欧洲新隐私法规《通用数据保护条例》(GDPR)近日生效。路透社评论称,GDPR将迫使企业更加关注如何处理客户数据,同时也让消费者能很好地控制数据,并且其隐私权也能得到更严格的保护。
欧盟GDPR将取代1995年的旧规。本次新条例预示着一个时代的到来:对于违反隐私法的企业,欧盟监管机构将可以获取该企业全年收入的4%作为罚金,或是直接处以2000万欧元(约2348万美元)的罚款。具体罚金数额取决于这两个数字哪个更高,这远超之前几十万欧元的罚金。
世界各地的许多隐私维权人士都称赞这项新规是互联网时代个人数据保护的典范,并呼吁其它国家效仿欧洲模式。不过,批评人士说,新规定过于繁琐——尤其是对小型企业而言。而广告商和出版商则担心,这将加大他们寻找客户的难度。
《通用数据保护条例》澄清并加强了现有的个人隐私权利,例如用户有权删除数据,并有权要求公司提供一份个人数据的副本。但它也包括了一些全新的授权,比如要求将数据从一个服务提供商转移到另一个服务提供商,以及限制公司使用个人数据,等等。
“如果你将《通用数据保护条例》与数据保护指导意见(data protection directive)进行比较,你会发现,这就像是一款软件从1.0升级到2.0,”律师事务所DLA Ppier的合伙人帕特里克·范艾克(Patrick Van Eecke)表示。
“这是一个渐进的过程,而不是一种革命性的东西……然而,对许多公司来说,这却是一个巨大而又突兀的警钟,因为他们从来没有事先对此做过功课。他们从来没有认真对待过数据保护指令。”
活动人士已经在计划利用访问个人数据的权利来扭转大型互联网平台们独霸话语权的局面——这些平台的商业模式依赖于无数用户的个人信息。这意味着,企业必须制定出应对新监管条例的程序,并对员工进行培训,因为任何不合规行为都可能导致严厉的制裁。
研究表明,许多公司还没有为新规定做好准备。
国际隐私专业协会(The International Association of Privacy Professionals)发现,受新条例影响的公司中,只有40%的公司在5月25日之前会完全遵守规定。
可以移植数据的权利
目前还不清楚条例中有多少条款将会得到解释和执行。许多欧洲监管当局表示自己资金不足以监督新法律的实施。它们将在一个统一的中央监管机构的管理下应对新形势。
新条例中的一个关键条款——数据可移植性的权利,正在引起特别大的争论。律师和专家表示,目前还不清楚将数据从一个服务提供商转移到另一个服务提供商的个人权利能有多大。
“我认为数据的可移植性是非常重要的,因为人们要花一段时间才能弄清它们的界限是什么,以及如何去遵守它们,”英特尔的安全政策和全球隐私办公室主管大卫·霍夫曼(David Hoffman)说。
例如,像Spotify这样的音乐流媒体服务是基于用户们的音乐喜好来为他们创建播放列表。当一个用户想要行使数据可移植性的权利时——即他或她想转移自己创建的播放列表到其他音乐流媒体服务提供商那里时,如果播放列表是由流媒体服务所使用的算法创建的,那么情况就会变得很复杂了。
欧盟数据保护部门表示,个人应该能够任意传输由他们自己创造出来的数据,而不是由服务提供者(如算法)所创建的“派生数据”。英国年利达律师事务所(Linklaters)的Tanguy Van Overstraeten表示,数据可携性的权利可能会引发知识产权问题。他说:“你如果要将数据从你的系统迁移到其他人的系统中,其实是很不为人知的一种行为。”
责任日增
在业务方面,企业正急于与供应商和服务提供商重新谈判合同,因为如果出现问题,《通用数据保护条例》会让他们的日子很艰难。
在现行的旧规则下,通常是由公司来决定数据收集的目的(无论这些收集是否涉嫌违法)。但《通用数据保护条例》改变了这一点:以前仅仅是代表其客户来处理或存储数据的数据处理者(如云计算供应商)将直接承担责任、面临制裁(如果有违法行为的话),并可能会直接面临来自个人的诉讼。这些都需要在新合同中反映出来。
一个公司可能有成百上千份的协议,但它们都需要被重新审阅一遍,以确保它们能达到新条例的严格要求。“经过20年的数据保护立法,难道直到现在《通用数据保护条例》出台了,(公司们)才开始考虑:我在整个故事中的角色是什么?我到底只是一个数据保管者呢,还是数据处理者呢?”范艾克说。(青卡)