点击上方“CSDN”,选择“置顶公众号”
关键时刻,第一时间送达!
最近,笔者在浏览 Techmeme、HackerNews 甚至国内等主流门户时,看到了许多关于 GDPR 的内容。就连打开微信公众号的后台,居然都收到了微信团队推送的《关于欧盟数据保护通用条例(GDPR)的通知》。
那么,这个满世界刷屏的“GDPR”是什么呢?
根据公众号后台所推送的这则消息显示:欧盟数据保护通用条例(GDPR)于本月 25 日生效,微信公众平台为遵守 GDPR 的相关要求,当欧盟地区微信用户撤销授权该公众号获取其个人信息时,会以邮件形式告知公众号的注册邮箱删除欧盟用户的信息。而且,如果公众号运营者在自己的服务器中存储了以上用户信息,需要在三周内,从自己的服务器中删除该用户相关的所有信息,包括用户的昵称、头像、openid 以及与该用户关联的服务信息。
也就是说,在微信用户取消关注公众号或其自行注销微信个人帐号后,公众号运营者及微信官方都是无权保留任何用户数据的——当然,这目前只限于所有欧盟地区注册的微信用户。
因此,GDPR 之于微信,就是要么遵守,要么放弃欧洲市场。为什么有如此之说?因为本次的新条例波及范围之广是前所未及的。对于企业来说,无论你是不是把服务器放在了欧盟里,只要你为欧盟范围之内的客户提供了服务,就在 GDPR 的管控范围内。
那这个所谓的欧盟的 GDPR 条例具体是什么?用户能获得哪些好处?对于企业来说又有怎样强的杀伤力?我们来细细研究下。
欧盟出台最严 GDPR 条例,惩戒强度全面升级
近日,欧洲新隐私法规《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)正式推出,并在本月 25 日即时生效。
作为互联网时代个人数据保护的典范,GDPR 能够加强现有的个人隐私权利,同时也让消费者能很好地控制数据,并且其隐私权也能得到更严格的保护。此外,这还将迫使企业更加注重处理客户数据的方式。不过,过于繁琐的新规定很有可能还会加大企业寻找客户的难度。
欧盟最新的 GDPR 取代了 1995 年的旧规。该规定于 2016 年 4 月 14 日出台,定于 2018 年 5 月 25 日正式投入实施,面向所有收集、处理、储存、管理欧盟公民个人数据的企业,限制了这些企业收集与处理用户个人信息的权限,旨在将个人信息的最终控制权交还给用户本人。
毋庸置疑,本次新条例预示着一个“最严监管”时代的到来:对于违反隐私法的企业,欧盟监管机构将可以获取该企业全年收入的 4% 作为罚金,或是直接处以 2000 万欧元(约 2348 万美元)的罚款,具体罚金数额取决于这两个数字哪个更高——这远远超过之前 95 年旧规中几十万欧元的罚金。
“大势所趋”下,对于想要投身全球市场的互联网企业来说,全面理解 GDPR 就变得意义非凡。“蓬勃发展”的中国企业常常会因为国内市场的宽容氛围,而忽视合规经营的重要性、违规的风险性。
下面,我们就来解读下 GDPR 里涉及互联网数字化企业经营的内容:哪些行为是违规的,哪些动作存在较大风险。
取得用户批准,保护消费者权益
首先,必须事先征得数据主体的同意,而且"同意"必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。
比如国内企业常用的:以小字号淡颜色甚至缺省方式获取用户的授权,通过冗长晦涩的隐私政策来获取用户同意,或者让用户在签订业务协议时通过"打勾"作出一揽子授权......都可能被认定为违规。
其次,GDPR 赋予数据主体可以随时撤回同意的权利,用户可随时查看、修改、移动、删除数据。而且数据控制者应当明确告知用户现有该权利,并为用户方便地行使该权利提供便利。用户提出撤回之后,就意味着用户不再"同意",企业再使用这些数据就是违规的了。企业经客户同意后获取了数据,但用户后悔了,提出删除要求,企业就要从浩如烟海的数据里找到相关数据(包括原始数据以及基于这些数据处理之后的信息)并删除。
数据供应链各方责任共担
过去,收集和使用数据的数据拥有者需要对数据保护负责。如今,史无前例的,数据处理者(如提供数据处理服务的云服务提供商等)也将需要直接承担合规风险和义务。在数据保护上,数据供应链自上而下的各方都会被问责。网络公司必须与合作伙伴们明确各自的责任和义务。
而且无论是将数据提供给了第三方,还是把数据作为企业对外服务的一部分,都必须重新获取数据主体的授权和同意。不仅如此,如果数据已经传播出去,或者给第三方使用了,这个企业还有责任通知数据的使用者删除。
互联网的世界如此开放,要确定并通知所有的第三方停止利用并删除,这几乎是不可能完成的任务。然而这确确实实是 GDPR 的条款。
对于儿童的特殊保护
还有,在处理儿童个人数据时,必须获得其父母或者其他监护人的同意。这意味着如果和企业打交道的是熊孩子,企业就得先识别出来他是儿童,再从父母或者监护人那里或者正式的确认证据,才能进行下一步操作。
对企业处理和使用数据提出了苛刻的要求
首先,数据控制者必须以清楚、简单、明了的方式向个人说明,其个人数据是如何被收集处理的。这些信息不仅包括数据控制者的身份和联系方式、数据的接收者或数据接收者的类型、还要包括个人数据的保留周期以及采取该周期的理由。如果涉及自动化的数据处理,包括数据画像等活动,还需要提供基本的算法逻辑以及针对个人的运算结果。重点:那些拿客户数据打标签做画像的,要提供基本算法逻辑和运算结果!
其次,个人有权获得其提供给数据控制者的相关个人数据,且其获得的个人数据应当是结构化的、普遍可使用的和机器可读的。如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。
条例适用范围增大
资料保护指令(1995)的适用范围为所有欧盟境内运营的企业和所有使用位于欧盟内的设备处理数据的企业;而 GDPR(2016)的适用范围扩大为所有处理欧盟成员国公民个人信息的企业,无论公民现居住地是否在欧盟境内。
我们可以从两个维度来看 GDPR 的实施范围。首先,是成立地在欧盟的机构必须遵循 GDPR,无论数据处理的活动是否发生在欧盟境内。其次,成立地在欧盟以外的机构,只要其在提供产品或者服务的过程中,无论是收费还是免费,只要处理欧盟境内个体的个人数据,就必须遵循 GDPR。尤其是后面这条规则,意味着无论你是不是把服务器放在了欧盟里,只要你为欧盟范围之内的客户提供服务,就在 GDPR 的管控范围内。
种种严苛的要求下,相信没有企业愿意铤而走险。或许一着不慎满盘皆输!