365bet官网可靠吗
首页 / 博京资讯

博京聚焦 | 《欧盟数据保护法案》实施在即,Facebook你们慌了吗?

2018年4月10日,Facebook创始人扎克伯格在美国国会结束了长达10个小时的听证会,就Facebook泄露8700万用户信息一事作出解释。然而,泄密事件余波未平之际,又传出Facebook正在修改相关服务条款以规避欧盟数据保护新政;无独有偶,2018年4月12日,有截图显示,腾讯QQ国际版将于5月20日起在欧洲停止运作,公众猜测主要原因是为了避开欧盟数据保护新政,虽然经证实为谣言,但也一定程度上反映了此次欧盟数据保护新政的威慑力。

 

那么,令诸如腾讯、Facebook等全球大型互联网公司感到慌张的欧盟数据保护新政是什么呢?小编将在下文为各位作简要概括。

 

1.      《通用数据保护法案》的诞生

从2018年5月25日起,《通用数据保护法案》(Data Protection Regulation,以下简称“GDPR”)将在欧盟范围内生效,取代之前的《欧盟数据保护指令》(Data Protection Directive,以下简称“DPD”)。与DPD相比,GDPR的效力更高,自生效之日起,所有成员国将立即适用该法案。

 

GDPR是欧盟在吸取过去二十年来在众多数据泄密事件中的错误而提炼出来的最严苛的法案。在了解GDPR前,我们先了解一下欧盟的数据保护历史:

  1. 1995年,欧盟通过了DPD(又称“95指令”),首次为欧盟成员国个人数据保护设立了统一的标准。但95指令就个人数据的保护仅仅停留在有关用户名、家庭地址及邮编等基础信息,且仅规定用户对上述内容拥有访问的权限以及修改错误的权利。随着互联网的不断发展,在数据保护的力度上,95指令显然不能够匹配互联网的发展水平;

  2. 2002年,欧盟首次修改95指令,发布了《隐私与电子通讯指令》(以下简称“隐私指令”)。隐私指令相比95指令,详细规定了科技公司不得在未征求用户同意的情况下存储和使用用户的数据,科技公司等服务提供商必须确保用户对其数据存储及使用的知情权(如通过告知用户所收集的数据以及处理该数据的意图并给予用户拒绝的权利等)。但隐私指令的不完善之处在于没有明确规定违规后果和惩罚,并不能够引起服务提供商的警惕;

  3. 2009年11月25日,欧盟又通过了《欧洲Cookie指令》(以下简称“Cookie指令”),并于2011年5月25日在欧盟范围内启用。Cookie是一种互联网名词,常常用于用户追踪和识别,网站通过在用户电脑本地存放Cookie而达到识别和记录用户登录、浏览和购买记录等信息。在Cookie指令出台之前,Cookie是默认打开的且在网站的用户协议里属于默认同意的内容,但却存在黑客通过Cookie破解用户电脑的可能性。Cookie指令则要求网站在用户初始使用时必须关闭Cookie,除非用户明确同意开启;

  4. 但随着Facebook等社交网站的兴起,用户在互联网上的信息已经不单单是姓名、家庭地址、购物记录、登录记录等简单的信息,而是包含了诸如用户个人照片、视频、浏览记录、点赞数量、个人动态等多维度的信息,95指令、隐私指令以及Cookie指令等都不能达到完全保护用户信息的目的;

  5. 2012年1月25日,GDPR的草稿第一次放在了欧盟委员会的会议桌上。

 

2.      GDPR保护的数据范围

GDPR在其第4条“定义”中即明确了GDPR所保护的数据范围,其中所称“个人数据”是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,例如通过以下标识或数据:(1)姓名;(2)身份证号码;(3)定位数据;(4)在线身份识别;或者(5)通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。

 

简而言之,即以下隐私信息都将受到GDPR的保护:(1)身份信息(姓名、家庭住址、身份证号码等);(2)网络数据(定位、IP地址、Cookie数据等);(3)医疗保健和遗传数据;(4)生物识别数据(指纹、虹膜、面部识别数据);(5)种族或民族数据;(6)政治倾向;(7)个人性取向 等。

