今日(5月25日),对于不少拥有欧盟公民数据的企业来说,是个会瑟瑟发抖的日子,被称为史上最严格的个人数据保护法案 GDPR 今日开始正式实施。
自2015年12月在欧盟理事会获得通过后,GDPR(欧盟通用数据保护条例)就像是戴在各家企业头上的紧箍咒,大家都在观望,谁将是第一个被黑客盯上被入侵的企业。
这个场景让雷锋网编辑想起小时候老师检查作业的情景,作业早就布置好了,谁没完成?!站出来!
在两天前(5月23日),“好学生”苹果就先交了一波作业---其宣布已上线全新的“数据&隐私”网站,欧洲用户可以在这里下载所有与Apple ID关联的数据,包括购买记录,应用使用历史、日历、照片等,换句话说,用户明明白白的知道到底有哪些数据被苹果所掌握。
更为重要的是,欧洲用户还可以彻底删除AppleID,即让这些数据永远消失。
有分析人士指出,苹果所上线的数据和隐私网站正是为了响应GDPR,作为规则的一部分,公司需要向欧盟的客户提供一种明确的方式来查看他们的服务器上到底存储了哪些具有个人身份的信息,同时还要保证用户可以随时删掉这些信息。
那么,令巨头们人人自危的 GDPR 到底严在哪里?这项旨在保护欧盟公民信息的条例会对我们有何影响?严苛的条例之下,是否会阻碍部分依赖数据的企业快速成长?
重赏之下,必有勇夫;重罚之下,必有畏者。
如发现严重违规,最高可罚 2000 万欧元或企业上一财年全球营业总额的4%,以较高者为准。
雷锋网发现,在众多媒体的报道中,天价罚单一直是贴在 GDPR 身上的第一个标签,对于中小型企业来说,2000 万欧元的罚款,足够自己喝一壶的,而对于大企业来说,全球一年营业总额的 4% 也不是一个小数目。
以Facebook 为例,光是2018年第一季度的营收就为 119.66亿,如果这次的泄露事件是在5月25日之后被曝出来,小扎要做的可不仅仅是道歉整改这么简单了。
刘永波目前是昂楷科技的CEO,根据他多年来从事数据安全工作的经验,这样高额的罚款从未出现过,以我国的《网络安全法》为例,针对个人信息泄漏的罚款大多数情况下往往只有几万元,数额并不高,而且没有规定到营收的比例。
但他认为,GDPR 除了天价罚单,最值得关注的点,应该是它作为一个专门保护个人信息法案的出台。
之前虽然也有相关法案,但个人信息保护更多的是作为其中的一部分来出现,也就是说,普通的个体并不是这些信息保护法案的主要针对者,而GDPR第一次把目标明确地指向了相对弱势的个人。出现这个问题的原因,是因为在过去十多年互联网的快速发展中,个人信息正在大规模地被各类企事业组织所采用。
大家可以对比一下十年前和现在,十年前,各类企事业组织所搜集的个人信息很有限,而现在,无论是打车、外卖、网购,还是在公共服务领域,都会大规模采集公民个人信息,近年来有关个人信息泄露的案例更是数不胜数,所以这个问题是全球各个国家都正在面对的。
目前,我们虽然也有《个人信息保护法》,但还在制定中,并未正式颁布,未来GDPR可起到一个参考的作用。
之前,曾有来自广东的产妇因在出院后频繁接到推销电话,而把医院告上法庭,并取得胜诉,刘永波认为,未来随着 GDPR 以及各个国家的个人信息保护法案的出台,这种例子将不会是少数。“如同当年塞班斯法案的出台影响了全球很多企业对财务数据的处理,我认为 GDPR 的出台也将会对全球公民个人信息的保护产生深远影响。”
在说GDPR具体的条例之前,我们先来看一个你平常生活中经常遇到的场景。
刚刚在淘宝刚刚看了一款运动鞋的你,在刷微博的时候立马看到了相关的推送广告,认真回想后,好像并没有人找你确认过淘宝的浏览数据是否可以被另一个平台搜集。
仔细一查,你就会发现,在淘宝和微博的后面,好像站着同一家公司---阿里巴巴,有人质疑联姻导致了数据未经允许流向第三方平台,其实,从广告匹配的实现原理上说,它是在你访问网站时,在你的浏览器里写入一些 Cookies ,淘宝通过其广告平台来利用这些 Cookies 对应显示更为精准的广告。
虽说近年来我们已经对这种精准的广告推送习以为常,但这背后的操作是否违规?
在GDPR这里,是的!
