GDPR欧盟“史上最严”条例:数据保护与行业发展的平衡点在哪
云栖网:正在与欧盟做生意的中国企业都准备好了吗?因为欧盟《通用数据保护条例》(GeneralDataProtectionRegulation,简称GDPR,)已于5月25日正式生效了。
“史上最严”
据了解,GDPR此前历经了长达四年的讨论及两年的过渡期。2016年4月在欧洲议会上正式通过,完全替代1995年的《欧盟数据保护指令》(Directive95/46/EC)。该条例被称为“史上最严”,主要体现在:
首先,设定了天价罚款,至少1000万欧元或企业上一财年全球营业总额的2%-4%,并以较高者为准;
其次“管的宽”,这一新条例赋予了欧盟域外管辖权,不仅管辖注册地或总部在欧盟内的企业,也完全可能管辖“地理上”位于欧盟外的企业。只要与欧盟企业发生业务往来,或涉及存储、处理、交换任何欧盟公民数据,都在该条例管辖之内。
另外,“管得细”,条例大幅拓展了对于“个人数据”的定义,除了姓名、住址、身份证号码以及网络IP地址这些常规信息外,还包括了指纹、虹膜这些生物识别数据,以及种族和宗教信仰等信息。
最后,全面加强了对个人数据的保护,并大幅提升了企业的数据保护责任。
从欧盟这些年的发展来看,不管是在环境保护,还是在隐私信息保护方面,都是全世界要求最严苛的,这与其社会发展程度有密切的关系。电信与互联网分析师马继华认为,就如绿色环保标准逐渐被其他国家接受并推广一样,欧盟这个通用数据保护条例也会给其他国家的隐私保护立法提供参考。
饱受争议
互联网是大数据时代的基石,而新时代的隐私问题必须结合新技术新思维,防范是必须的,而GDPR条例从酝酿之初就饱受争议。
美国智库“数据创新中心”(CFDI)报告认为,该条例将对人工智能技术发展造成重大负面影响,使欧盟公司与北美和亚洲的竞争对手相比处于竞争劣势。报告认为,GDPR限制条款对保护消费者没有什么作用,在某些情况下甚至可能对消费者造成伤害。报告从9个方面详细分析了GDPR如何影响欧盟的AI技术发展和使用。例如,要求公司人工审查重要的算法决策会增加人工智能的总成本;要求对算法做出解释,将会损害算法的准确性;“数据遗忘权”(数据删除权)将会损坏人工智能系统;使用人工智能的企业将面临更高的监管风险等等。
据媒体报导,条例自5月25日正式实施就令数字媒体和广告行业陷入混乱。广告交易平台的欧洲广告需求量骤降了25%至40%。“营收和广告需求可能出现全面的大幅下滑。”一位来自内容发布商的高管说。在很多平台上,来自内容发布商的广告位供应也大幅减少,一些知情人士认为,这是美国内容发布商从欧洲大量撤下了程序化广告所致。《洛杉矶时报》和《芝加哥论坛报》等公司关闭了欧洲网站。《今日美国报》虽然仍然开放欧洲网站,但却撤下上面的广告。
过犹不及。不管欧盟自己承认不承认,这些年欧盟过度的各种市场保护已经造成了欧洲在世界经济中的落后。相反,被欧盟认为是野蛮发展的中美等却成为了引领世界互联网经济发展的主导力量。马继华认为,只有强大了才有资格谈论保护问题,否则就只能成为规则的执行者,这是值得中国监管方面考虑的大事。
中国借鉴
GDPR从颁布到正式生效,期间存在一定的过渡时间,方便企业对自己相关隐私条款进行必要的修改。对于中国企业而言同理,如果不当的方式收集他人信息,那么欧盟当局就可能对欧盟企业处以巨额罚款。截至目前,包括华为、阿里巴巴、腾讯在内的中国企业都已经在GDPR生效前修改了各自的隐私条款,而且与国外其他企业一样通过电子邮件等形式将更新后的条款告知于用户。
但是这远远不够。随着全球化日渐加深,中国与欧盟之间的合作范围也在不断地扩展,比如终端、电子商务、互联网服务、金融等领域都有涉及,特别是手机终端、支付宝、微信等软硬件无时无刻不在收集用户的个人数据。
分析人士认为,适用GDPR的中国企业主要有两种情形:一,在欧盟境内设有机构的中国企业,如其通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理是否发生在欧盟境内,都应适用GDPR;二,尚未在欧盟境内设有机构的中国企业,如其向欧盟境内的个人提供商品或服务的过程中(无论是否收费),涉及对个人数据的处理,也应适用于GDPR。
中国企业对GDPR的态度“分化比较明显”。一方面,有很早就开始为GDPR做准备的企业,主要是一些大型的互联网或物联网公司。他们既有动力要保住欧洲市场,又有财力可以负担合规成本。但另一方面,也有大量企业并未认真对待GDPR。
就在GDPR生效之前,中国已于5月1日正式实施了《信息安全技术个人信息安全规范》,该规范属于推荐性国家标准,对个人信息的收集、保存、使用、转让等环节进行了规定。而去年生效的《中华人民共和国网络安全法》也包含对数据隐私保护的要求。
不过值得注意的是,尽管中国已经立法保护用户隐私,但是互联网企业涉嫌违规使用用户数据的报道时常见诸报端,最近一起就是国内某些App利用大数据“杀熟”的事情。为此,网络安全专家指出,数据所有权归用户所有,互联网公司有义务在获得用户许可之下,合法合规的使用相关数据,并告知用户这些数据的使用情况。与此同时,互联网公司有责任保护好用户数据的安全,防止数据泄露。
如何平衡
GDPR是镜子,反映的是企业保护用户隐私的力度;是借鉴,为全球其他国家相关法律法规的修订提供有益的参考,更为那些对用户数据和隐私保护不够重视的企业敲响了警钟。
欧盟数据保护法专家克里斯托弗•库纳(ChristopherKuner)对媒体表示,GDPR将是一部重整全球数据秩序的法令,欧盟以外的公司也将从多个层面受到影响。由于GDPR规定了企业间数据交流的方式,一旦出现不合规的现象,数据供应链上下各方都会被问责。为避免风险,欧盟企业日后在选择境外合作伙伴时,会将数据保护作为重要考量标准。当前在欧盟委员会甚至已经开始讨论,未来不排除限制欧盟与数据保护不过关的国家签订贸易协议的可能。
严苛的数据保护同时,如何找到个人隐私与互联网发展之间的平衡点。厦门智者恒通管理顾问机构总监吴勇毅指出,隐私得不到保护,网民就不去上网;同样,利益得不到保护,网站就不会开设。在互联网发展与保护个人信息之间,企业必须找到一个平衡的支点。失去平衡,原本应当保护的,反而加害;原本应当服务的,反而控制。绝不能以提供服务为名,侵害网民的利益,也不能以保护隐私为名,拒绝发展。
对于那些已经或者准备在欧盟区域进行运营的互联网公司或者其他科技公司,必须要满足欧盟的要求,甚至要采用完全不同于本土的运营方式。拒绝或者存有侥幸心理都可能遭受严重的后果,欧盟做了这个数据保护条例就是在等大鱼上钩,马继华表示。