欧盟辣手保护数据隐私中国互联网公司亦可受限

欧盟推出首部个人数据保护法，且管辖范围不限于欧盟境内。包括面向欧洲市场的中国电商，甚至是中企与欧洲子公司的数据沟通过程，都面临新的合规风险

经过多年立法过程的欧盟《数据保护基本条例》（GeneralDataProtectionRegulation，下称《数据条例》）终于在5月25日全面生效。近日，已有不少海外网站与应用程序陆续向用户们发出服务条款更新提示；用户们若不点选同意，则将无法继续使用这些服务。

这正是《数据条例》监管概念的核心─将数据的控制权交还用户，内容包括企业不能再使用模糊、难以理解的语言，或冗长的隐私政策来从用户处获取数据使用许可。过去，对绝大多数用户来说，平台方提供的“数据使用条款”形同虚设。PayPalCEO舒尔曼（DanSchulman）就曾坦言，“谁读过那些长达三四十页的条款？没人。都只是说我同意。”

而新的欧盟《数据条例》要保护的是自然人的“个人数据”，只要该信息能被用于识别个人身份即为个人数据，例如：姓名、地址、电子邮件地址、电话号码、生日、银行帐户、汽车牌照、IP地址以及cookies等。此外，健康、宗教信仰、政治观点、性取向更是属于高敏感级别个人数据，保护力度更大。

值得注意的是，这部欧盟法律的管辖范围并不局限于欧盟境内。因为《数据条例》采用了“市场地原则”，亦即任何企业只要在欧盟市场提供商品或服务，或收集个人数据，都在这部法律的管辖范围。

举例而言，如果一家中国在线销售公司的网站上，使用“面向欧洲的特惠产品”、“欧洲区包邮”的字样，或者标注了商品的欧元价格，就可以被视为在欧盟市场提供商品或服务，并受到该法律管辖

根据定义，《数据条例》中规范的收集个人数据的行为，包括所有形式的网络追踪，例如通过“cookies”（某些网站为了辨别用户身份，储存在用户装置上的资料）或社交媒体插件，来观察、收集、评估客户、员工或其他人的购物习惯、行踪、行踪等。

例如，当下不少电商网站会用“Cookies”自动记录客户的搜索和购物记录，以便有目的性地推荐商品。在《数据条例》框架下，网页经营者必须事先向客户说明Cookies的功能，并获得用户的同意，否则，“未告知记录用户行为”形同违反这部欧盟的新法律。

企业如果违反了《数据条例》，罚金最高可达万欧元（约合1.5亿人民币）或全球营业额的4%，以高者为准。

受《数据条例》规范的行为主体包括任何处理欧盟地区个人数据的自然人、法人、公共当局等，统称为“责任人”。包括网页运营者、搜索引擎服务商、社交媒体服务商、酒店、在线电商等都可能是责任人。接受委托处理数据的“受托数据处理人”，例如云服务提供商，原则上也要遵守《数据条例》相关义务。

《数据条例》还首次明文规定了“遗忘权”，个人可以要求责任人删除关于自己的数据，只要满足法定的理由，责任人就应当立即删除。这些理由包括：该数据对于收集数据的原目的而言，已不再是必需；个人撤回其关于收集数据的同意；责任人对数据的处理不合法；删除数据是履行欧盟或其成员国法律义务所必需的；媒体、网店或在线游戏服务商等收集了儿童的个人信息。

在发生关于数据外泄的权益矛盾时，可以依据《数据条例》提出法律救济的主体，将不只有权利受侵害的个人。消费者保护协会或数据保护领域的团体既可以代表个人，也可以主动地对违反《数据条例》的责任人采取行动。

此外，根据《数据条例》的“最少数据原则”，网站运营者未来只能在必需的时间内，“尽可能少地储存数据”。所谓“实现数据搜集最小化”，包括通过数据聚合手段，汇总个人数据的处理；或实施软件控制的删除周期，以确保数据在规定的期限后，将被自动删除。

