方式进行细化规定;对“同意或退出”的隐性强制进行广泛梳理;对企业在使用用户数据中保持公平、公正、公开的连贯性做法进行全面的技术规范(尤其是避免各种潜在歧视)。这些也是笔者目前推测的GDPR解释条款的进一步发展方向。
