通用数据保护条例(General Data Protection Regulation),简称GDPR,是欧盟秉着“顾客优先”的态度出台的个人数据保护新规。该规定于2016年4月14日出台,定于2018年5月25日正式投入实施,面向所有收集、处理、储存、管理欧盟公民个人数据的企业,限制了这些企业收集与处理用户个人信息的权限,旨在将个人信息的最终控制权交还给用户本人。
早在1980年,由20个欧洲经济共同体成员国、美国和加拿大等国构成的的经济合作与发展组织(OECD)便提出了一份关于“保护隐私和个人数据跨境流动”的指导方针,其中提出了“知会用户、目的明确、用户同意、信息安全、明确收集方、用户查验、追责渠道”七个关键词,对企业使用、收集和保存用户数据的目的、步骤,和数据的跨境流动做出了基本限制。虽然如此,由于该法案对于其成员国没有约束力(nonbinding),成员国间的隐私保护条例并未得到实际统一。
1995年10月,欧洲议会通过了“资料保护指令”(Directive 95/46/EC)。该指令的主要内容仍围绕上述“指导方针”中的七个关键词,提出企业对个人数据的处理须遵守透明、目的合理、数据完整准确等标准,并规定个人数据若要流向欧盟意外的第三方国家,必须满足该国家有同等个人隐私保护条例的前提。但不同于指导方针,“资料保护指令”对于欧盟成员国具有约束力,并规定成员国须于1998年年底前将该指令转化为法律在各国内实施。
2012年1月,欧盟委员会宣布即将通过一个全新的“通用数据保护条例”取代之前各欧盟成员国根据“资料保护指令”的相关立法,并称为欧盟各国间的唯一、统一的数据保护条例。其主要目的还包括优化数据流向欧盟外国家的管理办法,以及增强用户对于其个人信息的控制。经过四年酝酿,欧盟通用数据保护条例(GDPR)最终于2016年被通过,并设置两年缓冲期,于2018年5月25日正式投入实施。
相比“资料保护指令”,数据保护条例在条例适用范围、个人数据处理方式以及监督管理上有九大主要特点:
1. 重新定义“个人信息”
资料保护指令(1995)仅将个人信息定义为姓名、地址、照片等直接信息;而GDPR(2016)对个人信息的定义不仅包括直接信息(姓名、住址、电话号码等),还包括网络信息(ip地址、cookies等)和间接信息(包括所有可追溯至某一特定个人的生理、心理、基因、文化等特征)。
2. 适用范围增大
资料保护指令(1995)的适用范围为所有欧盟境内运营的企业和所有使用位于欧盟内的设备处理数据的企业;而GDPR(2016)的适用范围扩大为所有处理欧盟成员国公民个人信息的企业,无论该公民的现居住地是否在欧盟境内。
3. 优化数据处理体系
GDPR规定企业必须将保护个人信息和数据融入到对于产品的最初设计和公司日常的运营中去,推荐方法包括拟定假名或加密个人数据。
4. 责任共担
过去,收集和使用数据的数据拥有者需要对数据保护负责。如今,史无前例的,数据处理者(如提供数据处理服务的云服务提供商等)也将需要直接承担合规风险和义务。在数据保护上,数据供应链自上而下的各方都会被问责。网络公司必须与合作伙伴们明确各自的责任和义务。
5. 取得用户批准
GDPR规定企业必须获得数据提供者关于某明确合法用途的授权,并可出示数据获取方法的证明。在企业申请用户授权时需阐明:用户数据使用方的身份与联系方式、取得数据的目的与使用方式、数据是否会被跨境传输、数据存贮时长等。
6. 保护消费者权益
用户可随时查看、修改、移动、删除数据,并要求企业开具数据备份及数据使用方式。用户也拥有随时取消授权和抗议的权利。当获取数据时所述的目的不再适用或用户不再允许企业使用该数据,GDPR规定企业必须删除用户信息,同时将用户的数据清除请求告知第三方处理机构。
7. 对于儿童的特殊保护
由于儿童相较于成人对于个人隐私泄漏的风险更不敏感,GDPR规定对于16岁及以下的儿童的个人信息处理须经过其监护人同意。
8. 发现违规后及时通知监管人员
GDPR规定欧盟成员国每国设一位监督人员并建立相应的执行机制,需要处理大量敏感数据的企业亦需聘用一位数据保护官(Data Protection Officer)监督企业操作的合规性。若企业发生数据泄漏,并可能危害用户的个人权利和自由时,企业必须在发现数据泄漏72小时内通知监督人员。但由于该法案刚刚投入实施,具体的监管体系还有待完善。
9. 处罚力度增强
GDPR建立了严格的处罚机制。若企业违规记录用户个人数据、违规后未及时通知监管人员、存在数据安全问题、违反隐私影响评估等相关条例,最高可获1000万欧元或其全球年营业额2%的罚款;若企业违规内容涉及未经用户同意使用数据、侵犯用户人权、或非法跨境流通数据,最高可获2000万欧元或其全球年营业额4%的罚款(两者取较高值)。
