个人数据隐私保护更全、更严

来源 :中国经济周刊 | 被引量 : 0次 | 上传用户:fado
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)(下称“《条例》”)将正式生效,这也是欧盟1995年《个人数据保护指令》(下称“《指令》”)生效以来颁布的又一项数据保护措施。

GDPR因何而生?


  “在欧盟境内开展数据服务的企业目前一般在隐私政策透明度、获得用户同意的方式以及数据共享方面相对不规范。”中国人民大学金融科技与互联网安全研究中心主任杨东告诉《中国经济周刊》记者,鉴于不少企业在隐私政策中对个人信息收集设定霸王条款、一揽子协议,在收集个人敏感信息时未能提醒收集的用途和必要性,在获得用户同意的方式上采用被动接受方式或默认同意方式,而未给予用户充分的选择权等做法,因此许多欧盟数据企业的做法需要改变。
  据悉,此次立法的主旨之一,便是结束1995年《指令》颁布以来各成员国之间的数据保护法律制度差异问题,《条例》的统一规定将直接适用于各成员国。 “《条例》对各成员国直接生效,转化为其国内法。”杨东说,但与《指令》相比,《条例》的强制性较大,“从某种意义上讲《指令》不具有直接生效的权力,因为考虑到各成员国法律传统的不同,还是赋予各成员国在转化为国内法方面以一定的选择权。”

GDPR严在哪儿?


  与1995年颁布的《指令》相比,《条例》颁布在数字经济高度发达的2018年,《指令》的很多概念和保护的范围在《条例》中被扩大和细化了。
  首先是适用范围的扩大。《条例》规定接受管辖的主体,除欧盟境内的数据控制者和数据处理者外,欧盟境外的数据控制者和处理者,只要其数据处理活动向欧盟境内的个体提供商品或服务,或涉及到监测欧盟境内主体活动的,一概都是被管辖者。相较而言,《指令》的适用范围则简单地取决于属地因素,要么机构的成立地在欧盟,要么利用了欧盟境内的设备进行了个人数据的处理活动。
  23年前的《指令》对用户数据的定义仅有登录名、密码和购物記录等几个项目,《条例》则将受保护的个人信息范围大大延伸至:基本身份信息(姓名、地址、ID号码等),网络数据(位置、IP地址等),医疗保健和遗传数据,生物识别数据(指纹、虹膜等),种族数据,政治观点以及性取向等。
  其次,《条例》赋予了《指令》之外更多的个体权利。比如,保障个人对其数据的“访问权”“限制处理权”与“拒绝权”。数据主体有权获得其数据处理与否及其处理目的、分类、存储的方式,并有权要求纠正以及限制数据的处理行为,在市场营销以及部分科学研究与统计活动中,数据主体有权拒绝有关其个人的数据处理。
  不仅如此,数据主体还有权就其被收集处理的个人数据获得对应的副本,并可以在技术可行时直接要求控制者将这些个人数据传输给另一管理者或管理机构,以及可以随时撤回同意的权利。
  此外,《条例》对何谓有效的“个人同意”做了更严格的要求:个人沉默、预先勾选和静止状态不足以认定个人表达了“同意”。
  GDPR 要求公司在收集和使用个人数据前必须向用户明确告知数据的收集和使用方法,并且需要在获得用户明确同意后才可以进行。这里的明确同意指的就是不可以和用户协议捆绑,必须要在网站或应用内专门说明,并获取用户同意,同时可以随时便捷地取消和管理。

跨国公司该怎么办?


