近幾個月,臉書公司因為被揭發在用戶數據大規模洩露之後長時間隱瞞不報,遭到廣泛批評。
5月25日在歐盟全體成員國正式生效的《通用數據保護條例》被認為是歐盟有史以來最為嚴格的網絡數據管理法規,其最大的特點在於限制企業對個人用戶數據的使用權。換言之,未來大企業,尤其是互聯網公司在使用用戶個人數據前必須先徵得用戶的同意。
而在歐盟新規下,企業一旦發現用戶數據洩露,必須在72小時內向監管機構報告。
嚴格地說,受該條例管轄的不僅僅是傳統意義上的互聯網公司。歐盟這一新條例賦予了歐盟域外管轄權。
德國資深法律顧問羅伯特·費希納認為,歐盟《通用數據保護條例》會讓企業有很強的危機感,而且基本上所有的企業都會被牽涉其中。他說:“之所以推行歐盟《通用數據保護條例》,主要是為了保護公民或者個人用戶的數據與隱私權,所以該條例對企業應如何處理以及更好地保障隱私數據作出了嚴格規定。至於說哪些企業會受到該條例的約束,答案是所有在歐洲運營業務的公司,不論業務範圍是什麼領域或者是以什麼樣的形式。中國企業當然也會被涉及,比如那些賣東西到歐洲的網站都需要收集和處理用戶的一些基本信息。”
一段時間以來,歐盟地區網民紛紛收到互聯網公司修改“用戶政策”的提示。
記者注意到,以Google、Facebook、Airbnb為首的全球性互聯網企業已經紛紛修訂了隱私政策,並上線了相關的隱私控制工具,幫助用戶更便捷地瞭解自己的權利。
在歐盟層面,增設歐洲數據保護理事會這一新機構;在歐盟成員國層面,各國數據監管機構的檢查、執法、處罰以及司法機制安排也得到了明確界定。
納入新規保護範圍的用戶數據種類全面細緻。除了姓名、地址、證件號碼、網絡IP地址等通常意義上的個人信息,以及指紋、虹膜等生物識別數據、醫療記錄等十分隱私的個人信息,新規還涵蓋了例如用戶的種族、宗教信仰甚至性取向等多方面信息。
對於跨國網絡巨頭而言,一旦在歐盟違規,很可能將面臨“天價”處罰。條例規定,對未採取技術或管理措施來避免、降低隱私侵權損害風險的互聯網公司,最高可罰款1000萬歐元或全球營業額的2%(以較高者為準);對違反個人信息收集和使用基本原則以及沒有保障數據主體權利的互聯網公司,最高可罰款2000萬歐元或全球營業額的4%(以較高者為準)。
根據條例,用戶可以要求掌握其數據的企業刪除其個人數據、避免個人信息傳播。而可攜帶權將使用戶有權向企業索取本人數據,並自主決定用途,這意味著用戶將能夠像管理金融資產一樣對個人數據信息進行“搬家”。
新規還確立了被遺忘權、刪除權、可攜帶權等一系列用戶權利。
對於用戶而言,歐盟新規還允許他們有權要求監管機構在規定時限內對違規行為進行調查。
在明確賦予用戶權利、大幅強化企業責任之外,這一條例還規範了監管安排機制。如數據監管機構調查不力,用戶則有權向法院提起訴訟,以更好地保護用戶權利。
閱讀更多 GET資訊 的文章
