今天,被稱為史上最嚴信息保護條例的一般數(shù)據(jù)保護條例(GDPR)正式產(chǎn)生法律效力�����,由擁有超重罰款和最廣泛管轄權(quán)��,全球的各行各業(yè)都不得不重新審視自己的數(shù)據(jù)處理政策和行為�,以避免動輒數(shù)億的罰款。由于互聯(lián)網(wǎng)的無國界性��,也將我們中國的互聯(lián)網(wǎng)企業(yè)拉入到了這樣一個席卷全球的個人信息保護的最新進展當(dāng)中�,不僅是有跨國業(yè)務(wù)的互聯(lián)網(wǎng)企業(yè)會涉及到GDPR的合規(guī)問題,大部分的游戲�、購物這種用戶遍布全球各地的互聯(lián)網(wǎng)企業(yè)也由于GDPR的長地管轄權(quán)而受到影響�����。為此����,京東集團��、南方都市報�����、法學(xué)專家��、律師等齊聚一堂��,就熱點問題進行討論和交流�,探討我國的數(shù)字經(jīng)濟企業(yè)該如何應(yīng)對�,避免入“坑”。
GDPR有多嚴格?
對于違規(guī)收集個人信息的互聯(lián)網(wǎng)公司�����,最高可罰款2000萬歐元或全球營業(yè)額的4%����。
這個數(shù)字看上去沒什么概念���。舉個例子,微軟2017年收入
900億美元�,4%就是36億美元;亞馬遜2017年的收入為1779億美元,若罰款4%就是70億美元����。
對大公司罰再多的款看上去也跟開發(fā)者無關(guān),畢竟又罰不到開發(fā)者身上��。
那就錯了��。
在今年初���,華盛頓大學(xué)人工智能專家Pedro Domingos教授的發(fā)推特:GDPR要求算法有可解釋性�����,這讓深度學(xué)習(xí)成了違法行為!
當(dāng)時這條推特就引起了恐慌�。
GDPR全球適用
事實上���,無論公司總部在哪兒�����,無論數(shù)據(jù)存儲和處理地點在哪兒�����,只要與身處歐盟的人做生意��,或者監(jiān)視歐盟公民的行為����,就必須遵從GDPR。再進一步解釋:如果你收集歐盟公民的數(shù)據(jù)�,你就受到GDPR的管轄�����。除非你的公司非常嚴格地排除了歐盟��,否則你還是得處理GDPR合規(guī)問題����。這一寬泛的適用范圍,其出發(fā)點是好的���。要知道����,GDPR其實就是《歐盟數(shù)據(jù)保護指南》的繼任者,所以����,某種程度上,它將怎樣改進現(xiàn)有標準�����,也是眾所矚目的��。
GDPR不僅僅是《歐盟數(shù)據(jù)保護指南》的范圍擴大版�,它還是總體上更為嚴苛的法規(guī),包含更嚴厲的違規(guī)處罰�。違規(guī)最高罰金可達公司全球總收益的4%或2000萬歐元中的高者。說白了�����,這些后果本就是相當(dāng)嚴重的���。除了高額罰金���,GDPR還加入了以下條款:
引入強制數(shù)據(jù)泄露通告�。遭受安全事件并導(dǎo)致個人身份信息泄露的公司����,需要在事件發(fā)現(xiàn)后72小時內(nèi),將事件報告給他們指定的數(shù)據(jù)保護機構(gòu);
引入具備數(shù)據(jù)保護法令專業(yè)知識的指定數(shù)據(jù)保護官員����。該角色必須是獨立的、自治的����,并直接向高層管理匯報。
GDPR提出的要求顯然不止這些�,僅靠這篇文章也解釋不完。這里只是想要說服各位讀者盡快去了解更多��。如果你腦中有這樣的想法:“我得買什么產(chǎn)品才能合規(guī)?”趕緊扔掉�����。購買部署一堆安全產(chǎn)品不能讓你達到合規(guī)的目的��。
該規(guī)定特意編寫得無關(guān)技術(shù)����,且面向未來——數(shù)據(jù)和數(shù)據(jù)安全瞬時萬變的情況下這一點尤其恰當(dāng)。不過�,出于信息安全合規(guī)角度,對公司企業(yè)必須做些什么�,建立起初始有效的解讀,還是可以的���。數(shù)據(jù)安全的關(guān)鍵���,在于“足夠的措施”這句。數(shù)據(jù)控制者必須實現(xiàn)“足夠的措施”����,來確保其處理系統(tǒng)和所掌握信息的機密性和完整性。這包括:
應(yīng)用關(guān)鍵安全控制來恰當(dāng)?shù)貦z測���、管理和緩解數(shù)據(jù)處理環(huán)境中的任何漏洞;
根據(jù)企業(yè)策略配置系統(tǒng)��,并維護該配置;
主動識別偏離該策略的系統(tǒng);
持續(xù)監(jiān)視日志文件��,警惕任何潛在數(shù)據(jù)泄露或漏洞;
維持有效檢測����、響應(yīng)和緩解任何安全事件的能力;
以安全的方式使用云服務(wù)。
專家是如何解讀GDPR的?
