歐盟史上最嚴網絡數據管理法規生效

• 2018年5月25日 FanTianQing來源：新浪網 290 11
• 繁體

• 

  2018-2023年中國IT電子市場深度全景調研及“十三五”發展前景預測報告

  在激烈的市場競爭中，企業及投資者能否做出適時有效的市場決策是制勝的關鍵。IT電子行業研究報告就是為了解行情、分析環境提供依據，是企業了解市場和把握發展方向的重要手段，是輔助企業決策的...

5月25日起，歐盟網絡數據隱私保護新規《通用數據保護條例》（General Data Protection Regulation，GDPR）將在歐盟全體成員國正式生效。

歐盟史上最嚴網絡數據管理法規生效。

從4月傳出的QQ國際版在歐洲停止服務傳言，到Facebook創始人扎克伯格現身歐洲議會接受質詢，其背后的大背景都是史上最嚴的網絡數據管理法規即將在歐盟生效。

5月25日起，歐盟網絡數據隱私保護新規《通用數據保護條例》（General Data Protection Regulation，GDPR）將在歐盟全體成員國正式生效。據媒體報道稱，這被廣泛認為是歐盟有史以來最為嚴格的網絡數據管理法規。這一條例全面加強了歐盟所有網絡用戶的數據隱私權利，明確提升了企業的數據保護責任，并顯著完善了有關監管機制。

歐洲《通用數據保護條例》雖然是歐盟地區的法案，卻對全世界科技公司的產品、運營等多方面產生了重大影響。因為該項法規擁有域外效力，歐盟以外的公司也可能要受到該法案的監管。

5月22日，馬克·扎克伯在歐洲議會接受質詢時已經表態，Facebook將會在5月25日符合《通用數據保護條例》的要求。他還補充道，很多歐盟用戶已經閱讀并同意了平臺上符合《條例》要求的新隱私政策。

《通用數據保護條例》的前世今生

歐盟5月25日將生效的《通用數據保護條例》是對其1995年《數據保護指令》的修訂、拓寬和升級。

據報道，《數據保護指令》為當時歐洲國家立法保護個人數據設立了最低標準。隨著互聯網行業的迅猛發展和用戶數據的爆發式增長，歐盟在2012年提出改革數據保護法規，旨在幫助民眾進一步保護個人信息，幫助企業利用“單一數字市場”帶來的機遇。2015年6月，歐盟成員國的司法及內政事務部長會議就五項原則達成一致，而這些原則也構成了新規的重要框架：

“同一個大陸，同一套法規”，即在歐盟范圍內建立起一套法規；

“強化‘被遺忘權’”，即如果無必要的法律依據，用戶可以要求互聯網企業從網絡搜索結果中移除個人信息；

“歐洲境內適用歐洲法律”，即設在歐盟以外的企業如果要在歐盟范圍內提供服務，也需要遵守歐盟法律；

“強化各國數據保護機構權力”，并允許各成員國的數據保護機構對違法者處以高額罰金；

“一站式服務”，即企業和用戶都只需與一個國家的監管機構打交道。

歐盟《通用數據保護條例》是一個具有里程碑意義的法案。它不僅規定了數據應被如何處理、保存、使用和交換，還意圖在當下公司普遍收集用戶數據的情況下，讓消費者擁有對自己個人數據的控制權。

2016年4月，歐洲《通用數據保護條例》獲得通過，2018年5月25日正式生效，通過和生效之間，有兩年的適應期，讓企業進行調整，以符合《通用數據保護條例》要求。

值得注意的是，該法案雖然由歐盟設立，但它不僅適用于歐盟本土公司，而是擁有域外效力。對歐盟以外的公司，只要它們向歐盟提供商品或服務、追蹤歐盟民眾的行為，都必須受到該法案的監管。

Squire Patton Boggs律師事務所倫敦分所合伙人Ann J. LaFrance、上海分所資深法律顧問詹智鷹對記者解釋，即使一家中國公司在歐盟沒有員工或運營，只要它在歐盟提供數字化的商品或服務，有行為或監測行為發生在歐盟，它依舊有可能直接受到《通用數據保護條例》要求的制約。

大型科技公司往往跨國運營，業務遍及全球。因此，谷歌、Facebook、騰訊、阿里巴巴等在歐洲運營的大型跨國科技公司，均必須讓自己在當地業務運營符合歐洲《通用數據保護條例》的要求。除科技公司之外，《通用數據保護條例》適用于所有類型的公司，LaFrance和詹智鷹介紹，某些具體的行業立法對特定行業提出了補充要求，比如，電子隱私權（e-Privacy）法規適用于通信運營商。

《通用數據保護條例》嚴在哪

那么，《通用數據保護條例》到底嚴在哪兒呢？

（1）獲取用戶同意的細節要求：同意后必須容易撤回

按照《通用數據保護條例》要求，公司必須向它們的歐洲消費者具體說明，在何種允許下，公司持有哪些用戶的個人身份數據，如何使用這些數據，并獲取用戶的同意。獲取個人信息的同意請求必須清晰、容易找到。

值得注意的是，獲取用戶同意時，默認選項必須是保護隱私的選項（Privacy by Design），用戶已經提交了的同意請求也必須容易撤回。此外，對于16歲以下少年兒童，監護人要代表他做出數據收集的授權。

（2）企業持有和刪除、轉移數據的要求：用戶可以要求公司清楚個人數據

除了對征得用戶同意做出細致規定，《通用數據保護條例》對企業如何持有數據，也做出了具體規定。其中數據的“被遺忘權”和“可轉移權”是當下企業較難做到的，即用戶可以要求公司清除其個人數據，并禁止第三方獲取這些數據；用戶也可以帶著他們的數據轉移去不同的服務提供商。

（3）數據保護范圍擴大：政治傾向被列為敏感數據

《通用數據保護條例》擴大了數據的保護范圍，對個人敏感數據做出定義：新規適用于個人數據，包括姓名，電話號碼，位置信息，在線身份信息；以及個人敏感數據，包括：種族、性別及性取向、政治傾向、宗教信仰、生物數據、醫療狀況、犯罪記錄。

（4）發生信息泄露需72小時之內通知

如果發生了高危信息安全泄露，公司必須在事故發生72小時內通知權威機構及受影響的個人。

（5）任命數據安全官

符合相應要求的公司，包括大規模監控的公司、處理與犯罪信息有關數據的公司等，必須雇傭或任命從事數據保護的管理人員。

（6）罰款2000萬歐元起，可能高達公司年度營業額4%

如果違反歐洲《通用數據保護條例》，公司可被判處其全球年度營業額4%或2000萬歐元的罰款，選擇二者中較高的數值判罰。對跨國科技巨頭來說，年度營業額的4%的罰款額非常巨大。2017財年Facebook營收為406.53億美元，4%即為16.3億美元。

延伸閱讀

推薦閱讀

猜您喜歡