您的位置首页  行业资讯  外闻

欧盟史上最严网络数据隐私保规生效:违规罚年营业额4%

  • 来源:互联网
  • |
  • 2019-04-15
  • |
  • 0 条评论
  • |
  • |
  • T小字 T大字
欧盟史上最严网络数据隐私保规生效:违规罚年营业额4%  5月25日起,欧盟网络数据隐私新规《通用数据条例》(General Data Protection Regulation,PR)将在欧盟全体国正式生效…

原标题:欧盟史上最严网络数据隐私保规生效:违规罚年营业额4%

  5月25日起,欧盟网络数据隐私新规《通用数据条例》(General Data Protection Regulation,PR)将在欧盟全体国正式生效。的报道称,这被广泛认为是欧盟有史以来最为严格的网络数据管理法规。这一条例全面加强了欧盟所有网络用户的数据隐私,明确提升了企业的数据责任,并显著完善了有关监管机制。

  欧洲《通用数据条例》虽然是欧盟地区的法案,却对全世界科技公司的产品、运营等多方面产生了重大影响。因为该项法规拥有域外效力,欧盟以外的公司也可能要受到该法案的监管。

  5月22日,马克·扎克伯在欧洲议会接受质询时已经,Facebook将会在5月25日符合《通用数据条例》的要求。他还补充道,很多欧盟用户已经阅读并同意了平台上符合《条例》要求的新隐私政策。

  那么,《通用数据条例》是如何通过的,它严在哪儿,为何社交巨头会如此关注,又将对用户产生哪些影响?

  欧盟5月25日将生效的《通用数据条例》是对其1995年《数据指令》的修订、拓宽和升级。

  据报道,《数据指令》为当时欧洲国家立法个人数据设立了最低标准。随着互联网行业的迅猛发展和用户数据的爆发式增长,欧盟在2012年提出数据保规,旨在帮助进一步个人信息,帮助企业利用“单一数字市场”带来的机遇。2015年6月,欧盟国的司法及内政事务部长会议就五项原则达成一致,而这些原则也构成了新规的重要框架:

  “强化‘被遗忘权’”,即如果无必要的法律依据,用户可以要求互联网企业从网络搜索结果中移除个人信息;

  “欧洲境内适用欧洲法律”,即设在欧盟以外的企业如果要在欧盟范围内提供服务,也需要遵守欧盟法律;

  “强化数据机构”,并允许各国的数据机构对违法者处以高额罚金;

  欧盟《通用数据条例》是一个具有里程碑意义的法案。它不仅了数据应被如何处理、保存、使用和交换,还意图在当下公司普遍收集用户数据的情况下,让消费者拥有对自己个人数据的控制权。

  2016年4月,欧洲《通用数据条例》获得通过,2018年5月25日正式生效,通过和生效之间,有两年的适应期,让企业进行调整,以符合《通用数据条例》要求。

  值得注意的是,该法案虽然由欧盟设立,但它不仅适用于欧盟本土公司,而是拥有域外效力。对欧盟以外的公司,只要它们向欧盟提供商品或服务、追踪欧盟的行为,都必须受到该法案的监管。

  Squire Patton Boggs律师事务所伦敦分所合伙人Ann J. LaFrance、上海分所资深法律顾问詹智鹰对澎湃新闻记者解释,即使一家中国公司在欧盟没有员工或运营,只要它在欧盟提供数字化的商品或服务,有行为或监测行为发生在欧盟,它依旧有可能直接受到《通用数据条例》要求的制约。

  大型科技公司往往跨国运营,业务遍及全球。因此,谷歌、Facebook、腾讯、阿里巴巴等在欧洲运营的大型跨国科技公司,均必须让自己在当地业务运营符合欧洲《通用数据条例》的要求。除科技公司之外,《通用数据条例》适用于所有类型的公司,LaFrance和詹智鹰介绍,某些具体的行业立法对特定行业提出了补充要求,比如,电子隐私权(e-Privacy)法规适用于通信运营商。

  按照《通用数据条例》要求,公司必须向它们的欧洲消费者具体说明,在何种允许下,公司持有哪些用户的个人身份数据,如何使用这些数据,并获取用户的同意。获取个人信息的同意请求必须清晰、容易找到。

  值得注意的是,获取用户同意时,默认选项必须是隐私的选项(Privacy by Design),用户已经提交了的同意请求也必须容易撤回。此外,对于16岁以下少年儿童,监护人要代表他做出数据收集的授权。

  除了对征得用户同意做出细致,《通用数据条例》对企业如何持有数据,也做出了具体。其中数据的“被遗忘权”和“可转移权”是当下企业较难做到的,即用户可以要求公司清除其个人数据,并第三方获取这些数据;用户也可以带着他们的数据转移去不同的服务提供商。

  《通用数据条例》扩大了数据的范围,对个人数据做出定义:新规适用于个人数据,包括姓名,电话号码,信息,在线身份信息;以及个人数据,包括:种族、性别及性取向、倾向、教、生物数据、医疗状况、犯罪记录。

