新聞分析:歐盟“最嚴”數(shù)據(jù)保護條例“嚴”在何處

一段時間以來,歐盟地區(qū)網(wǎng)民紛紛收到互聯(lián)網(wǎng)公司修改“用戶政策”的提示。從網(wǎng)絡(luò)巨頭到初創(chuàng)公司,都忙著趕在5月25日之前修改甚至重塑它們保護用戶數(shù)據(jù)的流程,使之符合將在25日生效的歐盟《通用數(shù)據(jù)保護條例》。

這項被廣泛認為是歐盟有史以來最為嚴格的網(wǎng)絡(luò)數(shù)據(jù)管理法規(guī),在生效之前,就早已“威震四方”。

首先罰得狠。條例規(guī)定,對未采取技術(shù)或管理措施來避免、降低隱私侵權(quán)損害風(fēng)險的互聯(lián)網(wǎng)公司,最高可罰款1000萬歐元或全球營業(yè)額的2%(以較高者為準);對違反個人信息收集和使用基本原則以及沒有保障數(shù)據(jù)主體權(quán)利的互聯(lián)網(wǎng)公司,最高可罰款2000萬歐元或全球營業(yè)額的4%(以較高者為準)。對于跨國網(wǎng)絡(luò)巨頭而言,一旦在歐盟違規(guī),很可能將面臨“天價”處罰。

嚴格地說,受該條例管轄的不僅僅是傳統(tǒng)意義上的互聯(lián)網(wǎng)公司。記者長期保持電子郵件聯(lián)系的一家國際信用評級機構(gòu),也發(fā)來郵件讓記者選擇“請繼續(xù)向我提供資訊”或“請把我從通訊錄中移除”。

也就是說,企業(yè)只要是處理或者留存了用戶數(shù)據(jù),哪怕只是電子郵件地址這樣看似并不特別敏感的信息,哪怕其從事的業(yè)務(wù)并非狹隘上的互聯(lián)網(wǎng)服務(wù),但因為也涉及了用戶數(shù)據(jù),所以也在新條例管轄范圍之內(nèi)。

其次管得寬。歐盟這一新條例賦予了歐盟域外管轄權(quán)。具體而言,該條例不僅管轄注冊地或總部在歐盟內(nèi)的企業(yè),也完全可能管轄“地理上”位于歐盟外的企業(yè):根據(jù)其規(guī)定,只要企業(yè)向歐盟內(nèi)的用戶提供產(chǎn)品、服務(wù),或持有、處理歐盟內(nèi)用戶的數(shù)據(jù),都在管轄范圍之內(nèi)。

比如,對于臉書、推特這樣的美國社交網(wǎng)絡(luò)公司,由于它們在歐盟內(nèi)有大批用戶,那么至少在保存、處理歐盟用戶數(shù)據(jù)時,必須符合這一條例的規(guī)定。臉書公司首席執(zhí)行官馬克·扎克伯格22日出席歐洲議會聽證會時,就承諾一定會遵守這一新法規(guī)。

再次分得細。納入新規(guī)保護范圍的用戶數(shù)據(jù)種類全面細致。除了姓名、地址、證件號碼、網(wǎng)絡(luò)IP地址等通常意義上的個人信息,以及指紋、虹膜等生物識別數(shù)據(jù)、醫(yī)療記錄等十分隱私的個人信息,新規(guī)還涵蓋了例如用戶的種族、宗教信仰甚至性取向等多方面信息。

新規(guī)還確立了被遺忘權(quán)、刪除權(quán)、可攜帶權(quán)等一系列用戶權(quán)利。根據(jù)條例,用戶可以要求掌握其數(shù)據(jù)的企業(yè)刪除其個人數(shù)據(jù)、避免個人信息傳播。而可攜帶權(quán)將使用戶有權(quán)向企業(yè)索取本人數(shù)據(jù),并自主決定用途,這意味著用戶將能夠像管理金融資產(chǎn)一樣對個人數(shù)據(jù)信息進行“搬家”。

近幾個月,臉書公司因為被揭發(fā)在用戶數(shù)據(jù)大規(guī)模泄露之后長時間隱瞞不報,遭到廣泛批評。而在歐盟新規(guī)下,企業(yè)一旦發(fā)現(xiàn)用戶數(shù)據(jù)泄露,必須在72小時內(nèi)向監(jiān)管機構(gòu)報告。

在明確賦予用戶權(quán)利、大幅強化企業(yè)責(zé)任之外,這一條例還規(guī)范了監(jiān)管安排機制。在歐盟層面,增設(shè)歐洲數(shù)據(jù)保護理事會這一新機構(gòu);在歐盟成員國層面,各國數(shù)據(jù)監(jiān)管機構(gòu)的檢查、執(zhí)法、處罰以及司法機制安排也得到了明確界定。

對于用戶而言,歐盟新規(guī)還允許他們有權(quán)要求監(jiān)管機構(gòu)在規(guī)定時限內(nèi)對違規(guī)行為進行調(diào)查。如數(shù)據(jù)監(jiān)管機構(gòu)調(diào)查不力,用戶則有權(quán)向法院提起訴訟,以更好地保護用戶權(quán)利。

新華社記者王子辰

新華社布魯塞爾5月24日電

?