  对跨国公司而言,最引人注意的是《条例》对欧盟境外数据控制方和处理方的境外管辖权。
  对此,杨东告诉《中国经济周刊》记者:“《条例》采用的域外管辖接近于‘效果原则’(当公司在境外的行为对境内产生了‘效果’时就行使对其的管辖权),确实是跨国公司开展业务不得不重点关注的重要法律文件。”如此一来,总部不在欧盟成员国境内,但在欧盟开展数据业务,收集并服务于欧盟成员国个体的跨国公司在《条例》生效后将面临极大考验。
  除跨境管辖外,《条例》令全球震动的另一个原因是其严厉的处罚措施,即若违反规定,企业会面临高额经济处罚,在2000万欧元或全球总营业收入4%二者中取最高值作为罚金。
  假设以微软为例,其2017财年总营收为899.5亿美元,占其4%的35.98亿美元高于2000万欧元(约合2367万美元),则35.98亿美元就是微软在其2018财年年报尚未发布时违规的罚金数额。
  此外,与我国今年5月1日正式实施的《个人信息安全规范》中,要求规模超过200人的、业务涉及用户个人信息的企业建立专门负责个人信息安全保护的部门以及设立专门的负责人的规定相似,《条例》要求相关数据管理的机构、企业任命一名数据保护官(Data Protection Officer,DPO),监督数据处理的活动,推出各项措施来确保不会违反GDPR。
  对不久前脸书与剑桥分析发生的数据丑闻事件,《条例》在也有涉及。杨东告诉《中国经济周刊》记者:“脸书与剑桥分析触碰的两个问题是数据共享与数据泄露通知制度。在数据共享方面,《条例》要求企业与服务提供商共享数据时需签订数据处理协议,与欧盟境外的公司共享数据时还需要提供数据传输方案;在数据泄露通知方面,数据控制者应当在发现该情形后的72小时内告知监管机构,如果可能危及个人的权利和自由,则需通知数据主体,如果数据控制方和处理方切实遵守上述规定,对解决不当处理用户信息的问题将有所帮助。”
  有分析认为,随着我国对外开放程度不断扩大,企业在欧盟的业务日益扩大,特别是银行、电子商务、互联网等企业均涉及个人信息获取和处理,势必会成为《条例》的规制对象。如果想继续在欧盟开展上述业务,对《条例》的研究和应对至关重要。
  杨东表示,在具体的司法实践当中,跨国企业在欧盟境内的海外业务会受到《条例》何种程度的规制,对其未来是否有足够动力开发欧洲市场具有重大意义。
  以华为公司为例,根据市场研究公司Canalys的报告,2018年第一季度华为智能手机产品在欧洲市场上的销量同比增长38.6%,达到740万部。“华为的业务肯定是要受《条例》的监管的,因为每一部手机背后都与云服务相连,都会涉及到数据处理的行为。”通信行业观察家项立刚告诉《中国经济周刊》记者,华为为欧盟国家提供云服务的数据中心就建在欧盟境内,从这一点来说并不适用于跨属地管理的原则,而是毫无疑问会受《条例》的管辖。
其他文献
鸡西矿业集团公司张辰煤矿西三采区3
期刊
本文简单介绍了北京同步辐射装置3B1束线软X测量装置的结构与概况,从单色器能量分辨、绝对光子通量及出射光强线性三个方面对该装置光源特性进行了系统的研究,初步建立了标定用辐射
1月11日,中国钢铁工业协会透露,今年我国将彻底出清“地条钢”等落后产能,并在6月30日前全部取缔.“‘地条钢’必须‘归零’,这是绝对不能容忍的.”国家发展改革委副主任林念
期刊
通过对广州卫生职业技术学院2016级1512名在校学生的满意度调查,探求影响卫生类高职院校教育教学各因素的重要度和满意度.调查表明:在校学生对教师队伍和教学质量的预期重要
中国科技大学国家同步辐射实验室同步辐射装置周围的辐射场是一个有方向性的瞬发混合场,用各种方法对这样一个有特点的场进行测量,分析所得结果,研究它的特性,是一件很有意义
据媒体报道,自缺席2016年全国“两会”之后,全国人大代表、“老干妈”创始人陶华碧再度因身体原因缺席2017年全国两会.rn“颈椎、肩椎问题一直都是陶总创业之时就留下来的老
学者认为“资强劳弱”难界定,建议改变立法宗旨  《中华人民共和国劳动合同法》自2008年颁布实施以来,一直争议不断,经过2012年的修订,争议并未消失。    2016年3月十二届全国人大四次会议期间,多名人大代表提交《关于修改劳动合同法的议案》,认为现行的劳动合同法注重保护劳动者的利益,而忽视了企业的权益,个别条文有失公平、公正。  2016年11月8日,全国人大常委会表决通过了全国人大财经委《
期刊
十八届中央纪委七次全会1月8日在北京闭幕,全会审议通过了《中国共产党纪律检查机关监督执纪工作规则(试行)》.全会一致认为,制定监督执纪工作规则,是纪检机关贯彻党的十八届
期刊
本文主要介绍设置在秦山核电厂周围的环境γ辐射实时监测系统设计中有关高压电离室辐射特性的一些考虑,包括能量响应、灵敏度、量程范围和高辐射水平下电离电流的收集效率等问
目的探讨宫颈癌根治术中腹膜阴道延长术的临床疗效。方法 9例Ⅰb~Ⅱa期宫颈癌患者在行宫颈癌根治术同时行腹膜阴道延长术,同期单纯行宫颈癌根治术患者12例为对照组,比较两组术