史上最严信息保护条例的一般数据保护条例(GDPR)正式产生法律效力,不仅是有跨国业务的互联网企业会涉及到GDPR的合规问题,大部分的游戏、购物这种用户遍布全球各地的互联网企业也由于GDPR的长地管辖权而受到影响。
今天,被称为史上最严信息保护条例的一般数据保护条例(GDPR)正式产生法律效力,由拥有超重罚款和最广泛管辖权,全球的各行各业都不得不重新审视自己的数据处理政策和行为,以避免动辄数亿的罚款。由于互联网的无国界性,也将我们中国的互联网企业拉入到了这样一个席卷全球的个人信息保护的最新进展当中,不仅是有跨国业务的互联网企业会涉及到GDPR的合规问题,大部分的游戏、购物这种用户遍布全球各地的互联网企业也由于GDPR的长地管辖权而受到影响。为此,京东集团、南方都市报、法学专家、律师等齐聚一堂,就热点问题进行讨论和交流,探讨我国的数字经济企业该如何应对,避免入“坑”。
GDPR有多严格?
对于违规收集个人信息的互联网公司,最高可罚款2000万欧元或全球营业额的4%。
这个数字看上去没什么概念。举个例子,微软2017年收入 900亿美元,4%就是36亿美元;亚马逊2017年的收入为1779亿美元,若罚款4%就是70亿美元。
对大公司罚再多的款看上去也跟开发者无关,毕竟又罚不到开发者身上。
那就错了。
在今年初,华盛顿大学人工智能专家Pedro Domingos教授的发推特:GDPR要求算法有可解释性,这让深度学习成了违法行为!
当时这条推特就引起了恐慌。
GDPR全球适用
事实上,无论公司总部在哪儿,无论数据存储和处理地点在哪儿,只要与身处欧盟的人做生意,或者监视欧盟公民的行为,就必须遵从GDPR。再进一步解释:如果你收集欧盟公民的数据,你就受到GDPR的管辖。除非你的公司非常严格地排除了欧盟,否则你还是得处理GDPR合规问题。这一宽泛的适用范围,其出发点是好的。要知道,GDPR其实就是《欧盟数据保护指南》的继任者,所以,某种程度上,它将怎样改进现有标准,也是众所瞩目的。
GDPR不仅仅是《欧盟数据保护指南》的范围扩大版,它还是总体上更为严苛的法规,包含更严厉的违规处罚。违规最高罚金可达公司全球总收益的4%或2000万欧元中的高者。说白了,这些后果本就是相当严重的。除了高额罚金,GDPR还加入了以下条款:
引入强制数据泄露通告。遭受安全事件并导致个人身份信息泄露的公司,需要在事件发现后72小时内,将事件报告给他们指定的数据保护机构;
引入具备数据保护法令专业知识的指定数据保护官员。该角色必须是独立的、自治的,并直接向高层管理汇报。
GDPR提出的要求显然不止这些,仅靠这篇文章也解释不完。这里只是想要说服各位读者尽快去了解更多。如果你脑中有这样的想法:“我得买什么产品才能合规?”赶紧扔掉。购买部署一堆安全产品不能让你达到合规的目的。
该规定特意编写得无关技术,且面向未来——数据和数据安全瞬时万变的情况下这一点尤其恰当。不过,出于信息安全合规角度,对公司企业必须做些什么,建立起初始有效的解读,还是可以的。数据安全的关键,在于“足够的措施”这句。数据控制者必须实现“足够的措施”,来确保其处理系统和所掌握信息的机密性和完整性。这包括:
应用关键安全控制来恰当地检测、管理和缓解数据处理环境中的任何漏洞;
根据企业策略配置系统,并维护该配置;
主动识别偏离该策略的系统;
持续监视日志文件,警惕任何潜在数据泄露或漏洞;
维持有效检测、响应和缓解任何安全事件的能力;
以安全的方式使用云服务。
专家是如何解读GDPR的?
