欧盟最终通过严苛的数据保护新规定

下一篇文章

Apple Music 推出星战电台

欧盟最终通过严苛的数据保护新规定

昨天晚些时候,欧盟机构 最终通过 了数据保护新规定(GDPR,《一般数据保护条例》)的文本,而 新规定的提出 已是三年多前的事情。

28 名欧盟成员国将在两年的时间内将 GDPR 条款转置成本国法律,该条例将于 2018 年生效。

@VivianeRedingEU(薇薇安·雷丁,欧洲议会议员,前欧盟委员会副主席):我在 2012 年提出了#GDPR#。欧洲议会力推此事,而欧盟理事会踩了刹车。这件事拖了太久,但现在终于达成一致了。

在此过程中还需要经历几个步骤——尽管欧洲议会、欧盟理事会和欧盟会员会昨天通过了文本,但明天公民自由委员会还有一场投票,明年欧洲议会还有一场总体投票——不过,欧盟委员会在 2016 年完成数据保护改革的目标实现了。

司法、消费者权益和性别平等委员维拉·朱洛娃(Věra Jourová)表示,新规定“明确清晰”,“适合于数字时代”。欧洲现行的数据保护规定还是在 1995 年通过的,因此更新相关法规、跟上技术巨变的步伐是这一提案的主要目标,另外还起到了配合推进制定欧盟地区的相关条例,建立一个所谓的“数字统一市场”(Digital Single Market),以简化欧洲企业销售服务的业务的作用。

负责数字统一市场的欧盟委员会副主席安德鲁斯·安西普(Andrus Ansip)在声明中评论了这一协议,他认为 GDPR 将“去除障碍,释放机遇”。另外他还不言而喻地反驳了对于新规定的批评。在数据保护条例协商的过程中,布鲁塞尔聚集了一批说客,其中包括 美国政府Facebook、谷歌等积极寻求淡化提案的科技巨头。

“欧洲的数据未来必须建立在信任的基础上。有了可靠的数据保护通用标准,人们才能确信掌控着自己的个人信息。而且他们可以享受数字统一市场带来的所有服务和机遇。我们不应将隐私及数据保护视作阻挠经济发展的行为。事实上,它们是重要的竞争优势。”安西普表示。

“今天达成的协议为欧洲发展创新数据服务奠定了坚实的基础。我们下一步行动则是去除限制跨境数据流的不合理障碍:当地条例,有时候是某国法律,会对本国领土以外某些数据的存储及处理造成限制。因此,让我们再进一步,在欧盟范围内建立一个开放、繁荣的数据经济——以最高数据保护标准为基础,打破那些不合理的障碍。”他补充道。

在数据保护改革讨论过程中投下核弹的是 2013 年的 斯诺登 事件,斯诺登揭露了美国政府大范围监听项目的程度,详细描述了情报部门直接侵入 Facebook 等商业公司持有的消费者数据的方式。这枚“核弹”的余波回击了美国反对加强隐私保护的强力游说。

另外,斯诺登披露的信息在今年秋天欧洲法院 判决使用长达 15 年的安全港(SafeHarbor)数据传输协议无效 中也起到了关键作用。欧洲法院官员目前正和美国同僚进行协商,试图达成新的协议—— 截止时间为 2016 年 1 月 。如果你对地缘数据保护政策感兴趣的话,这段时间发生的事情肯定让你无比兴奋。

说完了背景,那新的 GDPR 究竟是什么?需要说明的是,其完整文本尚未发布(更新: 已发布),不过总体方向是加强个人的数据保护权利,让欧洲人民在自身数据的使用方式上拥有更大的发言权——并寻求一些企业遵守流程的简化。

新规定将适用于在欧盟地区拥有客户的任意公司,无论其公司本身是否位于欧洲。

GDPR 中的一些关键条款如下:

  • 违反数据保护条例处罚最高可达公司全球营业额的 4%——对于谷歌这样的科技巨头而言,一旦处罚将会是几十亿美元。
  • 数据泄露的责任扩大到数据控制方使用的任意数据处理方——因此也适用于涉及处理数据从而提供给某个服务的任意第三方,这一点在云业务模式中有着大量应用。
  • 将所谓的“ 被遗忘权 ”写进法律,因此一旦某人不希望自己的数据由某公司进行处理,并且“只要没有保留该数据的合法理由”,该数据就必须删除。对数字营销有着重大影响。
  • 如果公司需要处理大规模敏感数据或收集众多消费者的信息的话,则要求该公司任命数据保护官。数据处理非其核心业务的中小企业除外。
  • 一旦发生严重数据泄露,要求公司及机构第一时间通知相关国家监管机构。
  • 在父母同意下才能允许儿童使用社交媒体,各个成员国可对 13 至 16 岁的特定年龄段自行规定。
  • 设立数据保护投诉的一站式监管机构,旨在简化企业的遵守流程。
  • 保证个人的数据便携性权利,让他们能够在不同服务间更方便地转移个人数据。

领导欧洲议会协商工作的绿党议员扬·菲利普·阿尔布莱希特(Jan-Philipp Albrecht)在声明中表示:“该法规将公民个人数据的控制权交还到公民手中。公司在没有个人许可的前提下,不允许将因特定用途收集的信息透露出去。消费者必须就自身数据的使用给出明确许可。”

和任何一项新法律一样,魔鬼隐藏在具体条款和例外情况的解释细节中。而且 28 个成员国都需要将这项条例解释并转置到本国法律中,GDPR 在欧盟各地区的实行情况将不可避免地出现差异。因此有一点是肯定的:律师们不愁生意了,毕竟企业要弄清楚自己受到怎样的影响,需要采取哪些措施保证遵守条例——规避被处以巨额罚款的风险。

题图来自:ANTONBALAZH/SHUTTERSTOCK(图片有修改)

翻译:顾秋实

Europe Finally Agrees Tough New Data Protection Rules