京東集團首席人力資源官兼總法律顧問隆雨
GDPR基于對新技術(shù)這樣一些前瞻性思考����,綜合平衡個人信息的各種數(shù)據(jù)的應(yīng)用場景,還有各個利益方相關(guān)的需求����,創(chuàng)新了數(shù)據(jù)保護工具和規(guī)則,為全球提供了一套綜合嚴謹?shù)膫€人信息保護的一個保護框架����,在數(shù)字經(jīng)濟的時代誰首先發(fā)現(xiàn),首先實現(xiàn)了數(shù)據(jù)的有效治理��,誰就掌握了全球數(shù)字經(jīng)濟發(fā)展的主動權(quán)和話語權(quán)���。GDPR的實施具有重要的宣誓意義���,有利于建立以歐盟規(guī)則為藍本的全球數(shù)據(jù)治理規(guī)則體系,使歐盟成為全球數(shù)字經(jīng)濟持續(xù)的這樣一個引領(lǐng)者和發(fā)生者�����,這也是GDPR作為一部區(qū)域性的這樣一個法規(guī)���,或者說國家性的����,就是我們所說的國家聯(lián)盟性質(zhì)的這樣一個區(qū)域性的法規(guī)�����,卻引起了中美等主要經(jīng)濟體還有國家相關(guān)的監(jiān)管部門�、研究機構(gòu)、跨國公司廣泛的關(guān)注�,這個也是相應(yīng)的原因所在。
中國社科院法學(xué)研究所的研究員周漢華
GDPR從指令制訂的開始到出臺����,應(yīng)該說歐盟不是不想發(fā)展,它一直想在兩個價值之間實現(xiàn)平衡�����,一要保護����,因為在大數(shù)據(jù)時代個人信息被濫用的后果比過去更加嚴重,另外一個方面他也要追求單一的數(shù)字市場的形成,推動歐盟經(jīng)濟的發(fā)展�����,所以說這樣一種雙重的價值既體現(xiàn)在指令GDPR的名稱當(dāng)中���,大家知道這個名稱當(dāng)中一直是這兩個都放在里面的,第一是保護��,第二是數(shù)據(jù)�����,促進數(shù)據(jù)的自由流動,所以既在名稱當(dāng)中也體現(xiàn)在立法結(jié)構(gòu)的整體安排上�����,同一天歐盟通過的是三個文件���,GDPR是679����,后面有680、681兩個指令����,一個條例兩個指令同時通過�����,一個是對付一般犯罪的���,一個是對付恐怖主義和嚴重犯罪的���,那個就對個人信息的保護進行了檢索��,就是要維護公共利益���,所以他是要兩個價值是平衡的,更體現(xiàn)在指令GDPR的前沿���、基本原則和具體規(guī)定當(dāng)中,所以他們做的很好���,把前沿也給翻譯過來了�,我們現(xiàn)在移動互聯(lián)網(wǎng)的時代,微信的時代����,GDPR剛出現(xiàn)之后很多地方翻譯�����,為了圖省事只把條文給譯出來����,前沿都給刪了�,其實前沿的內(nèi)容有的比后面的條文還很小�,所以如果整體來認識GDPR���,它其實是體現(xiàn)了這么一個原則�����,就是要激勵相容����。
中國人民大學(xué)法學(xué)院的楊東教授
數(shù)據(jù)治理隱私保護方面,既要借鑒外國和先前的一些規(guī)則�,但是也要有所突破,有所創(chuàng)新,敢于擔(dān)當(dāng)����。
外經(jīng)貿(mào)大學(xué)法學(xué)院教授梅夏英教授