刘永波告诉雷锋网编辑,GDPR 的特点之一就是对于个人信息的保护规定的更为周详,看具体的条例就能发现,这绝不仅仅是欧盟喊一个调子而已。
他从授权、适用范围和撤回这三个具有代表性的条例来举例。
首先,从授权来讲,数据的收集必须事先征得数据主体的同意,而且"同意"必须是具体的、清晰的,是用户在充分知情的前提下自由做出的,不能是以非常隐晦的手段。因为用户在这种情况下是处于弱势地位的,特别是一些常用的APP,为了生活的便捷,很多人不得不选择同意。
比如国内企业常用的,以小字号淡颜色甚至缺省方式获取用户的授权,通过冗长晦涩的隐私政策来获取用户同意,或者让用户在签订业务协议时通过"打勾"作出一揽子授权,都可能被认定为违规。
第二,对于数据使用的范围,更加严格,如果企业将数据使用的范围扩大,无论是将数据提供给了第三方,还是把数据作为企业对外服务的一部分(比如提供给广告企业作为营销推广对象,或者作为对外发布的报告中的案例),都必须重新获取数据主体的授权和同意。
以我们刚刚提到的淘宝和微博为例,根据GDPR的要求,如果以后遇到类似微博要用淘宝数据的情况,必须明确告知用户使用理由和范围。并获得明确同意。
第三,GDPR赋予数据主体可以随时撤回同意的权利。不仅如此,如果这组数据已经传播出去,或者给第三方使用了,企业还有责任通知数据的使用者删除。
刘永波以之前知乎的一个纠纷为例,之前曾有用户的隐私出现在知乎某个帖子中,在该用户要求知乎删帖后,知乎以不能随便删除发帖人的帖子为由拒绝删帖。如果这种情况出现在GDPR中,那铁定是可以删除的。
以他的经验看,目前无论是我国的《网络安全法》还是《信息安全等级保护法》,对于个人信息保护的明确程度,还远不及GDPR,后者赋予了数据主体更为明确的同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的权利和自由,未来我国的个人信息保护法案,可能会参照GDPR出台更为细致的规定。
其实,自2015年12月在欧盟理事会获得通过后,关于 GDPR 的争议就从未间断过,虽然站在用户的角度看这是对自己权益的保障,但对于众多手握大量数据的公司而言,这项法案的各项规定足以让他们不寒而栗,可谓是有人欢喜有人愁。
在创业之前,刘永波曾在华为工作过很长时间,当时他就对欧洲国家的信息安全保护规则留下了很深的印象。
当时华为进入英国时,不仅要遵循英国电信的安全保护条例,还要满足英联邦的各项安全法规,他们对于通信运营商和设备运营商的安全要求非常高,所以GDPR的出台肯定会对一些把生意做到欧盟的中国企业有很大的影响。
由于GDPR采取了“长臂”管辖原则,只要中国的企业为欧盟境内的数据主体提供了服务,即使其在欧盟境内没有设立任何分支机构,也依然受到 GDPR 的管辖。
他举例,无论是华为、小米等手机厂商,还是为欧洲用户提供APP应用的公司,未来在数据的收集、驻留尤其是在云上的数据流转和使用,将会更为严格。比如为了达到更为明确的知情权,企业未来一定会重新搭建一个新的系统,让用户选择同意与否,这些都会增加企业的成本,而这些成本,未来还是要转移到用户身上的。
与此同时,这不仅仅是一家公司能解决的问题,为了合规,一定是需要很多厂商一起拿解决方案,众多产品和技术要重新规划,合规其实并不简单。但从另一方面看,整个欧盟用统一的规则也避免了企业根据各个国家的不同要求而进行调整。
作为一个新生事物,也要允许“瑕疵”的存在。根据最近公布的《欧盟企业间数据共享报告》显示,严格的数据权利保护制度并没有实质性影响欧盟境内的规模化和商业化数据共享,而欧盟精英阶层也并没有把“个人数据权利保护”定性为绝对的“政治正确”,而是采取柔性策略平衡数据共享中的价值冲突。
从长远来看,刘永波依然对GDPR持肯定的看法,“好比说开车,如果没有交通的管制,车还少的时候,肯定是很舒服的,但如果到了早晚高峰,不制定相应的规则,是很可怕的,大家都说人工智能需要算法,但如果算法的数据来源本身就是违规的,这样的算法你还敢用吗?”
换言之,即使会增加成本,但这依然是一件不得不做的事情,就像繁忙的都市要顺畅运行,一定少不了对交通管制的投入。
最后,让我们通过一组来自社交平台的真实用户的记述,感受一波GDPR的“彪悍”气息~
@工作狂校尉:欧盟数据保护法GDPR马上要生效,邮件蜂拥而至,连订阅邮件也要用户同意才能发了,真严格。自从欧盟通过新的隐私法律后,收到了好多来自各个软件、游戏、网站的订阅邮件,讲他们的隐私政策的变化。
@邢啊过来一起吃:公司天天发gdpr的培训... 还要考试,无妄之灾啊!
@Mengyi_dream:最近频繁收到GDPR Update Privacy policy的邮件,让我恍然意识到这些年来自己不知不觉在那么多购物商和中介那里留了邮箱和个人信息,然后感慨还好GDPR让消费者有了消除这些个人信息的权益。
@埃森哲中国:与以往的隐私规则相比,GDPR的影响更为深远。在数据保护上,数据供应链自上而下的各方都会被问责;在获取和管理个人信息上,GDPR提出了新的、更严格的要求,并赋予个人明确的权利,为企业通过人工、流程和技术进行用户数据管理带来了一定的冲击。
注:本文所有引用的社交平台言论,来自微信公众号“法律出版社”