本文约1200字,预计阅读4分钟
GDPR旨在为整个欧洲创建统一的数据隐私法,保护所有欧盟公民权益。它取代了曾经的《数据保护指令》(Directive 95/46/EC),并且相对Directive 95/46/EC,GDPR在许多重要方面有所不同。 下面让我们来看看关于GDPR,你需要了解的五件事: 管辖范围更大:通用数据保护条例适用于所有处理欧盟居民个人数据的企业,无论公司位于何处,皆受该条例约束。 罚款:若公司或组织(包括管理组织和处理组织)不符合GDPR要求,将被处以高达其年度全球营业额的4%或2000万欧元的罚款(以较高者为准)。 许可:必须以清楚易懂的方式获取相关许可,并且必须与其他事项区分开来。此外,必须能够像授予许可一样,轻松撤回许可。 违规通知:强制发出违规通知,且必须在公司、组织首次发现违规行为后的72小时内发出。 隐私:GDPR要求公司、组织从设计系统开始就需考虑数据保护,而不能之后追加。 通过以上五点,我们不难看出,所谓欧盟“最严”数据保护条例究竟“严”在何处。首先是管得宽。这一新条例赋予了欧盟域外管辖权,只要企业向欧盟内的用户提供产品、服务,或持有、处理欧盟内用户的数据,即使其“地理位置”不在欧盟,也将同样受到管辖。在GDPR上线当天,有非盈利组织None Of Your Business (NOYB)就对Google、Facebook公司以及Facebook 旗下的WhatsApp、Instagram提起诉讼,认为这些公司强制要求用户授权允许其使用用户数据,否则就不提供服务。第二是罚得狠。根据前文的GDPR罚款规则,对于跨国网络巨头来说,一旦违规,很可能面临天价处罚。例如Google和Facebook,这起诉讼有可能导致Google与Facebook缴纳总共70亿欧元的罚款。第三是分得细。一般我们所理解的用户数据多为姓名、地址、证件号码、IP地址等通常意义上的个人信息,以及其他包括指纹、医疗信息在内的个人隐私信息,GDPR在这些信息的基础上,还涵盖了例如种族、宗教甚至性取向等多方面信息。此外,被遗忘权、删除权、可携带权等一系列用户权利均由GDPR确立,可谓是面面俱到。 25日正式生效后, GDPR带来的影响不可谓不大。很多规模不是特别大的广告数据公司、部分新闻媒体以及部分中小规模游戏开发商均宣布暂停为欧洲用户服务的声明,有些公司直接砍掉了部分业务。考虑到GDPR内容的严格,这个结果并不太令人惊讶,对上千家公司所做的调研显示,有48%受GDPR影响的公司称,他们无法在25日前完成GDPR的适配工作,那么为了避免处罚,暂停对欧洲用户的服务是最明智的选择。 而对于中国企业,可能有人会认为,企业在中国处理数据,不用遵守GDPR。但事实上,今后只要涉及使用欧盟个人数据,中国也必须遵守GDPR。比如人工智能企业、电子商务企业、互联网金融企业以及新兴的分享经济企业,与互联网相关的这些企业在开展业务时不可避免需要收集用户个人信息。由此看来,欧盟“最严”数据保护条例并非与我国无关,互联网企业更要注意避免踏入禁区。 作者:陈雨诗,FCPA部 | 编辑:申小骏 注:本文不属于法律意见,如需咨询请与本所联系。