文|薛笔犁 孙惠
这两天,欧洲网友纷纷吐槽:邮箱一直被GDPR轰炸,各路软件和网站都在提示隐私条款更新。
Twitter上的网友截图。
就在今天,这项被称为史上最严数据保护条例——欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)正式生效。全球互联网科技公司,包括社交、网购等涉及客户数据的平台,都因此“焦头烂额”,忙着更新自己的隐私条款。
所以GDPR究竟是什么厉害的东西?思客君为你一一道来。
保护隐私,欧洲是认真的
进入移动互联网时代,用户数据的隐私属性越来越强,尤其是社交网站中经常会分享照片、位置等,这些内容都需要被保护。
同时,随着数字经济的兴起,数据成为了竞争力,依靠数据开发利用,人们会获取更多便利,社会可以更好地发展。
如何保持数据隐私属性和价值属性间的平衡,如何在维护个人隐私权和数据利用之间找到一条合理路径,显得尤为迫切。
于是,GDPR就这样应运而生!
但互联网巨头们却对此头痛不已。Facebook发生大规模数据泄露事件后,扎克伯格在面对国会第二场拷问时,他面前的本子上清楚写着一条加粗的顾问建议,“不要说我们已经完成了GDPR的要求。”
扎克伯格的笔记
4月13日,腾讯发出“国际版QQ将于5月20日在欧洲区停止运营”的通知,一天之后,腾讯又改称只是“版本更迭”,其中原委并不清楚,但难免怀疑受GDPR影响。
那么,这套令互联网巨头心急火燎发通知的GDPR究竟有何过人之处?
罚得狠。违反这项法律的企业最高可被处以2000万欧元,或上一财年全球营业额4%的行政处罚,以较高者为准。思客君默默算了一笔账:一些科技巨头每年的全球营业额高达数十亿美元,如果它们违反了GDPR法规,那将会是一笔上亿美元的巨额罚款。
管得宽。欧盟新条例不仅管辖注册地或总部在欧盟内的企业,只要企业向欧盟内用户提供产品、服务,或持有、处理欧盟内用户的数据,都要被管。像Facebook、Twitter这样的美国社交网络公司,由于它们在欧盟有大批用户,那么至少在保存、处理欧盟用户数据时,必须符合条例规定。
分得细。纳入新规保护范围的用户数据除了姓名、地址、证件号码、网络IP地址等通常意义上的个人信息,还有指纹、虹膜等生物识别数据,以及医疗记录等。
新规还确立了被遗忘权、删除权、可携带权等一系列用户权利。用户可以要求掌握其数据的企业删除其个人数据;亦有权向企业索取本人数据,自主决定用途,能够像管理金融资产一样对个人数据信息进行“搬家”。
总而言之,这项法律将保障人们对个人数据的掌控权,给“裸奔”的大众数据隐私穿上了保护的外衣。
从此以后,你可以要求社交媒体修改个人童年及学生时代的信息;删除在社交网络中的“黑历史”;商家再也不能随意地给你发送推广广告和邮件了……
GDPR,企业的一道“紧箍咒”
说到罚金,有人会问,如此高昂的罚款对于一些数字经济企业来说能吃得消吗? 巨头财力雄厚,尽管被高额罚款,可能还承受得起。但对有些公司来说,确保他们遵守新规定的代价似乎太高了。据普华永道调查,68%的美国企业预计将花费100万到1000万美元来满足GDPR的要求。另有9%的企业预计花费超过1000万美元。
中央财经大学法学院副教授、中国网络与信息法学研究会理事刘权告诉思客君,GDPR是一把双刃剑,欧盟GDPR选择了偏重保护个人数据权利,可能会对技术创新与市场的发展产生阻碍。
企业要发展,特别是新兴的数字经济企业,可能需要收集大量数据。如果数据保护过于严格,可能阻碍数据流通,不利于大数据合法交易,那么企业就没办法发展产业,比如需要通过海量数据分析的人工智能。
那么,中国企业会在多大程度上受其影响呢?
以BAT为代表的中国互联网企业大都是全球性企业,越来越多的中国企业也在进军欧洲,这意味着与欧洲企业有业务往来的中国企业也要给自己按上一个“紧箍咒”了。
针对今后我国互联网企业国际化问题,刘权举例道,今年1月,美国外资投资委员会阻止了蚂蚁金服收购速汇通的交易,其中一部分原因在于美国担心数据泄露,这也说明国际上对于中国企业还存在一定偏见。
他认为,当前中国保护个人信息的立法虽多,但相关规定分散、不成体系,难以为个人信息保护提供切实有效的法律保障,迫切需要加快个人信息保护法立法进程。
随着人们隐私意识的逐步提高,不论公司大小,如果不重视GDPR,一旦违规必将受到严惩。
到时,思客君只能一首《凉凉》送给你了。
Keef:为什么会这样?有些邮件让我啥也别做,有些邮件却让我再订阅或者接受!
KonstantinosKomaitis:如果25日是GDRP生效日,那么24日就是让我想起所有蠢订阅的大日子!如果不是因为这些邮件,我没意识到这么多互联网污染!