论文部分内容阅读
和中国市场一样,欧洲市场在很多科技公司眼里也是一块“香饽饽”。但科技公司与欧洲人做生意向来都是胆战心惊——谷歌、微软、苹果这些科技巨头在欧洲吃过的官司数不胜数。
本月25日,被誉为“欧洲最严法规”的欧盟《通用数据保护法案》即将正式生效,这份法案经过欧盟成员长达四年的商讨,将个人隐私信息的保护和监管推向了一个具有时代意义的高度,堪称史上最严格的数据保护法案。
那在欧盟之外,这份法案会对我们的生活产生怎样的影响呢?本文带你一探究竟。
让科技公司闻风丧胆的法规
4月初,当Facebook CEO扎克伯格因用户数据泄密事件在华盛顿面对国会的第二场质询时有媒体注意到,他桌前备忘录上用加粗的字体清楚地写着这么一句话:“不要说我们已经完成了GDPR的要求。”
GDPR,指的正是欧盟在一年前通过的《通用数据保护法案》。《通用数据保护法案》由欧盟委员会制定,原文内容长达260页,对在欧洲经营业务的科技公司通过个人隐私数据盈利的几乎所有环节都进行了严格的规定和限制。
在部分媒体看来,《通用数据保护法案》就是打响接下来10年里全球数据保护立法的“第一枪”,事实也的确如此。至少在受Facebook数据泄密事件影响最大的美国,越来越多的人已经开始讨论隐私数据保护立法的可能性,在Facebook的听证会上,GDPR这个词被国会议员们反复提及,扎克伯格则用了一段很长的表述来表明自己对这个法案的态度,综合起来就是一句话:Facebook也将推出与《通用数据保护法案》类似的用户数据保护章程。
注意到《通用数据保护法案》不仅仅有Facebook。
几乎就在同一时间,一张网络上曝光的QQ国际版公告截图称,QQ国际版出于运营需要,将从5月20日开始在欧洲停止运营。尽管腾讯后来通过微博进行了快速辟谣,但一般也认为这是在规避即将生效的《通用数据保护法案》。
和中国市场一样,欧洲市场在很多科技公司眼里也是一块“香饽饽”。但入乡就要随俗,如果违反了《通用数据保护法案》,这些公司将不得不接受最高年度营收4%的罚金——按照腾讯去年2377.6亿元人民币的全年营收来计算,这笔罚款金额可能会达到95亿元人民币。
目前,QQ国际版的公告声明已经修改成了“目前版本在5月20日停止运营,升级到下一个大版本之后就能恢复使用”。下一个版本什么时候上线我们不得而知,但如果上线,则一定是腾讯依据《通用数据保护法案》对其用户隐私条款进行了“大改”。
显而易见的是,虽然这份《通用数据保护法案》仅仅适用于那些在欧洲经营业务的公司,但它的影响却远不止于此。美国已经在积极关注欧洲《通用数据保护法案》的推行并探讨在美国本土进行数据保护立法的可能性,而如果这份法案按照预期顺利推行,在可以预见的将来,还会有更多的立法机构受此启发加入进来。
GDPR规定了什么?这些条款值得借鉴
那《通用数据保护法案》究竟对大数据时代下个人隐私数据的保护做了哪些规定,对国内而言又是否具有借鉴意义?我们不妨从法案中与用户数字生活最为相关的几条法规说起。
首先,我们分分秒秒都在生产的“用户数据”中,究竟应该包含哪些内容?
