歐盟的新數據隱私保護條例GDPR已經於本週五(5月25日)正式在歐盟的28個成員國生效。 這項法律針對的是那些收集、存儲或處理大量關於歐盟居民訊息的公司,要求這些企業在他們所擁有的數據以及與誰分享數據這些方面更加透明。 這也意味著,任何在歐盟擁有數字業務的公司(目前仍包括英國)將不得不遵守該法律,否則將面臨嚴重的處罰,比如Facebook等跨國大公司。
自歐洲議會於2016年4月通過該法案以來,其將在2年內生效的最後期限已經到期。
今年3月,當Facebook的「劍橋分析公司」醜聞曝光時,隱私維權人士也將其作為一個最引人矚目的例子,來說明為什麼網際網路用戶可能希望對誰能訪問他們的數據進行更多的控制。 4月份,祖克柏在美國國會發表的證詞中,他對美國國會議員們說:「我認為,總的來說,GDPR對網際網路來說將是非常積極的一步。」
接著他繼續討論了Facebook將收緊數據政策的計劃,保護用戶免受進一步洩密的影響,並對在網站打廣告變得更加透明。
不僅僅是像Facebook這樣的家喻戶曉的公司將不得不遵守GDPR。醫療保健提供商、保險公司、銀行和任何其他處理敏感個人數據的公司都將面臨困境。
GDPR將對人們的網路足跡、使用的APP和服務如何保護或利用這些數據產生重大影響。
下面我們將對有關GDPR人們最關心的問題進行解讀: GDPR是什麼?
一般數據保護條例(General Data Protection Regulation)是一項全面的法律,賦予了歐盟居民對個人數據的更多控制權,並試圖澄清在線服務商在收集、利用歐洲用戶個人數據的規則和責任。
它取代了1995年通過的歐盟關於數據保護的法律,並對現有的公約做出了一些重大改變。 該規定擴大了公司必須考慮到的個人數據範圍,並要求他們密切跟蹤他們存儲的歐盟居民的數據。如果歐盟的某個人想要一個公司刪除他或她的數據,發送數據副本,或者更正數據中的錯誤,該公司必須遵守。
GDPR甚至比這還要更進一步。
歐盟居民現在可以反對公司使用他們數據的具體方式。
但只要公司停止將這些訊息用於特定目的,他們就不介意這家公司保留這些數據。
更重要的是,GDPR要求公司需要在數據洩露的72小時內通知用戶——目前還很少有公司做到這點。
例如,在美國個人信用評估機構Equifax的洩露事件中,美國和其他地區的數百萬人的個人訊息暴露無遺,該公司花了數週時間來阻止攻擊,然後在通知公眾之前製定好如何處理損失的計劃。
歐盟將如何執行GDPR?
歐盟的每個成員國都將有自己的執行機制,每個國家都將有一個GDPR主管。
居民可以向各自國家的管理機構投訴。
違反該法律的公司將面臨可能非常嚴重的罰款。
對GDPR違規的最大罰款是2000萬歐元,或者一家公司年度全球收入的4%,將取兩者中的較高者。 GDPR何時生效? 週五(5月25日)。
該條例於2016年獲得批准,並設置了為期兩年的「實施期」,好讓所有企業和組織做準備。這一寬限期將於2018年5月25日結束,這意味著執法將正式開始。
GDPR只適用於歐盟的公司嗎? 不——這就是為什麼它是個重大國際新聞的原因。GDPR適用於任何收集、處理、管理或存儲歐洲公民數據的組織,包括大多數主要的在線服務和收集、處理、管理或存儲數據的企業。
正因為如此,GDPR本質上是為數據保護設置了一個新的全球標準。 GDPR能保護什麼數據? 該規定適用於廣泛的個人數據,包括一個人的姓名和身份證號碼。它還能保護一個人在網上和現實世界中所做活動的訊息數據。
這包括位置訊息,以及IP地址、cookies和其他數據,這些數據可以讓公司在用戶瀏覽網際網路時追蹤他們。
這將如何影響Facebook和其他社交媒體公司? 許多大型在線服務和社交媒體公司正在更新他們的隱私政策和服務條款,為新立法做準備。考慮到劍橋分析公司的醜聞,以及過去對該公司數據收集的擔憂,Facebook的回應肯定會受到歐洲監管機構的密切關注。 其中包括2007年圍繞該公司備受爭議的Beacon廣告計劃,該項目在合作夥伴網站上播出用戶活動。
除此之外,當Facebook和它的子公司Instagram聲稱擁有用戶的個人資料和照片時,這引起了用戶的憤怒。GDPR讓我們更清楚地知道,這類活動是不合適的。
祖克柏4月10日在參議院司法委員會和商業委員會的聯合聽證會上作證時表示,在用戶同意放棄數據之前,他「原則上」支持為用戶提供類似於GDPR的選擇標準,但他並沒有承諾,並補充說「細節是很重要的」。
非歐盟居民會受到影響嗎? Facebook、微軟、Twitter、蘋果和其他公司都向歐盟以外的用戶提供了一些額外的數據權限。
但這些權限並沒有法律效力,這意味著如果你不是歐盟居民,你就不能因為他們違反了GDPR而對微軟提起訴訟。
雖然你只有在公司說你擁有這些權利的時候,你才真正享有這些權利。
但這也確實表明,歐洲的監管正在改變大公司對待用戶數據的方式。
另一種影響你的方式是,你在過去幾個月裡可能會收到大量的隱私政策更新。
許多公司在GDPR生效前製定了新的隱私政策,然後他們也會同時告訴你這一切。 歐盟能對Facebook在過去「犯的錯」進行罰款嗎? 似乎不能。
在一次接受Bloomberg的採訪時,歐盟司法專員Vera Jourova表示,新的GDPR規定「不能適用於劍橋分析公司醜聞,因為並不存在任何追溯性的可能。」
GDPR將如何影響黑客攻擊和入侵?
GDPR要求那些對客戶數據失去控制的公司,或者已經被黑客入侵的公司,在72小時內通知用戶。這是最高刑罰的規則之一。
例如,如果Facebook被發現未能遵守這個規則,它將承擔高達16億美元的罰款(基於其2016年的年營收400億美元)。 GDPR對未成年人是否有特殊保護?
GDPR要求企業和組織獲得父母的同意,才能處理16歲以下兒童的個人數據。