GDPR 的全称是 General Data Protection Regulation,即《通用数据保护条例》。这项法案在 2012 年 1 月份就已经起草,经过 4 年的探讨与协商,欧盟于 2016 年 4 月正式通过这一条例并宣布试行,到 2018 年 5 月 25 日(即今天)正式全面施行。由于 GDPR 规定,企业一旦违反这一条例,最高可面临全球营业额 4% 的罚款,因此被冠以“史上最严数据保护条例”的称号。此前,不论是 2017 年的几起大型数据泄漏事件,还是近期闹得沸沸扬扬的 FaceBook 与剑桥分析公司收集用户数据事件,都在暗中庆幸自己没撞上 GDPR 的正式实施。否则,他们面临的情形将比现在更为严峻。
这样一部法律条例正式施行之后,会在全球范围内引起怎样的风波呢?笔者在此从 GDPR 的内容、适用范围以及几大企业的反应,粗略解读一二。
关于 GDPR
早在1995年10月24日,欧洲议会与欧盟理事会就颁布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(简称“数据保护指令”),用于协调与统一成员国数据保护法,促进个人数据在成员国之间自由流动,但是这一指令在各国落地实施过程中并不顺利。此后,欧盟也相继颁布了其他一些数据保护的规范,也都难以平衡迅速发展的科技和个人信息保护之间的矛盾。直到 2012 年 1 月 25 日,欧盟委员会公布了 GDPR 草案,在 2016 年 4 月 8 日和 4 月 16 日由欧盟理事会和欧洲议会通过,替代了数据保护指令。与以前的法案相比,GDPR 的内容更加丰富,还在序言部分添加了 100 多条辅助理解与适用的条款。在执行方面,每个欧盟成员国都应将 GDPR 与本国法律结合起来,设立专门的 GDPR 负责人负责落地。
作为“史上最严”的数据保护条例,GDPR 的内容有以下几个特点:
一、适用范围广
在地域上,虽然 GDPR 是欧洲的立法,但其规定的适用范围缺不仅限于欧洲。业务机构设在欧盟境内并从事个人数据处理的组织自然在 GDPR 管辖范围之内,而非欧盟成员国企业在欧盟境内未设立业务机构,但却处理欧盟境内的个人数据,为欧盟境内的数据主体提供货物或服务,无论数据主体是否被要求付费,也都适用 GDPR。此外,如果非欧盟成员国企业对数据主体在欧盟境内的行为进行监控,也适用 GDPR。
这意味着,无论企业的业务机构是否设立在欧盟境内,或者其数据处理或控制行为是否发生在欧盟境内,只要其数据处理行为涉及到欧洲公民,都需要遵守 GDPR 的规定。因此,许多拥有国际业务的大企业都需要注意。
就主体范围而言,GDPR 则直接适用于数据控制者和数据处理者(Data Processor,代表数据控制机构处理数据的实体)。对于这些主体,GDPR 规定了信息安全措施、未经许可不能转委托、记录保存、协助义务等一系列义务。而且,GDPR 明确规定信息处理者如违反数据保护的义务则可能受到行政处罚或承担民事责任。
二、受保护者权利多
GDPR 所保护的个人数据范围广泛,包括个人姓名、政府身份证号码、位置信息、IP地址、Cookie 等,既涵盖真实世界的信息,又涵盖网络世界的信息。GDPR 所保护的对象称为数据主体。除了常规的权利之外,GDPR 新增的几个重要数据主体权利如下:
信息泄露通知:一旦发生数据泄露事件,必须在知晓数据泄露事件发生后的 72 个小时内向主管监管机构报告。数据处理者还需要在第一时间通知用户和数据控制者。
访问权:数据主体有权从数据控制者那里获取信息,以确认数据控制者是否要对与他们相关的个人数据进行处理、处理地点、处理目的。此外,控制者应以电子格式免费提供一份个人数据的副本;