以前,各国其实都有与用户数据相关的保护条款和法规,但它们对“用户数据”这个概念定义都十分片面。即便是在最早推行《数据保护指令》的欧盟,这个条目下的内容也仅包含登录名、密码和购物记录等内容。《通用数据保护法案》则对这个概念的内涵进行了扩充,在法案开头便规定,“用户数据”的保护范围应包括:基本的身份信息(姓名、身份证信息等)、网络数据(IP地址、浏览器Cookie等)、医疗保健或遗传数据、生物识别数据(指纹、虹膜等)、种族或民族数据、政治观点和性取向。
对于上面提到的七大类用户数据,在欧洲进行业务经营的任何公司都不可以在未经用户同意的情况下进行处理。举个例子,如果用户没有允许QQ国际使用自己的位置信息,但QQ依然向用户推送了“附近的人”——不好意思,上面提到的近百亿元人民币罚金可能就要成真了。
其次,《通用数据保护法案》适用于所有在欧盟地区经营业务的公司。
这也是为什么这份法案受到硅谷和中国科技公司高度关注的原因所在,一般来讲,执法的管辖权力都受限于国家或者地区,而一家总部在北上广深的公司只要多加留意我国法律即可平安无事,借助互联网,它们几乎可以不受限制地向世界范围内的用户提供服务。
但数据服务不一样。根据服务地区进行服务监管的举措此前已经被多个国家认可,我国的《网络安全法》在内容上虽然没有《通用数据保护法案》那么详尽,但管辖范围认定的思路是一致的。
《通用数据保护法案》规定,向欧盟居民提供产品或者服务,甚至只是收集或监控相关数据的非欧盟企业和组织,无论企业或组织所在位置,都必須遵守该法案。因此即便它是欧盟推行的数据保护法案,也能应用到全球范围内任何一家向欧盟居民提供服务的科技公司身上。
再次,服务提供方必须清楚地向用户声明隐私数据要求。
这一点很多用户也许都深有共鸣。老实说,我们在使用各种互联网服务前要面对的那些用户协议对用户来说过于“文绉绉”,可读性实在太差。因此绝大部分用户都不会认真看“用户协议”和“隐私条款”。
《通用数据保护法案》则对此做出要求,公司在收集和使用个人数据前必须向用户“明确告知数据的收集和使用方法”,并且需要在获得用户“明确同意”后才可以进行。
这里用到的两个“明确”要解决的就是上面提到的情况。欧盟要求用户协议和隐私条款必须严格区分,而隐私条款必须要在网站或应用内进行独立声明并取得用户同意。当然,如果用户后悔了,也必须提供可以随时撤回“同意”权限的管理入口。
目前,苹果公司已经在第一时间对这一要求进行了响应,表示将在未来几个月内对Apple ID管理页面进行更新,让自家用户可以自由下载、存储、停用和删除Apple ID中储存的所有用户数据。
最后,服务提供方不能再以默认选项的方式“强奸”用户。
《通用数据保护法案》要求企业在业务设计初期就必须考虑对个人隐私数据的处理,这当中又包含了两个更为详细的要求。
一方面,服务提供方在设计新产品和新服务的过程中,对个人隐私数据的处理环节必须严格按照法案要求的方式来设计,为此,服务提供方在推出产品前还得向欧盟提供相关文件来证明产品已经满足隐私数据安全要求。
另一方面,当用户的个人隐私数据在产品和服务中存在被多个不同级别的需求调用的情况时,服务方提供的默认选项必须是“共享内容最少”的选项,即“不共享任何内容”。
换句话说,依据此项要求设计的社交应用不会默认将你点过赞的内容推送到其他用户的时间线上,网购应用则不会根据你的购买记录在首页为你推荐相似的产品——这些在“产品经理”们看来既贴心又人性化但唯独少了用户事先同意的特性,都属于违规行为。
除了上面这些针对用户隐私数据的硬性规定,《通用数据保护法案》还对儿童数据保护、黑客攻击导致的数据泄密事件处理流程等诸多方面进行了规定。
一旦在欧洲范围内进行业务经营的公司违反了这些规定,即按照“最低2000万欧元或公司年营收的4%,其中金额较高的数字被认定为罚金”的规定来进行处罚。这足以让那些大大小小的“大数据公司”尝到苦头了,所以在接下来的时间里肯定还会有更多的公司站出来就欧盟内业务进行调整。
但更重要的是,本月25日《通用数据保护法案》正式实施后,势必还会有更多的立法机构对其进行参考和借鉴。而李彦宏口中“愿意用隐私换来便利”的国内,距离这样一份法规又还有多久?
