从4月传出的QQ国际版在欧洲停止服务传言,到Facebook创始人扎克伯格现身欧洲议会接受质询,其背后的大背景都是史上最严的网络数据管理法规即将在欧盟生效。
5月25日起,欧盟网络数据隐私保护新规《通用数据保护条例》(General Data Protection Regulation,GDPR)将在欧盟全体成员国正式生效。新华社的报道称,这被广泛认为是欧盟有史以来最为严格的网络数据管理法规。这一条例全面加强了欧盟所有网络用户的数据隐私权利,明确提升了企业的数据保护责任,并显著完善了有关监管机制。
欧洲《通用数据保护条例》虽然是欧盟地区的法案,却对全世界科技公司的产品、运营等多方面产生了重大影响。因为该项法规拥有域外效力,欧盟以外的公司也可能要受到该法案的监管。
5月22日,马克·扎克伯在欧洲议会接受质询时已经表态,Facebook将会在5月25日符合《通用数据保护条例》的要求。他还补充道,很多欧盟用户已经阅读并同意了平台上符合《条例》要求的新隐私政策。
那么,《通用数据保护条例》是如何通过的,它严在哪儿,为何社交巨头会如此关注,又将对用户产生哪些影响?
《通用数据保护条例》的前世今生
欧盟5月25日将生效的《通用数据保护条例》是对其1995年《数据保护指令》的修订、拓宽和升级。
据新华社报道,《数据保护指令》为当时欧洲国家立法保护个人数据设立了最低标准。随着互联网行业的迅猛发展和用户数据的爆发式增长,欧盟在2012年提出改革数据保护法规,旨在帮助民众进一步保护个人信息,帮助企业利用“单一数字市场”带来的机遇。2015年6月,欧盟成员国的司法及内政事务部长会议就五项原则达成一致,而这些原则也构成了新规的重要框架:
“同一个大陆,同一套法规”,即在欧盟范围内建立起一套法规;
“强化‘被遗忘权’”,即如果无必要的法律依据,用户可以要求互联网企业从网络搜索结果中移除个人信息;
“欧洲境内适用欧洲法律”,即设在欧盟以外的企业如果要在欧盟范围内提供服务,也需要遵守欧盟法律;
“强化各国数据保护机构权力”,并允许各成员国的数据保护机构对违法者处以高额罚金;
“一站式服务”,即企业和用户都只需与一个国家的监管机构打交道。
欧盟《通用数据保护条例》是一个具有里程碑意义的法案。它不仅规定了数据应被如何处理、保存、使用和交换,还意图在当下公司普遍收集用户数据的情况下,让消费者拥有对自己个人数据的控制权。
2016年4月,欧洲《通用数据保护条例》获得通过,2018年5月25日正式生效,通过和生效之间,有两年的适应期,让企业进行调整,以符合《通用数据保护条例》要求。
值得注意的是,该法案虽然由欧盟设立,但它不仅适用于欧盟本土公司,而是拥有域外效力。对欧盟以外的公司,只要它们向欧盟提供商品或服务、追踪欧盟民众的行为,都必须受到该法案的监管。
Squire Patton Boggs律师事务所伦敦分所合伙人Ann J. LaFrance、上海分所资深法律顾问詹智鹰对澎湃新闻记者解释,即使一家中国公司在欧盟没有员工或运营,只要它在欧盟提供数字化的商品或服务,有行为或监测行为发生在欧盟,它依旧有可能直接受到《通用数据保护条例》要求的制约。
大型科技公司往往跨国运营,业务遍及全球。因此,谷歌、Facebook、腾讯、阿里巴巴等在欧洲运营的大型跨国科技公司,均必须让自己在当地业务运营符合欧洲《通用数据保护条例》的要求。除科技公司之外,《通用数据保护条例》适用于所有类型的公司,LaFrance和詹智鹰介绍,某些具体的行业立法对特定行业提出了补充要求,比如,电子隐私权(e-Privacy)法规适用于通信运营商。
《通用数据保护条例》严在哪
那么,《通用数据保护条例》到底严在哪儿呢?
