当前位置:

欧盟“史上最严”数据监管规则落地意味着什么?

董一凡 中国现代国际关系研究院助理研究员

5月25日,欧盟《通用数据保护条例》(GDPR)在经过了两年的过渡期后将正式生效,全球互联网公司终于迎来了监管靴子落地的一天。由于该条例相较于欧盟1995年施行《数据保护指令》进行了大幅修改,在个人数据界定、管辖范围、企业责任等方面的监管要求走在了世界前列,因此被国际舆论称为“史上最严”的个人数据监管规则。

《通用数据保护条例》的严格之处主要体现在以下方面。

首先,该条例大幅增加了被监管对象。GDPR提出,任何向欧盟公民提供产品和服务的企业,均将受到该条例的监管,无论该企业是否是欧盟企业或在欧盟境内设有分支机构。这将数据监管对象以“属地划线”的规则变成了“属人划线”,是全球个人数据监管规则中的颠覆式创新。极端地说,即使某个公司开发一个软件仅仅面向本国市场,但被欧盟的旅游者下载使用,也会“躺着中枪”。

其次,“个人数据”的定义被大幅扩展。GDPR规定,个人数据不仅包括姓名、住址、电话、银行账户等公众熟知的基本信息,更包括健康状况、参加工会情况、基因信息、宗教信仰、种族甚至是性取向等方面,几乎五花八门的信息均纳入GDPR的保护框架,甚至超出了用户自己的想象。

再次,监管部门对企业负担的主体责任提出更高的要求。企业不仅在获取和搜集数据前要征得用户同意,并且要以清晰通俗的语言告知用户其搜集和使用数据的目的、种类、去向及处理数据者的身份等各方面信息,在用户提出对其信息做出变动或了解信息使用情况的要求后,必须回应用户需求。

在安全保障方面,企业不仅被要求要设立专门的数据管理官专职负责数据安全,且一旦出现“数据泄露”事件,必须在72小时内将相关情况事无巨细地通知监管部门,同时在合适的事件通知相关用户。由此看,欧盟此条例以严格要求企业的方式来保障作为弱势一方用户的知情权、选择权和隐私权。客观上讲,是用户权利的一大保证。

最后,违规的巨额罚金也是其严苛之处。GDPR规定,企业违反相应条例将被处以1000万欧元或全球年营收2%的罚款,取两者间较高者征收,若出现“严重违规”的行为,标准则将分别提高到2000万欧元或4%,同样取两者高者。这就意味着,即使是初创企业,一旦出现了违规行为,就将至少付出1000万欧元的惨痛代价。有媒体曾经测算出,GDPR实行的第一年就可能为欧盟实现60亿欧元的“创收”。

客观来看,GDPR的正式落地对于用户个人数据的保护以及企业行为的规范来说是较大的进步。近年来,随着互联网基础设施、技术及相应运用的迅速发展,全球数字产业规模及个人数据总量均以几何级速度增长,个人数据的商业及安全价值也逐渐凸显,甚至被比作数字经济时代的石油。然而,网络数据相应规则的发展却远未跟上网络技术和数字经济的发展脚步。

从小到广告推送,大到“剑桥分析”非法使用社交媒体信息开展政治活动,均反映出保护个人数据及隐私不被滥用,规范企业相应行为已经成为各国政府为保护信息安全、经济与社会秩序乃至政治安全而必须有所作为的政策领域。而欧盟出自欧洲对于保护隐私的伦理传统、维护网络安全及塑造数字市场规则等考虑而推出的GDPR,对于当前个人数据使用监管中涉及的用户权利、企业义务及监管范围进行了全方位的梳理,大大提升欧盟个人数据保护水平。同时,由于欧盟作为巨大的互联网市场,GDPR的适用也促使有意发展欧盟市场的外国企业主动适应其监管规则以便在欧盟立足,从而显现出个人数据保护的外溢效应,进而带动全球个人数据保护水平的发展。

然而,GDPR对于互联网商业模式和技术创新却是一把双刃剑,在规范数据使用的同时也为企业的运营增加了不少负担。为规避可能出现的处罚,谷歌、脸书等企业早早就为适应GDPR的监管做出准备,比如雇佣大量法律人才分析GDPR文本、开展数据清查工作及进行修改产品相应设计等。

但是,对于包括欧洲企业在内的大多数中小企业而言,应对GDPR的负担相较于其规模和收入而言极为沉重,甚至不得不放弃技术创新或者开拓欧洲市场。《华尔街日报》引用科技界人士的话说,GDPR让科技企业在锐意创新和遵从监管之间更倾向于后者,从而抑制创新动能,也让GDPR在支持还是抑制互联网产业发展上受到了争议。(责任编辑 郭素萍)

http://opinion.china.com.cn/opinion_85_186485.html

本站原创,如有转载,请注明来源观点中国,否则将追究法律责任!

热门事件标签