本月25日,被誉为“欧洲最严法规”的欧盟《通用数据保护法案》即将正式生效,这份法案经过欧盟成员长达四年的商讨,将个人隐私信息的保护和监管推向了一个具有时代意义的高度,堪称史上最严格的数据保护法案。
那在欧盟之外,这份法案会对我们的生活产生怎样的影响呢?本文带你一探究竟。
让科技公司闻风丧胆的法规
4月初,当Facebook CEO扎克伯格因用户数据泄密事件在华盛顿面对国会的第二场质询时有媒体注意到,他桌前备忘录上用加粗的字体清楚地写着这么一句话:“不要说我们已经完成了GDPR的要求。”
GDPR,指的正是欧盟在一年前通过的《通用数据保护法案》。《通用数据保护法案》由欧盟委员会制定,原文内容长达260页,对在欧洲经营业务的科技公司通过个人隐私数据盈利的几乎所有环节都进行了严格的规定和限制。
在部分媒体看来,《通用数据保护法案》就是打响接下来10年里全球数据保护立法的“第一枪”,事实也的确如此。至少在受Facebook数据泄密事件影响最大的美国,越来越多的人已经开始讨论隐私数据保护立法的可能性,在Facebook的听证会上,GDPR这个词被国会议员们反复提及,扎克伯格则用了一段很长的表述来表明自己对这个法案的态度,综合起来就是一句话:Facebook也将推出与《通用数据保护法案》类似的用户数据保护章程。
注意到《通用数据保护法案》不仅仅有Facebook。
几乎就在同一时间,一张网络上曝光的QQ国际版公告截图称,QQ国际版出于运营需要,将从5月20日开始在欧洲停止运营。尽管腾讯后来通过微博进行了快速辟谣,但一般也认为这是在规避即将生效的《通用数据保护法案》。
和中国市场一样,欧洲市场在很多科技公司眼里也是一块“香饽饽”。但入乡就要随俗,如果违反了《通用数据保护法案》,这些公司将不得不接受最高年度营收4%的罚金——按照腾讯去年2377.6亿元人民币的全年营收来计算,这笔罚款金额可能会达到95亿元人民币。
目前,QQ国际版的公告声明已经修改成了“目前版本在5月20日停止运营,升级到下一个大版本之后就能恢复使用”。下一个版本什么时候上线我们不得而知,但如果上线,则一定是腾讯依据《通用数据保护法案》对其用户隐私条款进行了“大改”。
显而易见的是,虽然这份《通用数据保护法案》仅仅适用于那些在欧洲经营业务的公司,但它的影响却远不止于此。美国已经在积极关注欧洲《通用数据保护法案》的推行并探讨在美国本土进行数据保护立法的可能性,而如果这份法案按照预期顺利推行,在可以预见的将来,还会有更多的立法机构受此启发加入进来。
GDPR规定了什么?这些条款值得借鉴
那《通用数据保护法案》究竟对大数据时代下个人隐私数据的保护做了哪些规定,对国内而言又是否具有借鉴意义?我们不妨从法案中与用户数字生活最为相关的几条法规说起。
首先,我们分分秒秒都在生产的“用户数据”中,究竟应该包含哪些内容?
