你准备好迎接欧盟通用数据保护法了吗

2018-09-19 09:16胡文娟
WTO经济导刊 2018年8期
关键词:数据保护条例用户

去年《经济学人》的一期封面文章称,如今全球最宝贵的资源不再是石油,而是数据。足以可见,大数据时代数据对于企业来说蕴藏着巨大的商业价值。但就在各大公司纷纷开展数据业务、疯狂“攫取”数据资源时,有关公民个人隐私数据泄露的新闻却此起彼伏。前有社交平台Facebook泄露五千万数据,趣店数据遭遇内鬼外泄,后有YouTube被指控泄露儿童数据隐私,大众点评网泄露客户行踪。许多知名互联网企业屡次被曝泄露用户信息或侵犯个人隐私,而这些平台就像开了无数“后门”,成为威胁个人隐私的罪魁祸首。是互联网的光芒照耀下个人隐私真的“无处躲藏”?还是某些企业暗藏滥用用户信息牟利的私心?

2018年5月25日,史上最严的《欧盟通用数据保护条例》(General Data Protection Regulation 简称GDPR)正式施行。尽管它的目的是保护消费者个人数据避免滥用,但这项法案无疑对企业有着深远的影响。因为如果企业不好好处理的话,它们将面临非常复杂的诉讼官司以及巨额罚款。

GDPR是什么?

欧盟通用数据保护条例(GDPR)整合了隐私保护指令、电子通信隐私保护指令、及欧盟公民权利指令,历经四年讨论于2016年4月27日由欧洲议会通过。该条例旨在保护欧盟和欧洲经济区域内的个人数据隐私。

GDPR由各国政府强制执行,目的就是通过加强执法和增加违规罚款,让消费者掌控自己的个人数据。尽管条例已经于2016年通过,但关于该条例的新闻报道从2018年后才开始增加。这主要是因为欧盟给予了企业两年过渡期,让它们慢慢为2018年5月25日的正式全面实施做好充足准备。

无论是法人还是自然人,也不管公司规模大小以及拥有欧洲居民个人数据多少,只要企业的核心业务直接或间接和欧洲居民的个人数据搜集、处理和利用相关,那么从2018年5月25日后,都必须及时调整,以便能够符合GDPR对于个人数据保护的规范和要求。

在这项法案中,个人信息是指“与已识别或可识别的自然人有关的任何信息;可识别的自然人是指可以直接或间接识别的人。”这里的“任何信息”不仅包括直接信息(姓名、住址、电话号码等),还包括网络信息(ip地址、cookies等)和间接信息(包括所有可追溯至某一特定个人的生理、心理、基因、文化等特征)。根据GDPR的规定,企业必须:

明确披露已收集的任何数据;

声明他们将如何使用这些数据,以及使用这些数据的合法依据和意图;

披露数据将被保留多长时间;

是否会被任何第三方或欧盟以外的国家共享。

公民除了行使“被遗忘权”,即他们有权要求在某些情况下删除他们的个人数据,还有权要求对已收集的任何数据进行便携式复制。即用户可随时查看、修改、移动、删除数据,并要求企业开具数据备份及数据使用方式。同时,用户也拥有随时取消授权和抗议的权利。当获取数据时所述的目的不再适用或用户不再允许企业使用该数据,GDPR规定企业必须删除用户信息,同时将用户的数据清除请求告知第三方处理机构。

GDPR建立了严格的处罚机制。如果企业违反了GDPR的规定,监管部门可以对其处以高达全球营业额4%的罚款。

这对企业意味着什么?企业又需要采取什么行动呢?

虽然这只是欧盟颁发的一部法律,但是总部设在全球任何其它地方但在欧盟设有分支机构的企业,以及向欧盟公民提供数字商品和服务的任何企业,都将受到这一规定的影响。

对企业来讲,虽然GDPR的实施看起来似乎是一种行政负担,但如果处理得当,它其实可以作为品牌建设的组成部分,成为企业最有利的竞争优势。而对消费者来说,增加透明度是一种建立信任的方式。据一项调查结果显示,73%的消费者认为易于阅读的隐私政策会增加他们对公司在保护个人信息方面的信任。企业主动保护用户隐私的话,用户更有可能与企业保持长期关系。我们需要采取风险导向型的方法,采取积极的措施和计划,防止滥用用户的个人信息。企业在证明其遵守法例时须考虑以下五项措施:

采取“隐私设计”(Privacy by Design)理念,即在整個过程中考虑隐私,将保护隐私的概念设计融入其产品,而不再完全依赖那些没人愿意读的隐私政策。

进行数据保护影响评估(Data Protection Impact Assessment),识别并管理风险。

制定内部政策或指导方针,规划出保持合规所需的行动计划。

任命一名数据保护官(Data Protection Officer)监督、实施和就GDPR的遵守情况提出建议。

保存数据处理活动的记录。

为了评估公司的操作程序是否需要调整以符合GDPR,企业应检查其现有的数据管理程序。对于那些已经拥有了严格程序,部分完成了GDPR要求的企业来说,这避免了可能的重复工作。一旦评估了程序,就有必要对隐私专员的要求与现有要求进行差距分析,以确定下一步应采取什么步骤,以及实施起来所需的资源。在此基础上,企业应制定出内部合规战略,列出所有必要步骤和所需人员。该战略应根据公司提供的商品服务性质以及经营规模进行调整,以便实施最有效和最具成本效益的程序。为了表明企业对合规的承诺,还可以制定全公司范围内的数据处理和管理政策,作为内部和外部使用的交流工具。

编辑|胡文娟 wenjuan.hu@wtoguide.net

猜你喜欢
数据保护条例用户
安徽省家庭教育促进条例
安徽省家庭教育促进条例
新版党纪处分条例修订要点
新修订的党纪处分条例干货全在这里
关注用户
TPP生物药品数据保护条款研究
关注用户
欧盟数据保护立法改革之发展趋势分析
欧盟《一般数据保护条例》新规则评析
关注用户