被遗忘权:数据主体有权要求数据控制者清除他/她的个人数据,停止进一步传播数据,并尽可能使第三方停止处理数据;数据主体还可撤销之前授权同意与数据处理相关的选择;
可携带权:数据主体有权接收与自己相关的数据,并有权将这些数据发送给另一个数据控制者。
隐私保护设计:数据控制者应当以有效的方式实施适当的技术和组织措施,满足本条例的要求,保护数据主体的权利。即在系统设计起步就纳入数据保护,而不是系统开发完成后再增加保护。
此外,GDPR 对未成年人的数据保护也有特殊要求:企业和组织取得父母的同意,才能处理 16 岁以下儿童的个人资料。
三、对数据处理要求更严格
GDPR 规定,在数据处理过程中,必须以清楚、独立、清晰的方式向数据主体表达其用户条款,以获得数据主体的同意;同意许可必须容易撤回(可以理解为:一键点击同意,也能一键撤回同意许可);同意许可必须基于主体自由意志做出,且同意处理的数据范围不可超过必要限度。
此外,GDPR 还规定,员工数量在 250 人及以上的企业或机构必须记录数据处理活动的过程、相关人员和数据接收者。员工数量在 250 人一下的企业,如果理数据方式可能给数据主体带来高风险,威胁他们的权利和自由,也必须做出记录。如数据处理行为的性质、范围、内容和目的可能对自然人的权利和自由产生高风险时,数据控制者在进行数据处理之前应当进行影响评估(并做记录)以此替代将数据处理活动(以及类似于国际数据传输等活动)通告数据保护主管机构的一般性责任。
如果控制者和处理者需要经常系统地监控数据主体,而且监控的规模较大、数据种类特殊或涉及到刑事定罪以及违法行为,则必须设立数据保护官(DPO)。非欧盟企业也要遵守这一规定,在欧盟当地设立 DPO。
四、处罚严厉
GDPR 的处罚涉及行政处罚和民事处罚。
行政处罚分为两类,对数据控制者和数据处理者都适用。第一类针对违反隐私保护设计,以及默认隐私保护,没有实施充分的IT安全保障措施、违反数据泄露通知要求等违法行为,处以最高 1000 万欧元或者上一年度全球营业收入的 2%,二者取其高;第二类针对违反数据处理原则,数据处理没有合法基础、违反同意要求、侵害数据主体的合法权利等违法行为,处以最高 2000 万欧元或者企业上一年度全球营业收入的 4%,二者取其高。
民事处罚也分为两类。就对外的被侵权数据主体而言,为了确保其获得有效赔偿,数据控制者和数据处理者就信息主体的全部损失承担连带责任。而在内部的责任分配上,数据控制者就其违反GDPR规定的数据处理行为担责;数据处理者只对其未遵守GDPR规定的特别是针对数据处理者的义务或者其超过数据控制者的合法指示的行为造成的损失担责。
当然,这些处罚也会根据行为的性质、主管状态以及违规事件发生后的应急响应情况等多重因素综合考量,并对中小企业给予一定的豁免权。
大企业别无选择,小企业无能为力
在 2016 年通过之后,相关企业已经开始着手进行整改。而就在 GDPR 今日正式施行前夕,也有不少巨头公司纷纷推出了自己的整改措施。Facebook、Twitter、Instagram 和Airbnb 等已经开始通知其欧洲用户关于用户条款的更改。面对 GDPR,企业的反应主要分为三种。
第一种是针对欧盟用户,推出相应的数据保护措施。例如,5 月中旬,FaceBook 向欧洲用户说明数据使用要求并请求用户授权面部识别许可,以便为用户提供更多选择。而关于此前的 FaceBook 和剑桥分析公司丑闻,欧盟司法专员 Vera Jourova 在接受采访时表示,由于 GDPR 的条例没有追溯效力,所以不会对 FaceBook 采取严厉处罚。否则,FaceBook 可能会被罚破产。但从今天起,它将处于欧盟的严厉监管之中。