以前,各国其实都有与用户数据相关的保护条款和法规,但它们对“用户数据”这个概念定义都十分片面。即便是在最早推行《数据保护指令》的欧盟,这个条目下的内容也仅包含登录名、密码和购物记录等内容。《通用数据保护法案》则对这个概念的内涵进行了扩充,在法案开头便规定,“用户数据”的保护范围应包括:基本的身份信息(姓名、身份证信息等)、网络数据(IP地址、浏览器Cookie等)、医疗保健或遗传数据、生物识别数据(指纹、虹膜等)、种族或民族数据、政治观点和性取向。
对于上面提到的七大类用户数据,在欧洲进行业务经营的任何公司都不可以在未经用户同意的情况下进行处理。举个例子,如果用户没有允许QQ国际使用自己的位置信息,但QQ依然向用户推送了“附近的人”——不好意思,上面提到的近百亿元人民币罚金可能就要成真了。
其次,《通用数据保护法案》适用于所有在欧盟地区经营业务的公司。
这也是为什么这份法案受到硅谷和中国科技公司高度关注的原因所在,一般来讲,执法的管辖权力都受限于国家或者地区,而一家总部在北上广深的公司只要多加留意我国法律即可平安无事,借助互联网,它们几乎可以不受限制地向世界范围内的用户提供服务。
但数据服务不一样。根据服务地区进行服务监管的举措此前已经被多个国家认可,我国的《网络安全法》在内容上虽然没有《通用数据保护法案》那么详尽,但管辖范围认定的思路是一致的。
《通用数据保护法案》规定,向欧盟居民提供产品或者服务,甚至只是收集或监控相关数据的非欧盟企业和组织,无论企业或组织所在位置,都必須遵守该法案。因此即便它是欧盟推行的数据保护法案,也能应用到全球范围内任何一家向欧盟居民提供服务的科技公司身上。
再次,服务提供方必须清楚地向用户声明隐私数据要求。
这一点很多用户也许都深有共鸣。老实说,我们在使用各种互联网服务前要面对的那些用户协议对用户来说过于“文绉绉”,可读性实在太差。因此绝大部分用户都不会认真看“用户协议”和“隐私条款”。
《通用数据保护法案》则对此做出要求,公司在收集和使用个人数据前必须向用户“明确告知数据的收集和使用方法”,并且需要在获得用户“明确同意”后才可以进行。
这里用到的两个“明确”要解决的就是上面提到的情况。欧盟要求用户协议和隐私条款必须严格区分,而隐私条款必须要在网站或应用内进行独立声明并取得用户同意。当然,如果用户后悔了,也必须提供可以随时撤回“同意”权限的管理入口。
目前,苹果公司已经在第一时间对这一要求进行了响应,表示将在未来几个月内对Apple ID管理页面进行更新,让自家用户可以自由下载、存储、停用和删除Apple ID中储存的所有用户数据。
最后,服务提供方不能再以默认选项的方式“强奸”用户。
《通用数据保护法案》要求企业在业务设计初期就必须考虑对个人隐私数据的处理,这当中又包含了两个更为详细的要求。
一方面,服务提供方在设计新产品和新服务的过程中,对个人隐私数据的处理环节必须严格按照法案要求的方式来设计,为此,服务提供方在推出产品前还得向欧盟提供相关文件来证明产品已经满足隐私数据安全要求。
另一方面,当用户的个人隐私数据在产品和服务中存在被多个不同级别的需求调用的情况时,服务方提供的默认选项必须是“共享内容最少”的选项,即“不共享任何内容”。
换句话说,依据此项要求设计的社交应用不会默认将你点过赞的内容推送到其他用户的时间线上,网购应用则不会根据你的购买记录在首页为你推荐相似的产品——这些在“产品经理”们看来既贴心又人性化但唯独少了用户事先同意的特性,都属于违规行为。
除了上面这些针对用户隐私数据的硬性规定,《通用数据保护法案》还对儿童数据保护、黑客攻击导致的数据泄密事件处理流程等诸多方面进行了规定。
一旦在欧洲范围内进行业务经营的公司违反了这些规定,即按照“最低2000万欧元或公司年营收的4%,其中金额较高的数字被认定为罚金”的规定来进行处罚。这足以让那些大大小小的“大数据公司”尝到苦头了,所以在接下来的时间里肯定还会有更多的公司站出来就欧盟内业务进行调整。
但更重要的是,本月25日《通用数据保护法案》正式实施后,势必还会有更多的立法机构对其进行参考和借鉴。而李彦宏口中“愿意用隐私换来便利”的国内,距离这样一份法规又还有多久?