 

针对上述数据及信息,GDPR规定,服务提供商未经用户同意或授权的,不得处理这些数据,不论是商用或非商用。


3.      GDPR的监管对象

GDPR明确了监管对象为以下几类主体的行为:

  1. 设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内;

  2. 欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:

    i)发生在欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或

    ii)是对数据主体发生在欧盟内的行为进行的监控的;

  3. 设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。

 

即,不论服务提供商总部位于何处,只要该服务提供商在欧盟范围内提供服务,都将受到GDPR的监管。

 

4.      数据使用说明必须显着明示

 GDPR在第7条“同意的要件”中明确“如数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且其他事项显着区别的形式呈现”。这是GDPR相对之前发布的指令最大的改变,互联网公司必须获得用户明确同意才可以使用数据,即互联网公司在收集和使用用户个人数据前必须向用户明确告知数据的收集和使用方法,且不能通过与复杂的用户协议绑定的方式告知,必须以单独显着的方式明确告知用户,在获取用户明确同意后方可进行。

 

5.      被遗忘权

 此前,包括Facebook和苹果在内,都一直强调用户可以选择彻底删除储存的数据,即所谓的“被遗忘权”(right to be forgotten)。被遗忘权的核心在于,当用户向服务提供商撤回自己书面同意处理的个人数据信息后,服务提供商应当无偿无条件地彻底删除用户全部的个人数据。

 

举例来说,如果一名腾讯QQ国际版的欧盟用户要求腾讯公司删除自己的QQ号及因使用该QQ号而提供的个人信息(包括姓名、身份证号、视频、照片等),腾讯公司必须立即删除这些信息并要求使用该信息的广告公司删除且不得留有备份。

 

但在广阔的互联网数据中删除某一用户的全部信息是一件极其困难的事情,不论技术抑或成本,都将给互联网公司造成极大的负担,这是GDPR遭到众多互联网公司抵制的原因之一。

 

6.      不共享信息必须是默认选项

 相信很多朋友都有这样的经历:在某些网站使用关联账户登录时,该网站往往要求通过关联账户分享信息,例如,使用微信号登录京东商城时,京东商城通过与微信共享数据,获取你的点赞记录继而推荐商品广告,且该信息分享往往是必须勾选的默认选项。但在GDPR实施后,欧盟范围内的这种信息共享行为将受到影响,不共享成为默认选项。因此,GDPR也要求公司必须任命数据保护专员来实施GDPR计划并监测完成的情况,要求公司一旦发现数据泄露,必须在72小时内向数据保护机构报告可能对个人构成风险的数据泄露时间,并不可以无故拖延地向受影响个人通知。扎克伯格在回应Facebook数据泄露事件就声称,早在事件爆发的三年前,就获知剑桥公司违反规定获取Facebook用户数据,但并没有及时处理。

 

7.      违法成本增加

 如果一家欧盟服务提供商违反GDPR的规定,将受到什么样的处罚呢?GDPR给出的答案是“按最低2000万欧元或公司年营收的4%进行处罚,其中金额较高的数字被认定为罚金”。

 

上述规定可能不够直观,我们接下来举两个例子来说明。QQ国际版的服务提供商腾讯公司,2017年的年营收约为360亿美元,年营收的4%就是14.4亿美元,如果QQ国际版涉嫌违反GDPR,罚金最高可达14.4亿美元;苹果公司2017年的年营收超过2000亿美元,罚金最高可超过80亿美元。可见,如GDPR实施后,违法成本显着提高,这是GDPR威慑力的体现。

 

 

针对数据保护立法是当前世界各国的共识,不仅欧盟已经行动,其他国家也正在积极筹备。中国在2017年出台了《中华人民共和国网络安全法》、于2018年发布了《信息安全技术个人信息安全规范》,都旨在保护个人信息数据安全,美国、俄罗斯等国家也就数据信息保护进行立法。在未来的很长一段时间里,个人数据信息保护都将是互联网法律监管的趋势,希望未来像Facebook这样的大面积信息泄露事件能杜绝发生。

联系我们

365bet官网可靠吗_365bet平台盘口_皇冠365bet下载
查看更多