5月27日消息,據路透社報道,歐洲新的隱私保護條例於當地時間週五開始生效,這將迫使企業在處理客戶數據上更加謹慎。
從生效第一天起,就可以看到該條例產生的巨大影響力。在歐洲部分國家,人們已無法訪問美國一些主要新聞媒體的網站,其中包括了《洛杉磯時報》和《芝加哥論壇報》。
在歐盟,人們發現自己遭受了海量電子郵件的轟炸,這些電子郵件是互聯網公司發來的,要求他們同意讓它們繼續處理他們的數據。而一名隱私維權人士也沒有浪費時間,立即對美國科技巨頭提起了訴訟,指控後者限涉嫌違法,強迫用戶接受咄咄逼人的服務條款,否則將失去訪問權限。
奧地利的馬克斯·施雷姆斯(Max Schrems)在提起訴訟前表示:“你必須擁有‘是或否’的選擇。現在,許多互聯網公司迫使你同意它們新的隱私政策,這完全是違法的。”
歐盟《通用數據保護條例》(GDPR)將取代1995年推出的《數據保護指令》,預示著歐盟進入了一個新時代:違反隱私法的公司可能被罰全球年營收的4%或2000萬歐元(約合2350萬美元),具體處罰結果視哪個金額更高,而不像過去那樣僅僅是區區幾十萬歐元。
歐洲隱私監管機構表示,他們已經準備好隨時展示自己的力量,但不會成為一臺“制裁機器”。
愛爾蘭數據保護專員海倫·迪克森(Helen Dixon)表示:“這種強制用戶同意隱私政策的做法,是我們將立即關注的一個問題,調查工作已經開始了。”她領導的機構負責監管美國科技巨頭Facebook和谷歌。
許多隱私維權人士稱讚這部新法律是互聯網時代個人數據保護的典範,並呼籲其它國家在隱私保護上效仿歐洲的模式。
但批評人士稱,新的規定過於繁瑣,尤其是對小型企業而言。廣告商和出版商則擔心,這將使他們更難找到客戶。
GDPR進一步明確並強化了現有的個人權利,例如用戶有權刪除個人數據,並有權要求公司提供一份個人數據的副本。
同時,它也讓個人擁有了多項全新的權利,如可以將個人數據從一個服務提供商轉移至另一個服務提供商的權利,以及限制公司使用個人數據的權利。
英國DLA Piper律師事務所合夥人帕特里克·範·埃克(Patrick Van Eecke)指出:“GDPR是一個漸進性產物,但不是一種革命性的東西……然而,對許多公司來說,這是一個巨大的警鐘,因為他們從來沒有履行這方面的責任。他們從未認真對待《數據保護指令》。”
隱私維權人士已計劃利用GDPR所賦予的新權利來訪問自己的數據,以扭轉目前互聯網平臺對個人數據保護不力的狀況,這些平臺的業務模式依賴於對個人信息的處理。
這意味著,企業必須制定處理用戶此類要求的工作程序,並對員工進行培訓,因為任何不合規行為都可能招致嚴厲制裁。
研究表明,許多公司還沒有為新規定做好準備。國際隱私專業協會((IAPP))發現,受GDPR影響的公司中,只有40%的公司能在5月25日之前完全遵守規定。
數據可移植的權利
目前還不清楚,GDPR有多少條款將能得到解釋和執行。歐盟各國的數據保護機構將監督這部新法律的實施——其中許多機構表示自己資金不足,同時由一家中央機構來解決法律實施過程中產生的衝突。
GDPR的一個關鍵條款是關於數據可移植的權利,正在引起巨大混亂。
英特爾副總法律顧問、全球隱私官大衛·霍夫曼(David Hoffman)表示:“我認為數據可移植的權利非常重要,而人們需要一段時間才會明白它的邊界是什麼,以及如何去遵守它。”
例如,像Spotify這樣的音樂流媒體服務會基於用戶的音樂喜好為用戶創建播放列表。當一個用戶想要行使數據可移植的權利時,他(或她)創建的播放列表是可以轉移的,但如果播放列表是由該流媒體服務使用算法創建的,情況就變得複雜了。
歐盟數據保護部門表示,個人應該能夠轉移由他們自己提供的數據,而不是由服務提供者創建的“派生數據”,如算法結果等。
英國年利達律師事務所(Linklaters LLP)的湯歸伊·範·奧斯特拉滕(Tanguy Van Overstraeten)指出:“對於如何將個人數據從一個系統遷移到其他系統,新的法律規定的不是很清楚。”
在企業方面,企業正急於與供應商和服務提供商重新談判合同,因為如果出現問題,GDPR會增加他們的責任。
雲計算供應商等數據處理者僅代表其客戶處理或存儲數據,但根據新法律,它們將直接承擔責任並可能面臨個人的訴訟,這些都需要在新的合同中反映出來。
閱讀更多 資訊解讀 的文章
