通用数据保护条例(General Data Protection Regulation),简称GDPR,是欧盟秉着“顾客优先”的态度出台的个人数据保护新规。该规定于2016年4月14日出台,于2018年5月25日正式实施,面向所有收集、处理、储存、管理欧盟公民个人数据的企业,限制了这些企业收集与处理用户个人信息的权限,旨在将个人信息的最终控制权交还给用户本人。

历史背景

早在1980年,由20个欧洲经济共同体成员国、美国和加拿大等国构成的经济合作与发展组织(OECD)便提出了一份关于“保护隐私和个人数据跨境流动”的指导方针,其中提出了“知会用户、目的明确、用户同意、信息安全、明确收集方、用户查验、追责渠道”七个关键词,对企业使用、收集和保存用户数据的目的、步骤和数据的跨境流动做出了基本限制。虽然如此,由于该法案对于其成员国没有约束力,成员国间的隐私保护条例并未得到实际统一。

1995年10月,欧洲议会通过了“资料保护指令”(Directive 95/46/EC)。该指令的主要内容仍围绕上述“指导方针”中的七个关键词,提出企业对个人数据的处理须遵守透明、目的合理、数据完整准确等标准,并规定个人数据若要流向欧盟以外的第三方国家,必须满足该国家有同等个人隐私保护条例的前提。但不同于指导方针,“资料保护指令”对于欧盟成员国具有约束力,并规定成员国须于1998年年底前将该指令转化为法律在各国内实施。

2012年1月,欧盟委员会宣布即将通过一个全新的“通用数据保护条例”,取代之前各欧盟成员国根据“资料保护指令”的相关立法,并称为欧盟各国间的唯一、统一的数据保护条例。其主要目的还包括优化数据流向欧盟外国家的管理办法,以及增强用户对于其个人信息的控制。经过四年酝酿,欧盟通用数据保护条例(GDPR)最终于2016年通过,并设置两年缓冲期,于2018年5月25日正式实施。

GDPR详细内容与执行现状

相比“资料保护指令”,数据保护条例在条例适用范围、个人数据处理方式以及监督管理上有以下几大主要特点。

重新定义“个人信息”

资料保护指令(1995)仅将个人信息定义为姓名、地址、照片等直接信息;而GDPR(2016)对个人信息的定义不仅包括直接信息(姓名、住址、电话号码等),还包括网络信息(IP地址、Cookies等)和间接信息(包括所有可追溯至某一特定个人的生理、心理、基因、文化等特征)。

适用范围增大

资料保护指令(1995)的适用范围为所有欧盟境内运营的企业和所有使用位于欧盟内的设备处理数据的企业;而GDPR(2016)的适用范围扩大为所有处理欧盟成员国公民个人信息的企业,无论该公民的现居住地是否在欧盟境内。

优化数据处理体系

GDPR规定企业必须将保护个人信息和数据融入到对于产品的最初设计和公司日常的运营中去,推荐方法包括拟定假名或加密个人数据。

责任共担

过去,收集和使用数据的数据拥有者需要对数据保护负责。如今,史无前例的,数据处理者(如提供数据处理服务的云服务提供商等)也需要直接承担合规风险和义务。在数据保护层面上,数据供应链自上而下的各方都会被问责。网络公司必须与合作伙伴们明确各自的责任和义务。

取得用户批准

GDPR规定企业必须获得数据提供者关于某明确合法用途的授权,并可出示数据获取方法的证明。在企业申请用户授权时需阐明:用户数据使用方的身份与联系方式、取得数据的目的与使用方式、数据是否会被跨境传输、数据存贮时长等。

保护消费者权益

用户可随时查看、修改、移动、删除数据,并要求企业开具数据备份及数据使用方式。用户也拥有随时取消授权和抗议的权利。当获取数据时所述的目的不再适用或用户不再允许企业使用该数据,GDPR规定企业必须删除用户信息,同时将用户的数据清除请求告知第三方处理机构。