第二种是将整改范围扩大到全球用户,如微软和苹果。由于这些公司业务线庞杂,用户数量巨大,单独将欧盟用户区分出来并制定相关数据保护条例更加艰难。因此,他们只能面临全球用户推出保护策略。
本周,苹果宣布上线全新的“数据&隐私”网站,用户可以在这里下载所有与 Apple ID 关联的数据(包括购买记录,应用使用历史、日历、提醒事项、照片、储存在iCloud的文档、Apple Music和Game Center数据以及AppleCare支持历史。与此同时,用户还可以彻底删除Apple ID)。苹果的这些规定符合 GDPR 关于数据主体访问权、被遗忘权、可携带权的要求,而且目前适用对象是在欧盟、冰岛、列支敦士登、挪威和瑞士注册的 Apple ID,其中含义不言而喻。苹果表示,预计在 2018 年底前完成在其他国家的服务推广。
微软则表示,将按照 GDPR 的要求,面向全球用户推出隐私保护服务。其新举措包括:在账户面板中添加新的控件、更新所有用户隐私声明、在 microsoft.com/gdpr 上发布门户,列出与 GDPR 兼容的措施
第三种对于欧盟用户而言可能不是个好消息。一些不愿意处理 GDPR 合规性的公司直接关闭了针对欧盟用户的业务。包括 Verve(网络营销)、Ragnarok Online(在线游戏)、Super Monday Night Combat(在线游戏)、Unroll(电子邮件订阅服务)、Brent Ozar Unlimited(软件供应商)、Tungle(游戏软件提供商)以及 Drawbridge设备身份服务)等在内的多家企业都位列其中。
国内企业怎么做?
早在四月初,QQ 国际版就推送消息,称从 5 月 20 日开始将停止对欧洲用户的服务。虽然最后腾讯官方回应称 QQ 国际版在欧盟地区不会下线,会继续为该地区用户提供服务。但也提到,只有更新到 5.0/6.0 版本的 QQ 国际版可继续使用,旧版本则在 5 月 20 日停止使用。
在 APP store 搜索 QQ 国际版,能看到最新版本是 5.0.1,其中隐私政策的更新时间是 2018 年 5 月 23 日,详细说明了所搜集的信息类型、存储和使用方法、信息共享对象、数据处理地点(中国)、信息保留时长等内容。不难看出,新版本为符合 GDPR 的要求,做出了不少修改。
另一位国内社交通信巨头微信也在一周前刚刚更新了国际版微信的隐私条款。更新后的条款详细说明了信息的使用规则、存储地点、适用法规等。国际微信的用户信息会被存储在加拿大安大略省或者香港。对欧盟、澳大利亚和美国的用户有不同的适用法规,条款争议或争端会提交至香港国际仲裁中心仲裁解决。
值得注意的是,微信国际版的隐私政策中对信息的保留时间也有明示:未登录账号时间达到 180 天后,账号信息会被删除;聊天记录会被存储72小时,随后永久删除。
除了隐私政策以外,中国用户与国际用户的使用条款也有显著的区别。微信国际版有一个与中国版不同的公众号系统,管理地址在admin.wechat.com(中国版地址:mp.weixin.qq.com),国际公众账号的消息推送不能推送到中国用户的手机上。
面临 GDPR 的严格要求,不论是巨头还是小公司,都不得不给出反馈。总体而言,企业可以从以下几点做好准备:
1. 了解自己到底存储了哪些数据以及数据存储的地点;
2. 除了企业内部的安全,还要确保供应链(供应商、合作伙伴)的安全;
3. 结合企业自身规则,与 GDPR 融合;
4. 寻求专业的法律咨询
GDPR 对普通公民有何影响?