(1)获取用户同意的细节要求:同意后必须容易撤回
按照《通用数据保护条例》要求,公司必须向它们的欧洲消费者具体说明,在何种允许下,公司持有哪些用户的个人身份数据,如何使用这些数据,并获取用户的同意。获取个人信息的同意请求必须清晰、容易找到。
值得注意的是,获取用户同意时,默认选项必须是保护隐私的选项(Privacy by Design),用户已经提交了的同意请求也必须容易撤回。此外,对于16岁以下少年儿童,监护人要代表他做出数据收集的授权。
(2)企业持有和删除、转移数据的要求:用户可以要求公司清楚个人数据
除了对征得用户同意做出细致规定,《通用数据保护条例》对企业如何持有数据,也做出了具体规定。其中数据的“被遗忘权”和“可转移权”是当下企业较难做到的,即用户可以要求公司清除其个人数据,并禁止第三方获取这些数据;用户也可以带着他们的数据转移去不同的服务提供商。
(3)数据保护范围扩大:政治倾向被列为敏感数据
《通用数据保护条例》扩大了数据的保护范围,对个人敏感数据做出定义:新规适用于个人数据,包括姓名,电话号码,位置信息,在线身份信息;以及个人敏感数据,包括:种族、性别及性取向、政治倾向、宗教信仰、生物数据、医疗状况、犯罪记录。
(4)发生信息泄露需72小时之内通知
如果发生了高危信息安全泄露,公司必须在事故发生72小时内通知权威机构及受影响的个人。
(5)任命数据安全官
符合相应要求的公司,包括大规模监控的公司、处理与犯罪信息有关数据的公司等,必须雇佣或任命从事数据保护的管理人员。
(6)罚款2000万欧元起,可能高达公司年度营业额4%
如果违反欧洲《通用数据保护条例》,公司可被判处其全球年度营业额4%或2000万欧元的罚款,选择二者中较高的数值判罚。对跨国科技巨头来说,年度营业额的4%的罚款额非常巨大。2017财年Facebook营收为406.53亿美元,4%即为16.3亿美元。
本文图均为 facebook 截图
为符合《条例》要求,Facebook是如何做的
为了使自己平台上的隐私政策符合《通用数据保护条例》要求,在8700万用户数据泄露的剑桥分析事件曝光之后,Facebook加速了时间表,让平台的隐私和数据处理政策能够提前达到《通用数据保护条例》要求。
除了更新了隐私政策,Facebook重新设计了移动设备上的设置菜单,让相关内容更易查找,设置栏里不同的区合并到了同一个地方。设置菜单里,可以方便地移除不再需要的应用和网站,查看并更新第三方应用可获取的信息。
增加了隐私快捷菜单,用户可以在登录、浏览和删除内容、编辑个人公开资料的时候直接进入此菜单,做出额外的安全设置。
Facebook还引入了一个叫做“获取你的信息”(Access Your Information)工具,让你看到自己留下的评论或你分享后又删除的帖子。公司称这会让用户更容易下载自己的数据,如添加到账户中的照片和联系人,也可以将这些数据搬运到其他服务上。
《通用数据保护条例》对企业造成的重大挑战
(1)企业需对其供应链负责
欧洲《通用数据保护条例》要求,如果某个欧盟境内运营的公司会将欧盟的数据传输到欧盟境外的公司,那么这些欧盟境外公司需要有合同或类似的具有约束力的保障措施制约。
LaFrance和詹智鹰介绍,这意味着企业将个人数据外包处理时,必须对供应链负责,并且只有在适当的(充分定义的)有合同或其他法律约束力保障措施的情况下,才能处理或转移欧盟的个人数据。因此,企业内部和供应商管理的流程也要进行相应的变更。修改供应商协议以纳入强制性合同保障成为了大多数公司的一个主要任务。
(2)企业须在欧盟指定一名代表接受相应投诉
另一个重大挑战是,企业必须制定必要的程序,在30天之内能够回应数据主体(包括欧盟员工、消费者、商业联系人)要求行使《条例》中新增强的个人权力的要求。这些权利包括,有权访问个人数据、纠正不正确的数据、删除数据(受某些特定条件限制)、反对直接营销、反对自动化决策和分析,或基于数据控制者的合法利益进行数据处理等。
LaFrance和詹智鹰介绍,不设立在欧盟、但属于被《条例》域外规定监管范围的中国公司,必须在欧盟指定一名代表,接受数据主体和数据保护监管机构的投诉。
(3)生效日是企业调整的开始
《通用数据保护条例》正式生效前,公司已经有了两年适应期让自己符合要求。如果公司认为它们的商业模式无法达到《条例》的要求,它们可能需要考虑退出欧洲市场。但如果它们能够调整商业模式以适应《条例》,则需要迅速采取行动进行差距评估,并落实最低合规性所需要的一系列措施。
LaFrance和詹智鹰介绍,《通用数据保护条例》的生效日是这个过程的开始,而不是结束。即使在欧洲,也很少有公司能说自己2018年5月25日起能够100%完全合规。《通用数据保护条例》要求的最大罚款额非常高,但除了罚款之外,监管部门也能够采取一系列其他措施,即使企业达到要求的时间有所延迟,真诚的努力也必须考虑在内。
其他国家的数据隐私保护法规
LaFrance和詹智鹰介绍,《通用数据保护条例》授权给欧盟委员会,如果发现一个非欧盟国家拥有“本质上等同”的数据保护制度时,会发布“充分性决定”(adequacy decision),这是欧盟-美国隐私保护框架的基础,该框架允许美国公司在符合欧美之间此前达成的隐私保护要求Privacy Shield的情况下处理欧盟的个人数据。现在,欧盟和日本也正在进行类似的协议谈判,这可能会成为其他亚太地区的模式样本。
在中国,《全国人民代表大会常务委员会关于加强网络信息保护的决定》于2012年12月发布并生效,《中华人民共和国网络安全法》于2017年6月1日生效,以上两种法规均包含对数据隐私保护的要求。2018年1月24日,《信息安全技术个人信息安全规范》全文在国家标准全文公开系统上线,5月1日正式实施。该规范属于推荐性国家标准,对个人信息的收集、保存、使用、转让等环节进行了规定。
LaFrance和詹智鹰介绍,《规范》是推荐国家标准,不是具有约束效力的法律,但还是强烈建议在中国的每个组织和实体都能采用《规范》指导自己的行为,因为《网络安全法》和其他相关法律条例只提供了个人信息保护的总体规定,但《规范》对信息手机、存储、适用、分享、转移和公共披露等内容做出了具体的指导。