Update: 2018-06-28,美国加州全票通过类似的隐私保护法案 AB375,规定2020年起,掌握个人信息超过5万人的企业必须允许客户查看自己的信息和删除,以及要求不得将数据出售给第三方。
欧盟《一般数据保护条例》(General Data Protection Regulation,GDPR)将于 2018 年 5 月 25 日起正式施行,该法案虽然旨在加强对欧盟境内相关居民和个体信息和隐私数据的保护,但从整个信息产业来看,是一次历史性的突破。欧洲再次走到了世界的前列。
从此,个人数据(在部分地区)的保护将有法可依。
发展过程
2012 年 1 月首次提出法案草案,先后经过 2014 年和 2015 年两个修订的版本,于 2016 年 4 月 14 日经欧洲议会投票通过。正式法规包括 91 个条文,共 204 页。
而 2012 年,正是互联网已经遍及全球,数据载体由桌面互联网往移动互联网演变的时期。
规定要点
相对于欧洲在 1995 年推出的《欧洲数据保护指导》(EU Data Protection Directive,95/46/EC),GDPR 对于信息治理和数据隐私保护的认知更加深入,相关模型和规定更为明确和严格。在律法上,从指导演化为条例,提供了更强的执行依据。
核心的变更 主要包括:
- 扩大了实施范围(Increased Territorial Scope):不光注册在欧洲本土的企业,所有涉及在欧洲进行个人数据处理的企业都属于管理范围;
- 加大惩罚力度(Penalties):一般处罚额度为企业在全球年营业额的 2% 或一千万欧元中的较大者,严重者可以处以 4% 或两千万欧元中的较大者;
- 授权许可(Consent):企业不能再像现在这样只提供冗长、难懂、无法拒绝的授权许可,而需要简洁、明晰,并且需要提供合理的拒绝选项;
- 数据权利:在新的 Subject、Controller、Processors 数据模型下,规定了访问(Access)、遗忘(Forgotten)、可转移(Portability)、默认隐私保护(Privacy by Design)等权利。
- 泄露通知(Breach Notification):一旦发生数据泄露,企业必须在 72 小时内通知监管部门和用户。
- 数据保护官(Data Protection Officer,DPO):企业必须设立数据保护官岗位,监管和规范数据处理活动。
评价
随着信息技术特别互联网的飞速发展,数据和隐私保护已经是全球范围内的严重问题,给国家安全和居民安全都带来了巨大的风险。世界各国也都在积极探讨如何应对。欧洲在这方面一直走在前列,作为第一个落地的法律意义上的条例,GDPR 极具参考价值。大胆预测,GDPR 作为一个新的信息保护时代的历史性时刻,很可能将改变现有的信息行业的格局。
GDPR 侧重于对个体的信息和隐私进行保护,将扭转当前企业无限度控制个体数据的不对称局面,但这并不意味着对企业是坏事。对数据处理过程构建律法保护,从长远看,将建立更为健康的市场环境,允许企业特别信息服务企业参与到更为公平的行业竞争中。
当然,也要看到,不同地区的信息科技发展水平是不同的,在实现信息安全和隐私保护的过程中需要结合具体情况进行探讨。
参考资料:
- GDPR 官方网站:www.eugdpr.org。