申请成为爱沙尼亚电子公民身份后可以受GDPR保护么?
在过去一段时间里,我们越来越频繁地发现,“大数据”这个曾经听起来很酷、很高科技的词,让我们感到不舒服了。比如说,采集了用户大量浏览信息的客户数据平台,可以把精准定位的广告甚至邪典视频推送到目标用户面前(详见《儿童邪典视频如何送到孩子眼前?》)。比如说,网约车平台和在线差旅平台会知道你是已经形成依赖的常客还是初来乍到的新客,并且利用这些数据“杀熟”,向常客收取更高的费用(详见《大数据杀熟?揭秘争议背后的真问题》http://www.xinhuanet.com/fortune/2018-03/27/c_1122594529.htm )。对于这些现象,我们直观地感到,垄断互联网的大企业获得并拥有我们这些普通用户的个人数据和行为数据,再用这些数据从我们身上牟利,甚至给我们带来了损害,这事儿似乎有点不对。
今天(2018年5月25日)以后,我们将得到一个响亮的答案:不是!我们的不爽是对的!互联网世界本不应该让我们如此不爽!
什么是GDPR
给出这个响亮答案的,是5月25日开始正式实行的《通用数据保护条例》(简称“GDPR”,全文见:https://gdpr-info.eu/ )。这份条例是由欧盟会议于2016年4月14日通过,经两年准备期之后,现在终于正式投入实行了。GDPR堪称史上最严格的数据保护法案,它的通过与实施意味着欧盟对个人信息保护及其监管达到了前所未有的高度。
透过这份条例的“原则”一章,我们就能看出它想要达到的几个关键目标:
对用户数据的处理必须服务于特定的、明确的、合法的目的,不能将用户数据用于该目的之外的其他目的。
必须尽量少地处理用户数据,尤其是能够明确识别用户身份的数据。
对用户数据的处理必须得到用户的同意,并且必须允许用户撤回对数据处理的同意。
用户同意的特定目的达成之后,必须立即删除用户的个人数据。
禁止处理可能造成歧视的个人数据,例如种族、民族、政治观点、宗教信仰、性取向等。
处理儿童的数据必须得到监护人的同意。
GDPR投入实施的第一个重要意义在于,它让我们这些普通用户清楚地看到,我们习以为常的很多获得、拥有和使用个人数据的方式,真的是有问题的。可以说,在互联网大企业的垄断力量面前,GDPR至少给了用户一种抗争的话语。现在我们知道应该批评这些大企业什么了。但这种批评有用吗?
GDPR的影响力
要理解GDPR的影响力,我们需要问三个问题:它覆盖的范围有多大?它对违规企业的惩罚有多重?以及,它如何强制执行这一惩罚?
作为欧盟颁布的条例,GDPR保护的对象是所有欧盟公民。但是,感谢联结万物的互联网,为了保护欧盟公民,受这一条例覆盖的机构是“任何机构,只要它收集、传输、保留或处理涉及到欧盟任何人的个人信息,不会考虑机构的地理位置”——基本上,可以认为这覆盖了整个互联网。
除了前所未有的严格要求,GDPR对于违规企业的惩罚也将是前所未有的重,最高额的罚款金额可能会达到企业年收入的4%。要对这个数字有些具体认识的话,苹果公司最近两年的年收入都超过了2000亿美元,所以假如苹果公司违反了GDPR的规定,那么罚金就有可能高达80亿美元。与其形成对比的是,如果在美国触犯了隐私保护条例,那通常情况下罚金的大概范围是几十万到几百万美金。
那么,如果中国的互联网公司违反了GDPR,欧盟处理的流程是怎样的呢?首先,欧盟成员国都会成立监管机构,任何欧盟公民都可以向其所在国家的监管机构发起投诉。同时,欧盟将设立“一站式”投诉服务,以便于消费者在欧盟内跨境投诉。对于在欧盟境内有分支机构的中国公司,分支机构将被作为责任主体来强制执行法律要求。 如果没有在欧盟境内设有机构,欧盟将缺席判决,一旦境外公司高管进入欧盟境内,将直接强制执行。
“我们遗憾地通知由于运营原因2018年5月20起停止为欧洲用户提供服务”
GDPR和我们有啥关系
猜不到中国的互联网巨头们到底怕不怕GDPR,也许我们可以测试一下?如果你感觉某个互联网产品未经你许可、超出你指定的目的使用了你的个人数据(比如说,我刚看完火影忍者漫画,另一个网站就给我推了一大堆跟火影忍者相关的信息……),也许我们可以找个持有欧盟成员国公民身份的朋友,让他/她向欧盟的监管机构发起投诉。不过必须坦白说,投诉流程到底应该怎么走,我还不知道,可能还需要更懂法律的同志们来研究一下。
内地网络用户感到“猜你感兴趣”功能泄露了自己的隐私
【另一个脑洞:中国公民只需要花大约800人民币就可以申请爱沙尼亚电子公民身份(https://e-estonia.com/)。不知道爱沙尼亚电子公民是否会被定义为受GDPR保护的“数据主体”呢?如果是,发起对中国互联网企业的投诉就更容易了……】
到现在为止我们还没有看到欧盟给违反GDPR的企业开出罚单。假如某一天真有了前车之鉴,或许中国的互联网巨头们也会从善如流,以更谨慎、更注重隐私权的方式来使用我们的个人数据。我们同时也希望政府相关部门从善如流,以GDPR为参考,认真考虑一下网络隐私权的重要性,拿出对互联网巨头们更有约束力的本土实施办法来。
美编:黄山
閱讀更多 土逗公社 的文章