京东集团首席人力资源官兼总法律顾问隆雨
GDPR基于对新技术这样一些前瞻性思考,综合平衡个人信息的各种数据的应用场景,还有各个利益方相关的需求,创新了数据保护工具和规则,为全球提供了一套综合严谨的个人信息保护的一个保护框架,在数字经济的时代谁首先发现,首先实现了数据的有效治理,谁就掌握了全球数字经济发展的主动权和话语权。GDPR的实施具有重要的宣誓意义,有利于建立以欧盟规则为蓝本的全球数据治理规则体系,使欧盟成为全球数字经济持续的这样一个引领者和发生者,这也是GDPR作为一部区域性的这样一个法规,或者说国家性的,就是我们所说的国家联盟性质的这样一个区域性的法规,却引起了中美等主要经济体还有国家相关的监管部门、研究机构、跨国公司广泛的关注,这个也是相应的原因所在。
中国社科院法学研究所的研究员周汉华
GDPR从指令制订的开始到出台,应该说欧盟不是不想发展,它一直想在两个价值之间实现平衡,一要保护,因为在大数据时代个人信息被滥用的后果比过去更加严重,另外一个方面他也要追求单一的数字市场的形成,推动欧盟经济的发展,所以说这样一种双重的价值既体现在指令GDPR的名称当中,大家知道这个名称当中一直是这两个都放在里面的,第一是保护,第二是数据,促进数据的自由流动,所以既在名称当中也体现在立法结构的整体安排上,同一天欧盟通过的是三个文件,GDPR是679,后面有680、681两个指令,一个条例两个指令同时通过,一个是对付一般犯罪的,一个是对付恐怖主义和严重犯罪的,那个就对个人信息的保护进行了检索,就是要维护公共利益,所以他是要两个价值是平衡的,更体现在指令GDPR的前沿、基本原则和具体规定当中,所以他们做的很好,把前沿也给翻译过来了,我们现在移动互联网的时代,微信的时代,GDPR刚出现之后很多地方翻译,为了图省事只把条文给译出来,前沿都给删了,其实前沿的内容有的比后面的条文还很小,所以如果整体来认识GDPR,它其实是体现了这么一个原则,就是要激励相容。
中国人民大学法学院的杨东教授
数据治理隐私保护方面,既要借鉴外国和先前的一些规则,但是也要有所突破,有所创新,敢于担当。
外经贸大学法学院教授梅夏英教授
欧盟GDPR第17条还是保留了关于被遗忘权的规定,它上面的表述是第17条删除权来规定,后面括号被遗忘权,说明现在对于被遗忘权的理解已经从权利转向到一个制度了,也就是说它其实是一种删除制度的表述,被遗忘权只是一个惯性,一个人请求删除他自己的信息,把它弄成被遗忘权,其实它是删除制度。如果从删除的角度理解被遗忘权,我们之前理论上大量进行权利论述的东西,我看它可能都要修正,因为它不具备民事权利的基本特点,它只是一种请求的形式,按照民法来讲,它通过这一条请求别人删除我们的信息,至于说什么被遗忘权,它不能脱离于这条规则之外起的作用,另外这个权利是通过实体法规定,没有实体法这个权利就不存在,所以对于被遗忘权我们首先了解到他不是一项跟正式的一个民事权利,另外它要解决的问题也不是说隐私权或者个人信息保护能解决的,我们发现他所要求,它对法律的要求已经超出了我们传统个人信息保护的内容,因为我们传统个人信息保护是对信息收集、流通的一个合规性,对它的一种数据最小化的能力,而被遗忘权他倡导的是说在数据流通、收集、合规的情况下还要照顾到信息相关人,有对他遗忘的这种需要,这种需要真是后来叠加上去的,也是前所未有的,所以它不能够认为是个人信息保护法,但是我们可以把它加进去作为另外一个纬度的问题来考虑。
被遗忘权究竟怎么理解,它是个人的社会心理,说不清道不明的,它只是一种不适应,它没有违反性的前提,另外被遗忘权确确实实从公共利益角度看他也有他的合理性,就像我们讲个人信息保护是私权的体现,事实上他要解决的是公共安全问题,我们看到很多我们个人信息保护法解决不了犯罪,为什么呢?因为它只是通过个人信息保护的一种限制来消除公共信息领域,我们看到很多案件都是用别人掌握的信息,本身并不构成什么对他人利益的侵害,只是公共信息在流通的过程当中产生的隐患,是个人受到了其他形式的侵害,比如说中国知道一个什么,上次的九千块钱的事情,是他的信息被别人掌握以后通过诈骗来犯罪,信息披露本身没有什么,个人信息保护还是公共安全增加了很大部分,它增加了受侵害的可能性,被遗忘权也是这样,一个人的信息尤其是在不利的,还有不必要的信息长时间不能消除以后,它可能对个人的生活带来其他方面的影响,比如说在求职的时候,或者在入境的时候都会产生影响,这可能是我们要关注的问题,在这种前提下我们对于被遗忘权一定要结合个人利益和公共利益一起来考虑,并且不能够完全从隐私权个人信息权这方面考虑,这样我们才能够把他放到一个相对的自由裁量,通过裁判来发展,而不能够先入为主的,把他作为司法上的一项利益,或者人格利益,或者一项权利来入手,这仅仅是开始,今后我们还会面临着一个又一个问题。
