欧盟批准更加严格数据保护规则保护个人隐私
欧洲议会今天宣布投票支持新的数据保护法,后者将适用于位于欧盟的所有公司,无论他们的总部位于哪里。这一法律早在四年前提出,它代表了对1995年起草的规则的意义重大现代化更新,当时网络和数字服务远没有现在这么成熟。去年底在各个欧盟有关当局同意这些规则后,现在这些规则正式上线,这使得公司必须负 责数据保护,也让公民对与他们有关的信息拥有更大的控制权。
根据通用数据保护规则(GDPR),公司必须确保在默认状态下自己的产品和服务尽可能少的获取和处理个人信息。这迫使例如社交网络这样的服务必须确保用户拥有最严格的隐私设定,而不是必须从菜单里寻找如何退出他们在注册时就自动包含的项目或者特征。
这与公司负有保证数据收集更加透明化的责任相一致。公司必须获得用户“清晰明确的”同意才能处理他们的个人数据,并提供撤回同意权的简单方式,此外,数据将用于什么用途必须以“清晰直白的语言”陈述清楚。在新的数据保护规则下,任何处理大量个人数据的业务必须雇佣一名数据保护官员,违反这些规则必须在72小时内公开揭露。
欧洲议会表示最新的规则将让公司受益,因为它引入了单一一套必须遵守的法律(而不是28个成员国各自的规则)以及单一的监管机构。切不可对GDPR掉以轻心,如果任何公司或者组织违反或者不遵守这一规则将处于高达4%全球营业额的罚款。像谷歌这样的巨头这将是一笔巨款。
除了针对公司更加严格的规则,GDPR还让欧盟公民对自己的个人数据获得更大的控制权,包括“数据可携带性”,也即在不同服务之间移动数据的能力,例如指导目前的网络服务提供商(ISP)将特定信息透露给新的ISP。然而,事情远比这个更加复杂。理论上来说,你将可以切换邮件提供商,例如将所有的联系人信息和邮件历史从谷歌移动至雅虎;或者利用现有社交网络账户的数据设立新的社交网络账户。
“被遗忘权”(Rightto Be Forgotten)也是新规则的重要部分。你可能还记得欧洲法院裁定个人可以要求搜索引擎从包含“不相关”或者“过期”个人信息的结果里移除链接。这种法律拘束性判决现在不仅是欧盟法律的一部分,这一权利还已经延伸到覆盖各种类型的个人数据。例如你可以要求Facebook 删除你的账户以及所有与你的活动相关的数据;社交网络必须立即执行。当然这其中存在某些警告,当“数据被用于历史、统计和科研目的,为了公共健康或者为了执行自由表达的权利。”
在被遗忘权下,儿童拥有特殊的保护,GDPR还包含新的规则要求社交网络在让儿童注册账户之前寻求父母的同意。好几个欧盟成员国已经有了这一规定,每一个国家将设立自己的年龄门槛。
虽然可能与一般网络用户不太相关,但今天批准的数据保护“套装”还为欧盟法律执行部门处理个人数据创造了一套指导方针。数据保护指令划分了成员国之间数据移动的“最低保护标准”,例如确保个人信息“被合法、公平的处理,且只针对某一特殊目的。”
本质上来说,数据保护指令试图平衡个人的权利和法律执法部门之间跨界合作的需要。利用一套指导方针,有关当局不再需要处理不同国家的各种繁琐规则,这将促进成员国有关当局之间更顺利更有效的数据传输。
现在既然这些规则已经被批准,GDPR和数据保护指令将很快变成欧盟法律的一部分,但这些规则要等到2018年4月才真正生效。这给成员国提供了两年时间将这些规则复制粘贴到自己本国的法律和流程中。当然这些规则可能在此之前就会产生影响。
毫无疑问,这是讨论立即更新欧盟电子隐私指令的关键,后者专门处理电子通讯数据,例如cookies的使用。此外,欧盟和美国正在研究Privacy Shield隐私保护法案,后者将主导大西洋两岸个人数据的移动和使用,主要是为了取代已经失效的安全港协议。