我們,就像是無可遁形的透明人,在大數(shù)據(jù)時代里裸奔。
想找人給咱出口氣,泱泱大國竟找不到一部數(shù)據(jù)相關(guān)的立法。倒是向來龜速的歐盟,在2016年領(lǐng)先全球頒布了《一般數(shù)據(jù)保護條例》。
全球首發(fā),來探個究竟:
2016年4月14日,歐洲議會投票通過了商討四年的《一般數(shù)據(jù)保護條例》(General Data Protection Regulation),該條例將在歐盟官方雜志公布正式文本的兩年后(2018年)生效。新條例的通過意味著歐盟對個人信息保護及其監(jiān)管達到了前所未有的高度,堪稱史上最嚴格的數(shù)據(jù)保護條例。
新條例將取代1995年發(fā)布的《歐盟數(shù)據(jù)保護指令》(Directive 95/46/EC),并直接適用于歐盟各成員國。它旨在加強對自然人的數(shù)據(jù)保護,并一統(tǒng)此前歐盟內(nèi)零散的個人數(shù)據(jù)保護規(guī)則,同時降低企業(yè)的合規(guī)成本。
新條例由11章共99條組成,其中關(guān)于數(shù)據(jù)主體(data subject)的權(quán)利以及數(shù)據(jù)控制者(data controller)和數(shù)據(jù)處理者(data processor)的義務(wù)的條款特別需要企業(yè)進行深入研究,確保在條例生效前完成合規(guī)更新工作。
簡單解讀幾條重要條款:
1. 處理個人數(shù)據(jù)的原則(第5條)
處理個人數(shù)據(jù)應(yīng)當:
(1)合法、正當、透明;
黑客們,金盆洗手轉(zhuǎn)行吧。
(2)處理數(shù)據(jù)的目的是有限的;
寶寶就搜一下,誰要你推薦了
(3)僅處理為達到目的的最少數(shù)據(jù);
網(wǎng)購注冊還要做程序題,那能順便把對象給俺解決一下嗎
(4)確保數(shù)據(jù)準確、時新;
(5)儲存數(shù)據(jù)的期限不得長于為達到目的所需的時間;
(6)采取技術(shù)和管理措施以保護數(shù)據(jù)的安全;
當我們的數(shù)據(jù)還留存在企業(yè)平臺時,企業(yè)有責任和義務(wù)給出一定的工作方法、按照一定的協(xié)議標準、相關(guān)技術(shù)人員應(yīng)該按照一定的職稱標準管理數(shù)據(jù)庫來達到彼此的信任哦。
(7)數(shù)據(jù)控制者有責任并應(yīng)能夠證明其做到了以上幾點。
2. 合法處理數(shù)據(jù)(第6條)
至少滿足以下中的一項,處理數(shù)據(jù)才是合法的:
(1)數(shù)據(jù)主體同意為特定目的處理其數(shù)據(jù);
也就是說我們擁有所創(chuàng)造的數(shù)據(jù),只有通過我們的允許,企業(yè)或商家才可以對數(shù)據(jù)進行處理;
(2)處理數(shù)據(jù)是為簽訂或履行合同所需的;
(3)處理數(shù)據(jù)是為遵守法定義務(wù)所需的;
(4)處理數(shù)據(jù)是為了保護數(shù)據(jù)主體或其他自然人的至關(guān)重要的利益;
(5)處理數(shù)據(jù)是為了公共利益或行使政府授予的權(quán)力;
(6)處理數(shù)據(jù)是為追求數(shù)據(jù)控制者的合理利益,但不得損害數(shù)據(jù)主體的利益。
狗頭某東你好,最近生意不錯啊,年年不盈利,還能市值過億,那都是XX用戶貢獻的數(shù)據(jù)價值。然而各位某東用戶,你們分享到這些實實在在的收益了嗎?
還不是我們這億億萬萬的傻白甜們無私地奉獻出了我們的數(shù)據(jù)?可是,手里拿著我們這億萬人民的數(shù)據(jù)者給我們回報了么?年底給我們發(fā)紅包了么?