歐盟GDPR第17條還是保留了關(guān)于被遺忘權(quán)的規(guī)定���,它上面的表述是第17條刪除權(quán)來規(guī)定�,后面括號被遺忘權(quán),說明現(xiàn)在對于被遺忘權(quán)的理解已經(jīng)從權(quán)利轉(zhuǎn)向到一個制度了,也就是說它其實是一種刪除制度的表述��,被遺忘權(quán)只是一個慣性��,一個人請求刪除他自己的信息,把它弄成被遺忘權(quán)�,其實它是刪除制度�����。如果從刪除的角度理解被遺忘權(quán)��,我們之前理論上大量進行權(quán)利論述的東西�,我看它可能都要修正���,因為它不具備民事權(quán)利的基本特點��,它只是一種請求的形式�,按照民法來講�,它通過這一條請求別人刪除我們的信息�����,至于說什么被遺忘權(quán)�,它不能脫離于這條規(guī)則之外起的作用����,另外這個權(quán)利是通過實體法規(guī)定����,沒有實體法這個權(quán)利就不存在,所以對于被遺忘權(quán)我們首先了解到他不是一項跟正式的一個民事權(quán)利���,另外它要解決的問題也不是說隱私權(quán)或者個人信息保護能解決的�����,我們發(fā)現(xiàn)他所要求,它對法律的要求已經(jīng)超出了我們傳統(tǒng)個人信息保護的內(nèi)容,因為我們傳統(tǒng)個人信息保護是對信息收集��、流通的一個合規(guī)性��,對它的一種數(shù)據(jù)最小化的能力���,而被遺忘權(quán)他倡導(dǎo)的是說在數(shù)據(jù)流通、收集��、合規(guī)的情況下還要照顧到信息相關(guān)人�����,有對他遺忘的這種需要�,這種需要真是后來疊加上去的,也是前所未有的��,所以它不能夠認為是個人信息保護法����,但是我們可以把它加進去作為另外一個緯度的問題來考慮。
被遺忘權(quán)究竟怎么理解�,它是個人的社會心理,說不清道不明的,它只是一種不適應(yīng)����,它沒有違反性的前提,另外被遺忘權(quán)確確實實從公共利益角度看他也有他的合理性����,就像我們講個人信息保護是私權(quán)的體現(xiàn)���,事實上他要解決的是公共安全問題��,我們看到很多我們個人信息保護法解決不了犯罪�,為什么呢?因為它只是通過個人信息保護的一種限制來消除公共信息領(lǐng)域���,我們看到很多案件都是用別人掌握的信息��,本身并不構(gòu)成什么對他人利益的侵害��,只是公共信息在流通的過程當(dāng)中產(chǎn)生的隱患��,是個人受到了其他形式的侵害�,比如說中國知道一個什么�����,上次的九千塊錢的事情,是他的信息被別人掌握以后通過詐騙來犯罪����,信息披露本身沒有什么,個人信息保護還是公共安全增加了很大部分��,它增加了受侵害的可能性�,被遺忘權(quán)也是這樣,一個人的信息尤其是在不利的��,還有不必要的信息長時間不能消除以后��,它可能對個人的生活帶來其他方面的影響��,比如說在求職的時候�����,或者在入境的時候都會產(chǎn)生影響���,這可能是我們要關(guān)注的問題�,在這種前提下我們對于被遺忘權(quán)一定要結(jié)合個人利益和公共利益一起來考慮����,并且不能夠完全從隱私權(quán)個人信息權(quán)這方面考慮��,這樣我們才能夠把他放到一個相對的自由裁量���,通過裁判來發(fā)展,而不能夠先入為主的����,把他作為司法上的一項利益,或者人格利益�����,或者一項權(quán)利來入手����,這僅僅是開始����,今后我們還會面臨著一個又一個問題。
清華大學(xué)法學(xué)院教授�、黨委副書記程嘯教授