但为维护企业利益，《数据条例》也允许欧盟企业在集团内部进行数据交流，但如果位于欧盟的企业要向欧盟以外传输数据，则需要满足特定的条件。例如：中国企业的德国子公司，若要把收集到的客户个人信息传给中国母公司，就属于这种情况。

首先，如果数据传输目的地属于欧盟委员会认定“具有适当数据保护水平”的地区，就可以自由传送。这些国家有安道尔、阿根廷、加拿大、法罗群岛、根西、以色列、马恩岛、新西兰、瑞士和乌拉圭。

如果目的地没有获得这样的认可，责任人则需要充分保证和该数据相关的个人权利。

然而，光给用户选择，或许还不够。在布勒哲尔研究所高级研究员马科斯（ScottMarcus）看来，“只要给消费者选择，他们就能保护好自己隐私”的看法是天真的。斯坦佛大学教授艾希（SusanAthey）曾做过一项实验，发现即使是那些声称自己很在乎隐私的人，也会以个人信息来换取一些好处。

白宫前首席信息官佩顿（TheresaPayton）曾在《大数据时代的隐私》一书中，用“隐私同心圆”模型的概念指出：在古代，个人应对各种自然和社会风险的力量较小，需要抱团，自然放弃隐私。随着生产力进步，个人应对风险能力上升，人们才开始重视隐私。到了互联网时代，用信息可以换取的经济利益多了，被视为不可侵犯的那部分隐私范围，又可能会变小。人的隐私同心圆要画得多大，随着时代而变异。

爱尔兰政府的数据保护专员HelenDixon将负责监督Facebook在全欧盟的数据条例执行。在“外泄门”爆发后，Facebook注册用户数不减反增的情况，在她看来正是所谓的“隐私悖论”──尽管人们声称自己的数据不被利用很重要，但他们仍然会很随便地让出这一控制权。

欧盟首度统一数据隐私规定

相较于世界上其他区域，欧盟素来更重视隐私和个人数据保护制度。

麦肯锡全球研究院院长华强森对财新记者表示，欧洲人比美国人更注重隐私，这与欧洲历史有关。但欧洲之内，不同国家百姓的隐私观也有差异，其中，德国人对隐私最看重，这就和德国连续经历纳粹和东德这两个严密监控人民行为的政权历史有关，导致德国社会如今对个人隐私非常敏感。而在瑞士再保险首席数字化转型官LucaMarighetti看来，美国人对隐私的看重度，则介于中国人和德国人之间。

相对于《数据条例》在欧盟推动的监管新局，中国的数据隐私保护立法，目前中国仅有《电信和互联网用户个人信息保护规定》、《征信业管理条例》和《网络安全法》等少数几部法律文件涉及个人信息保护问题，但这些立法层级不一、内容碎片化，且多为原则性规定，在实践中效果有限，个人数据保护在中国还没有引起法制面的足够应对。

在《数据条例》之前，欧盟关于数据保护的统一指引是年的《个人数据保护指令》。

但那时还没有智能手机，社交网络、电商平台和在线广告还在初始阶段。为了适应20多年间技术的快速发展，欧盟成员国又陆续出台了自己的法律，导致各个国家之间的数据保护水平各异，不利于欧盟内部市场的发展，统一立法的呼声渐起。

指令和条例是两种不同的欧盟法律形式：指令不直接适用于各国，要由成员国转化成国内法，在转化过程中，成员国还有一定的裁量空间；条例则直接在成员国适用。因此，《数据条例》是首部直接适用欧盟各国的数据保护法律，经过两年的过渡期后，即将全面生效。

欧盟委员会副主席、分管单一数字市场的安西普（AndrusAnsip）表示，数据条例刚被提出时有很多质疑，但在最终版本确定后，多数大企业都表示其推出总体是个好消息──至少比过去需要面对28国松紧不一的监管规则的情况好。

“上膛的枪”是欧盟司法专员朱罗瓦（VeraJourova）对数据条例的描述。但监管单位能否真正扣动扳机、保护好数据隐私，还取决于监管者和法院如何解读、执行其要求，以及用户是否会行使数据条例赋予他们的更大权力，成为一个对自己信息负起更大责任的“数字成人”。