对于儿童的特殊保护

由于儿童相较于成人对于个人隐私泄漏的风险更不敏感,GDPR规定对于16岁及以下的儿童的个人信息处理须经过其监护人同意。

监督管理

发现违规后及时通知监管人员

GDPR规定欧盟成员国每国设一位监督人员并建立相应的执行机制,需要处理大量敏感数据的企业亦需聘用一位数据保护官(Data Protection Officer)监督企业操作的合规性。若企业发生数据泄漏,并可能危害用户的个人权利和自由时,企业必须在发现数据泄漏72小时内通知监督人员。但由于该法案刚刚投入实施,具体的监管体系还有待完善。

处罚力度增强

GDPR建立了严格的处罚机制。若企业违规记录用户个人数据、违规后未及时通知监管人员、存在数据安全问题、违反隐私影响评估等相关条例,最高可处以1000万欧元或其全球年营业额2%的罚款;若企业违规内容涉及未经用户同意使用数据、侵犯用户人权或非法跨境流通数据,最高可处以2000万欧元或其全球年营业额4%的罚款(两者取较高值)。

执行现状

据了解,虽然GDPR的效力层级在欧盟是“条例”,编号为EU-DSGVO,其效力仅次于宪法,但部分企业与欧盟成员国仍未做好准备。2016年秋季面向云服务供应商的客户进行的感知调查显示,仅6%的企业被认为是符合GDPR、无需在新的规定条款框架下重新商谈合同;而91%的企业出于对数据处理的复杂性和成本的考虑,对自身能否符合GDPR表示出担忧。目前,在欧盟28个成员国中,有12个国家已经正式更新了其国内法,将GDPR嵌入其中,同时还有8个国家告知欧盟委员会将在近期尽快完成其立法程序,但仍有8个欧盟国家5月25日后在GDPR同其国内法融合方面毫无作为。欧盟方面表示,已经对上述国家做出了警告,请他们尽快更新法律系统,否则将把他们告上欧洲法院。

主要影响

各方关于GDPR出台对于在欧洲运营公司的影响说法不一。欧盟委员会认为GDPR的出台为欧洲个人数据处理方式设立了统一标准,并可鼓励企业创新与节约企业运营成本。该委员会预计GDPR的出台将每年为企业在欧洲的运营节省23亿欧元。而埃森哲的报告则显示GDPR的出台将强制改变云技术商以及其合作伙伴改变运营方式,并使创新和发展速度放慢。

由于最近的Cambridge Analytica数据丑闻及之前的屡次数据泄漏,脸谱公司此次应对GDPR的措施广受关注。相比之前的相关规定,GDPR明确否定了以脸谱为首的社交媒体企业之前对于个人信息一些处理方式的合法性。

据美国CNET报道,脸书、微软、推特、苹果等公司不仅修改了其在欧盟境内对于用户个人数据的处理方式,还面对欧盟境外的公民开放了更多对于个人信息的权利。虽然在欧盟境外GDPR并无约束力,但这些公司的举措说明了该欧盟新规对于主流企业处理用户信息的影响力。

埃森哲大中华区首席创新官刘东在中国大数据博览会上表示:“GDPR是一个比较好的契机,让我们的企业审视自己的隐私保护政策,倒逼我们去努力合规。拒绝或者存有侥幸心理都是不对的。这一过程中需要数据公司的服务和技术上的支持,会增加客户成本,但同时也能令企业的价值得到提升。”许多在欧盟境内运营的中国公司(例如小米、国航、东航等)也纷纷于5月25日前修改了隐私政策,而另一些企业则认为关系不大。 互联网实验室创始人方兴东表示。“事实上,GDPR将对中国互联网带来翻天覆地的冲击……最首当其冲的,就是基于搜集个人信息和隐私驱动的整个中国互联网产业主体收入模式将产生重大影响,甚至是颠覆性影响。”

(作者单位:第一财经研究院,编辑丁晓宇)