  如果发生了高危信息安全泄露,公司必须在事故发生72小时内通知权威机构及受影响的个人。

  符合相应要求的公司,包括大规模的公司、处理与犯罪信息有关数据的公司等,必须雇佣或任命从事数据的管理人员。

  如果违反欧洲《通用数据条例》,公司可被判处其全球年度营业额4%或2000万欧元的罚款,选择二者中较高的数值判罚。对跨国科技巨头来说,年度营业额的4%的罚款额非常巨大。2017财年Facebook营收为406.53亿美元,4%即为16.3亿美元。

  为了使自己平台上的隐私政策符合《通用数据条例》要求,在8700万用户数据泄露的剑桥分析事件之后,Facebook加速了时间表,让平台的隐私和数据处理政策能够提前达到《通用数据条例》要求。

  除了更新了隐私政策,Facebook重新设计了移动设备上的设置菜单,让相关内容更易查找,设置栏里不同的区合并到了同一个地方。设置菜单里,可以方便地移除不再需要的应用和网站,查看并更新第三方应用可获取的信息。

  增加了隐私快捷菜单,用户可以在登录、浏览和删除内容、编辑个人公开资料的时候直接进入此菜单,做出额外的安全设置。

  Facebook还引入了一个叫做“获取你的信息”(Access Your Information)工具,让你看到自己留下的评论或你分享后又删除的帖子。公司称这会让用户更容易下载自己的数据,如添加到账户中的照片和联系人,也可以将这些数据搬运到其他服务上。

  欧洲《通用数据条例》要求,如果某个欧盟境内运营的公司会将欧盟的数据传输到欧盟境外的公司,那么这些欧盟境外公司需要有合同或类似的具有约束力的保障措施制约。

  LaFrance和詹智鹰介绍,这意味着企业将个人数据外包处理时,必须对供应链负责,并且只有在适当的(充分定义的)有合同或其他法律约束力保障措施的情况下,才能处理或转移欧盟的个人数据。因此,企业内部和供应商管理的流程也要进行相应的变更。修改供应商协议以纳入强制性合同保障成为了大多数公司的一个主要任务。

  另一个重大挑战是,企业必须制定必要的程序,在30天之内能够回应数据主体(包括欧盟员工、消费者、商业联系人)要求行使《条例》中新增强的个力的要求。这些包括,有权访问个人数据、纠正不正确的数据、删除数据(受某些特定条件)、反对直接营销、反对自动化决策和分析,或基于数据控制者的利益进行数据处理等。

  LaFrance和詹智鹰介绍,不设立在欧盟、但属于被《条例》域外监管范围的中国公司,必须在欧盟指定一名代表,接受数据主体和数据监管机构的投诉。

  《通用数据条例》正式生效前,公司已经有了两年适应期让自己符合要求。如果公司认为它们的商业模式无法达到《条例》的要求,它们可能需要考虑退出欧洲市场。但如果它们能够调整商业模式以适应《条例》,则需要迅速采取行动进行差距评估,并落实最低合规性所需要的一系列措施。

  LaFrance和詹智鹰介绍,《通用数据条例》的生效日是这个过程的开始,而不是结束。即使在欧洲,也很少有公司能说自己2018年5月25日起能够100%完全合规。《通用数据条例》要求的最大罚款额非常高,但除了罚款之外,监管部门也能够采取一系列其他措施,即使企业达到要求的时间有所延迟,真诚的努力也必须考虑在内。

  LaFrance和詹智鹰介绍,《通用数据条例》授权给欧盟委员会,如果发现一个非欧盟国家拥有“本质上等同”的数据制度时,会发布“充分性决定”(adequacy decision),这是欧盟-美国隐私框架的基础,该框架允许美国公司在符合欧美之间此前达成的隐私要求Privacy Shield的情况下处理欧盟的个人数据。现在,欧盟和日本也正在进行类似的协议谈判,这可能会成为其他亚太地区的模式样本。

  在中国,《常务委员会关于加强网络信息的决定》于2012年12月发布并生效,《中华人民国网络安全法》于2017年6月1日生效,以上两种法规均包含对数据隐私的要求。2018年1月24日,《信息安全技术个人信息安全规范》全文在国家标准全文公开系统上线日正式实施。该规范属于推荐性国家标准,对个人信息的收集、保存、使用、转让等环节进行了。

  LaFrance和詹智鹰介绍,《规范》是推荐国家标准,不是具有约束效力的法律,但还是强烈在中国的每个组织和实体都能采用《规范》指导自己的行为,因为《网络安全法》和其他相关法律条例只提供了个人信息的总体,但《规范》对信息手机、存储、适用、分享、转移和公共披露等内容做出了具体的指导。

免责声明:本站所有信息均搜集自互联网,并不代表本站观点,本站不对其真实合法性负责。如有信息侵犯了您的权益,请告知,本站将立刻处理。联系QQ:1640731186
友荐云推荐