这几天,GDPR成为网络上大家热议的话题,如果你的邮箱注册过的互联网服务足够多的话,可能也会被很多厂商发来的隐私条款更新的邮件轰炸。
那么,GDPR到底是什么?它会对普通用户、企业产生哪些影响呢?今天我们就来探讨下这些问题。
GDPR是什么?GDPR是英文“General Data Protection Regulation”的缩写,通常翻译为“通用数据保护条例”。它由欧盟推出,目的在于遏制个人信息被滥用,保护个人隐私。
其实,GDPR早在2016年4月就已经推出,但欧盟给了各大企业两年的缓冲时间,正式生效日期为2018年5月25日。这几天大家被各种隐私条款更新信息刷屏就是这个原因。
GDPR在欧盟法律框架内属于“条例”,此前已经在欧洲议会(下议院)和欧盟理事会(上议院)通过,可以直接在各欧盟成员国施行,不需要各国议会通过。目前欧盟有28个成员国,大约有5亿多人可以直接得到GDPR的保护。值得一提的是,虽然英国已经启动脱欧程序,但也同样批准了GDPR,并且同样从5月25日开始正式推行。
根据GDPR的规定,企业在收集、存储、使用个人信息上要取得用户的同意,用户对自己的个人数据有绝对的掌控权。
用户有哪些权利?GDPR对个人用户在隐私数据方面享有的权利做了非常详尽的说明,我们把其中比较核心部分提炼出来。
查阅权
用户可以向企业查询自己的个人数据是否在被处理和使用,以及使用的目的,收集的数据的类型等。
这项规定主要是保障用户在个人隐私方面的知情权。
被遗忘权
用户有权要求企业把自己的个人数据删除,如果资料已经被第三方获取,用户可以进一步要求它们删除。
在现实生活中,一个比较直观的例子就是,如果在一个社交平台上注册了一个账号,企业要给用户提供一个注销的渠道。就国内来说,现在提供简单明了的注销入口的厂商并不多。
当然,GDPR还规定,被遗忘权不能和公共利益相冲突。例如,如果一个小偷因为偷窃被媒体报道,他不能以被遗忘权为依据,要求各大新闻平台删除和他相关的个人信息。
限制处理权
如果用户认为企业收集的个人数据不准确,或者使用了非法的处理手段,但又不想删除数据的话,可以要求限制它对个人数据的使用。
例如,我们日常使用手机时经常会碰到这样的情况,在购物网站上浏览某件商品后,在使用新闻、音乐等APP时,就会经常跳出和那件商品类似的广告。
数据移植权
数据移植权比较好理解,用户从一家企业转投另一家企业时,可以要求把个人数据带过去。前面一家企业需要把用户数据以直观的、通用的形式给用户。
举个例子,如果想从网易云音乐转到腾讯音乐,用户有权把网易云音乐上的歌单等数据导出来。
当然,GDPR对这项权利没有做出强制性的规定,并且有“技术可行性”的前提条件。也就是说,如果苹果说因为iOS和安卓数据无法通用,iPhone应用列表无法转移到安卓上,也不算违法。
GDPR对企业有什么影响?除了明确用户在个人信息上的安全,GDPR对企业在处理个人数据方面也做出了非常细致的规定。
首先,企业在收集处理用户信息时需要实现征得同意,而且隐私条款需要以清晰、简洁、直白的语言或其他形式向用户说明。这方面,谷歌等公司就做得比较好。
虽然谷歌已经退出了大陆市场,但隐私条款依然有简体中文版。此外,在解释谷歌广告的运行原理时,官方采用了简洁明了的文字和图片进行说明,即使对技术、互联网不了解的用户,也能短时间内看懂。
其次,GDPR对企业违法行为的惩处力度非常大,行为轻微的要罚款1000万欧元或全年营收的2%(两者取最高值),行为严重的则要罚款2000万欧元或全年营收的4%(两者取最高值)。
鉴于GDPR的条款非常细致和严苛,很少有企业敢保证自己完全不会触犯这部法律。对一些中小企业来说,巨额罚款无异于灭顶之灾。而即使是亚马逊这样的科技巨头,营收的4%基本已经超过了净利润。
因此,GDPR生效后,部分企业的网站和服务直接屏蔽了欧盟地区;有的则直接对欧盟用户放出了极为简陋的纯文字版网站,给人的感觉像是一夜回到二十年前。
(美国公共广播电台的纯文字版网站)
理论上说,企业可以为欧盟提供一个特殊版本的服务或产品,并制定另一套隐私条款。但对部分企业而言,直接退出可能是最简单的办法。
当然,有的企业也会为了展示自己的在尊重保护个人数据方面的诚意,在欧洲以外地区同样遵循GDPR。
此外,按照GDPR的规定,出现个人数据泄露后,企业要在72小时内向监管部门报告,企业还要配备熟悉GDPR条款的数据保护专员,和监管部门保持沟通。这项规定出台的直接原因应该是此前的亚马逊、Facebook隐私泄露事件。
总体而言,GDPR是欧盟给企业打造的一顶严厉的紧箍咒,在保护个人信息安全方面,它们将会面对空前的压力。
小结GDPR堪称是史上最严厉、最翔实的一部保护用户数据安全的法律,在用户的角度来看,它是对目前愈演愈烈的个人信息安全问题下的一剂猛药。因此,不少人会欢迎鼓舞。对身处欧洲之外、作为普通用户的我们来说,也会因为“沾光”而获得部分利益。
但是,凡事皆有两面性。过于严苛的隐私保护条例和高额的罚款会让部分企业直接退出欧洲市场。此外,GDPR在实际执行时也会面临着不少挑战,欧盟成员国之间的法律制度不尽相同,部分国家监管部门部分甚至对GDPR知之甚少。部分条文也存在争议,例如,公共利益这样抽象的概念在现实中应该如何去界定。
当然,总得来说,在个人数据安全保护上,欧洲人已经向前踏出了一大步。究竟未来会产生怎样的影响,现在尚不明确,但现在至少有人开始尝试了,它的成败得失都可以成为提供给我们的宝贵经验。