《数据条例》保留了欧盟法律中既有的数据保护原则，同时又有新的发展。其中，最重要的原则就是“合法性原则”。它的意思是，只有在两个条件下才能收集和处理个人信息：要么有法定事由，例如为了国家安全和公共利益，要么有相关人的同意。

《数据条例》还扩展了欧盟原有法令中关于相关人权利的规定。传统上，只有物质损害才能获得赔偿。但这一新法实施后，相关人还可以要求精神损害赔偿。

此外，相关人可以要求责任人告知以下信息：数据的内容、来源、接受者，储存数据的目的、时间的长短以及确定时间长短的标准，以及在向第三国传输数据时的数据安全水平保证。

相关人有权要求责任人免费提供一份储存信息的副本，还拥有更正信息、限制处理的范围、提出抗告、向监管机关申诉、寻求法律救济的权利。

在德国，如果提告人结合使用德国《反不正当竞争法》和欧盟《数据条例》，理论上，市场竞争者也有可能对责任人违反数据保护的行为进行法律行动。因为《数据条例》的目的之一，就是通过统一的数据保护法，创设公平的市场环境。具体情况还有待《数据条例》生效后进一步观察。

企业网站声明藏风险

《数据条例》要求责任人必须让相关人理解数据的处理过程，是谓“透明性原则”。为此，条例规定了内容繁多的义务。未来，企业网页上的数据保护声明有可能成为主要的合规风险来源。

概括而言，网页上应当有数据保护声明，这份声明必须能够使每一位访问者清楚地知道，是谁在提取、使用自己的个人信息，在多大范围内、出于什么目的使用和提取。

此外，声明必须告知网页使用者所享有的权利，以及提出抗告的方式。因此，网页上要有运营者的联系方式，还要说明负责数据保护法律事务的联系人。

有一个普遍的误解是，网页运营者常认为，一旦用户登入网页，就已经表示他同意网页收集他的数据。

虽然，单纯收集用户的动态IP地址是属于法定许可范围，但若要收集和处理其他信息，例如通过联系表单的方式要求用户提供姓名、电子邮箱地址和电话号码等，符合《数据条例》的做法是要取得用户事前的同意。

在网页上使用社交媒体插件和Cookies，也必须得到用户的同意。文章网页设置的“分享按钮”是种常见的社交媒体插件，以分享一篇新闻文章至Facebook为例，用户点击分享按钮时，新闻网站会弹出一个预填了新闻网址的Facebook窗口，让用户再度确认贴文内容、点击“分享”。

在这过程中，新闻网站不仅向Facebook传输了文章网址，还把用户的IP地址被传输到了Facebook。根据《数据条例》，新闻网站应提前向用户取得传送IP地址的许可，不然不得为之。

《数据条例》没有强制要求实施加密措施，加密仅是有助达到法定数据保护水平的措施之一，是否必须、在何种程度上实施加密，取决于个案考量。

在中国、美国和欧盟三大经济体之中，由于欧洲没有自己的科技平台巨头，因此欧盟在监管科技企业的进程中，利益包袱相对较轻。马科斯形容，对于美国和中国来说，市场上有了“自己的孩子”，在打击垄断时无疑就多了层考量──尤其是在中美科技领域的对峙有可能长期持续的情况下。

“他们私下承认，很难说完全没有抵御美国巨头的想法。”与欧盟竞争总司有着密切合作的中国平台巨头业界人士，对财新记者如此表示。

面对快速演变的平台经济，马科斯总结道，单纯依靠平台自我监管，或完全依靠自上而下的政府监管，效果都不好。更好的办法是监管和各相关方一道，通过持续、开放的沟通来持续协作解决。目前最好的模式，是针对暴露出的问题采用针对性的举措。但这样的应对方式，也要求一旦出现某些严重情况，监管机构要能快速、坚决出手。

来源：财新网

本期小编：胡雪妮

华政中外法律文献中心

赞赏

长按







































北京哪里治疗白癜风的医院最好
中科大型白癜风公益援助


转载请注明:http://www.hafeiqichec.com/gjdl/15037.html