清华大学法学院教授、党委副书记程啸教授
保护个人数据也里面你究竟是保护什么东西,从欧盟的数据条例,或者欧洲人,尤其德国人喜欢从人权高度来谈论这个问题,特别是二战,两次世界大战,包括德国人到现在反思当年纳粹对人权的侵犯,尊重人格尊严人格自由,这个就有点抽象了,因为中国法的语境下讨论这个问题,必须考虑到中国老百姓,中国老百姓一般不考虑这个问题,当你要不同意给数据,然后你用不了APP的时候,你跟老百姓讲说这个时候个人的人格尊严很重要,我估计他不会搭理你,他想的是我先用了再说。
个人数据怎么保护?我觉得就是明确权利内容,以及从民法上讲,当然像公法上的保护欧盟的条例很多,我们中国的《网络安全法》也有相当多的规定。从民事上就是要明确权利内容还有权利被侵害的救济方法,权利的内容实际上可以看到我们现行的一些规定和GDPR的规定是有共性的,有些内容我们也做了规定,我这里做了个列举,包括同意权,下面红色列的是欧盟条例里规定的。第二个访问权,这个我们没有,但是更正权在我们《网络安全法》里是有规定的,还有删除权在《网络安全法》里也有规定。
民法典权编中如果能够对侵害个人数据权利的方式做出相应的规定,我们就可以双管齐下,不仅仅是通过公法方面来进行相应的规范,也可以通过私法,私法我们也不仅是通过个人的私人的民事诉讼,也包括我们的检察机关的公益诉讼,我们就可以形成一个多角度的一个数据保护的格局,这个和未来产业的发展,对于广大人民群众的人身和财产权的保护都是非常有利的。
中国信息通信研究院安全研究所数据安全研究部的副主任陈湉陈主任
域外管辖权背景就是为了应对美国法案的提出,所以可以看出来欧盟其实非常厉害,一方面整个欧盟境内的整套顶层设计建立完了,他还非常硬气,美国怎么干我就跟你对着干,当然对着干的时候我们观察到了一点,我觉得是值得我们警惕的一点,GDPR我们一直在讲适用范围的扩展,这个扩展还是对于数据控制者主体的适用范围扩展,对于数据来讲他还是强调你是在欧洲运营过程中收集产生的数据,这个数据应该是跟欧盟的居民是紧密相关,是它的个人信息,这是GDPR的一个考虑。
我们必须要警醒是:美国和欧盟都有类似的法律了,而我们还没有一个比较强硬的应对措施。所以要做好以下两点工作:
第一,我们还是尽快去完善自己本国的国内法,但是我觉得这个国内法应该是整个法律体系,从安全角度上我们有《网络安全法》,我们行业主管部门在《网络安全法》上位法基础上应该形成一套完整的,包括部门规章,包括标准在内的一套整个数据保护的法律法规还有标准体。
第二,如果要制订个人信息保护法,是咱们整个从国家层面上进一步完善法律的措施。另外一个在规则制订当中,是要引入风险控制思想,刚才谈到第一点启示,我觉得是在我们在做具体规则设置,部门规章或者标准当中需要考虑的一个问题。
我国的数字企业该如何应对GDPR?
南方都市报大数据研究员分析国外知名app发现,为满足的合规要求,绝大多数的隐私政策透明度更高,不仅文本通俗易懂,呈现方式多样,且上线了特殊的隐私保护功能。
相比于国外企业积极应对,国内涉及欧洲客户的跨国公司似乎还在观望。但即便不受限制,这些在隐私保护上的合规实践,仍可供国内企业借鉴和思考。
GDPR虽然是欧盟的法案,但全球化下,中国企业多少会受到影响。国内的网络安全法、《信息安全技术个人信息安全规范》等也已经有类似规定。结合GDPR和国内法律法规,建议企业进一步优化隐私政策和产品功能设计,保障用户进行数据访问、更正、删除、注销账户、撤回同意、获取个人信息副本的权利。
写在最后:究竟GDPR影响范围多大,实施效果如何,涉及欧洲业务的国内企业是否又会就此作出怎样的合规调整,这些问题有待后续观察。但是不管怎样,一家企业在隐私政策上愿意花费心思,且有诸多保障用户权利的功能设计,并非坏事。
责任编辑:刘长利
推荐 0
收藏 0
关键词