3. 兒童個人數(shù)據(jù)的處理(第8條)
處理16歲以下的兒童的個人數(shù)據(jù),必須獲得該兒童父母或監(jiān)護人的同意或授權(quán)。各成員國可對上述年齡進行調(diào)整,但是不得低于13歲。
那些追著產(chǎn)婦往家里推銷嬰兒用品的,喂,你們都違法啦。
4. 處理特別類型的個人數(shù)據(jù)(第9條)
禁止收集處理反映個人種族或民族起源、政治觀點、宗教/哲學信仰、是否是工會組織成員的數(shù)據(jù)、個人基因識別數(shù)據(jù)、生物數(shù)據(jù)、或涉及健康、性生活或性取向的數(shù)據(jù)。
但在例外的情況下也可以收集加工以上數(shù)據(jù),如已獲得個人的明示同意,或數(shù)據(jù)控制者因處理勞動關(guān)系、社會保險之需要并在法律允許的范圍內(nèi)且已采取了適當?shù)谋Wo手段等。
5. 被遺忘權(quán)(第17條)
當個人數(shù)據(jù)已和收集處理的目的無關(guān)、數(shù)據(jù)主體不希望其數(shù)據(jù)被處理或數(shù)據(jù)控制者已沒有正當理由保存該數(shù)據(jù)時,數(shù)據(jù)主體可以隨時要求收集其數(shù)據(jù)的企業(yè)或個人刪除其個人數(shù)據(jù)。
如果該數(shù)據(jù)被傳遞給了任何第三方(或第三方網(wǎng)站),數(shù)據(jù)控制者應(yīng)通知該第三方刪除該數(shù)據(jù)。
據(jù).png "購物數(shù)據(jù)")
舉個栗子就是說,我們有權(quán)要求某寶刪除我們的購物數(shù)據(jù)
6. 可攜帶權(quán)(第20條)
數(shù)據(jù)主體可向數(shù)據(jù)控制者索要其數(shù)據(jù),也可將其個人數(shù)據(jù)轉(zhuǎn)移至另一個數(shù)據(jù)控制者。
數(shù)據(jù)可以像錢一樣,想存哪里存哪里。
7. 個人數(shù)據(jù)泄露通知(第33、34條)
數(shù)據(jù)控制者應(yīng)在72小時內(nèi)向監(jiān)管機構(gòu)報告?zhèn)€人數(shù)據(jù)的泄露情況。
當數(shù)據(jù)泄露可能會給數(shù)據(jù)主體的權(quán)利或自由帶來巨大風險時,數(shù)據(jù)控制者必須毫不延誤地通知數(shù)據(jù)主體,以便數(shù)據(jù)主體及時采取措施。
8. 設(shè)置數(shù)據(jù)保護官(第37、38、39條)
為確保數(shù)據(jù)保護合規(guī)并處理數(shù)據(jù)保護相關(guān)事務(wù),數(shù)據(jù)控制者和數(shù)據(jù)處理者(提供數(shù)據(jù)數(shù)據(jù)服務(wù)的機構(gòu))需設(shè)置數(shù)據(jù)保護官(data protection officer)。
9. 巨額罰款(第83條)
對于一般性的違法,罰款上限是1000萬歐元或?qū)ζ髽I(yè)而言上一年度全球營業(yè)收入的2%(兩者中取數(shù)額大者);對于嚴重的違法,罰款上限是2000萬歐元或?qū)ζ髽I(yè)而言上一年度全球營業(yè)收入的4%(兩者中取數(shù)額大者)。
歐盟此次通過的《一般數(shù)據(jù)保護條例》對1995年的《歐盟數(shù)據(jù)保護指令》進行了大刀闊斧的改革:將適用的主體范圍擴大到了境外的企業(yè);增加了透明原則、最少夠用原則等一般性保護原則;開創(chuàng)性地引入了被遺忘權(quán)、可攜帶權(quán)等;并且對于違規(guī)活動進行嚴格的處罰,全面提升了對個人數(shù)據(jù)的保護力度。此外,歐盟將設(shè)立“一站式”投訴服務(wù),以便于消費者在歐盟內(nèi)跨境投訴。
此次改革以保護公民的基本權(quán)利為理念,在提高個人數(shù)據(jù)保護標準的同時,也會增加企業(yè)的合規(guī)成本。業(yè)界也有人擔心這種嚴格的數(shù)據(jù)保護將會阻礙對數(shù)據(jù)商業(yè)價值的開發(fā)。因此,在實踐中面對紛繁復(fù)雜的情況時,需要找到其中的平衡點。
對于歐盟以外的國家,新條例無疑樹立了一個高標準的個人數(shù)據(jù)保護法律模板。鑒于歐盟對于數(shù)據(jù)跨境傳輸?shù)膰栏褚螅渌麌铱赡苄枰蠚W盟的步伐,以免在數(shù)據(jù)利用方面受到限制。
當越來越多的國家提高了對個人數(shù)據(jù)的保護力度,落后者可能會被禁閉在無限網(wǎng)絡(luò)的狹小空間之內(nèi)。
400-603-8000