GDPR 的实施对于欧盟公民而言,无疑是大好消息。他们的数据从此将处于妥善的保护之中,而且对自己的数据还有主动权,可以选择被遗忘或者迁移等。
对于非欧盟用户而言,也能享受到一些红利。有很多大公司借此次 GDPR 的契机,将数据保护政策扩展到全球用户,因此,很多非欧盟用户也能享受到一定程度的保护。但是,他们获得的相关权利并没有法律的保护。就算遇到违规情况,非欧盟用户也无法申诉。
对于国内公民而言,情况则有些复杂。某互联公司的欧洲执行官曾匿名表示:
中国的用户如果看到自己的数据能换来某些利益,他们都不会介意分享自己的信息。哪怕是朋友圈那种砍价或者点赞抽奖的蝇头小利都会让他们趋之若鹜。
这番话不禁让人为国内用户感到悲哀。一方面,企业不尊重用户隐私保护,很多人无可奈何;另一方面,用户自己也没有隐私保护意识。两个方面互相作用,造成国内严峻的隐私保护现状。
也许此次 GDPR 正式实施之后,能展现国内外关于数据保护在政策方面、意识方面以及实施层面的区别,进而引起一部分人的重视。这也不失为 GDPR 对全球安全环境的正面作用了。
成效如何,有待观察
值得注意的是,此次 GDPR 的正式施行并非赢得满堂喝彩。除了企业所面临的紧张与压力,还有很多安全专家表达了他们的担忧。
有专家表示,很多小公司反应过度,向客户发邮件提醒可以选择退订服务,并提醒用户进行安全检查或更新,如果客户没有及时回复,很可能被默认为选择不保留数据,最终数据遭到公司的删除。此举可能会让这些公司失去一些重要客户。
还有专家认为,由于 GDPR 会带来合规负担,给企业造成更多成本,会导致某些企业处于竞争劣势。2013年,英国信息委员会办公室(ICO)委托伦敦经济学院进行了一项相关调查研究。其中重要发现之一是,大多数企业无法可靠地量化它们在数据保护上的投入。而在 GDPR 实施后,运营成本可能会出现怎样的增长,也同样难以准确量化。
此外,加密货币信息安全公司 CipherTrace CEO、APWG 主席 Dave Jevans 则直接表示:
GDPR 会对互联网整体的信息安全造成负面影响,也将在无意中帮助信息安全罪犯。由于限制了对关键信息的访问,新法律将严重阻碍对信息安全犯罪、加密货币盗窃、钓鱼、勒索软件、恶意软件、欺诈和加密劫持的调查。很可能犯罪分子都会涌入欧洲,因为正当途径获取数据变得更难,进而丧失对非法途径的监督。
当然,这一评论也许稍显过激,因为 GDPR 的条款中也明确指出:执法部门或当局在预防、调查、侦查或起诉刑事犯罪或执行刑事处罚(包括保护公共安全、防范威胁)时产生的数据处理行为不受到 GDPR 的管控。但是,以上行为应当受到欧盟更加细化的法案(《欧洲议会和理事会(欧盟)2016 年第 680 号指令第 7 条)的约束,在约束之下,也许难免有所掣肘。
普通公民自然乐于看到自己的数据受到保护。但 GDPR 是否会成为欧洲政府打压竞争对手的棋子?严格的规定是否会导致企业投入宝贵的时间和资源来确保合规最终阻碍发展和创新?是否会导致人们太过于重视企业而忽视网络犯罪才是个人数据最大威胁这一事实?这些问题,都有待时间的考证。
参考来源:
https://www.twobirds.com/~/media/pdfs/gdpr-pdfs/bird--bird--guide-to-the-general-data-protection-regulation.pdf?la=en
http://www.privacy-regulation.eu/en/recital-19-GDPR.htm
https://www.cnet.com/how-to/what-the-gdpr-means-for-facebook-the-eu-and-you/
https://www.securityweek.com/eu-data-protection-may-trigger-global-ripple-effect
*本文作者:AngelaY,转载请注明来自 FreeBuf.COM