保護個人數(shù)據(jù)也里面你究竟是保護什么東西,從歐盟的數(shù)據(jù)條例�����,或者歐洲人,尤其德國人喜歡從人權(quán)高度來談?wù)撨@個問題���,特別是二戰(zhàn)����,兩次世界大戰(zhàn)�����,包括德國人到現(xiàn)在反思當(dāng)年納粹對人權(quán)的侵犯����,尊重人格尊嚴人格自由,這個就有點抽象了�����,因為中國法的語境下討論這個問題����,必須考慮到中國老百姓,中國老百姓一般不考慮這個問題��,當(dāng)你要不同意給數(shù)據(jù),然后你用不了APP的時候����,你跟老百姓講說這個時候個人的人格尊嚴很重要,我估計他不會搭理你��,他想的是我先用了再說�����。
個人數(shù)據(jù)怎么保護?我覺得就是明確權(quán)利內(nèi)容����,以及從民法上講,當(dāng)然像公法上的保護歐盟的條例很多���,我們中國的《網(wǎng)絡(luò)安全法》也有相當(dāng)多的規(guī)定。從民事上就是要明確權(quán)利內(nèi)容還有權(quán)利被侵害的救濟方法����,權(quán)利的內(nèi)容實際上可以看到我們現(xiàn)行的一些規(guī)定和GDPR的規(guī)定是有共性的,有些內(nèi)容我們也做了規(guī)定����,我這里做了個列舉����,包括同意權(quán)��,下面紅色列的是歐盟條例里規(guī)定的�。第二個訪問權(quán),這個我們沒有��,但是更正權(quán)在我們《網(wǎng)絡(luò)安全法》里是有規(guī)定的��,還有刪除權(quán)在《網(wǎng)絡(luò)安全法》里也有規(guī)定�。
民法典權(quán)編中如果能夠?qū)η趾€人數(shù)據(jù)權(quán)利的方式做出相應(yīng)的規(guī)定,我們就可以雙管齊下���,不僅僅是通過公法方面來進行相應(yīng)的規(guī)范�����,也可以通過私法�����,私法我們也不僅是通過個人的私人的民事訴訟����,也包括我們的檢察機關(guān)的公益訴訟,我們就可以形成一個多角度的一個數(shù)據(jù)保護的格局��,這個和未來產(chǎn)業(yè)的發(fā)展��,對于廣大人民群眾的人身和財產(chǎn)權(quán)的保護都是非常有利的��。
中國信息通信研究院安全研究所數(shù)據(jù)安全研究部的副主任陳湉陳主任
域外管轄權(quán)背景就是為了應(yīng)對美國法案的提出����,所以可以看出來歐盟其實非常厲害,一方面整個歐盟境內(nèi)的整套頂層設(shè)計建立完了��,他還非常硬氣���,美國怎么干我就跟你對著干�����,當(dāng)然對著干的時候我們觀察到了一點�,我覺得是值得我們警惕的一點��,GDPR我們一直在講適用范圍的擴展�,這個擴展還是對于數(shù)據(jù)控制者主體的適用范圍擴展��,對于數(shù)據(jù)來講他還是強調(diào)你是在歐洲運營過程中收集產(chǎn)生的數(shù)據(jù),這個數(shù)據(jù)應(yīng)該是跟歐盟的居民是緊密相關(guān)�����,是它的個人信息����,這是GDPR的一個考慮。
我們必須要警醒是:美國和歐盟都有類似的法律了����,而我們還沒有一個比較強硬的應(yīng)對措施。所以要做好以下兩點工作:
第一����,我們還是盡快去完善自己本國的國內(nèi)法,但是我覺得這個國內(nèi)法應(yīng)該是整個法律體系����,從安全角度上我們有《網(wǎng)絡(luò)安全法》,我們行業(yè)主管部門在《網(wǎng)絡(luò)安全法》上位法基礎(chǔ)上應(yīng)該形成一套完整的���,包括部門規(guī)章�,包括標準在內(nèi)的一套整個數(shù)據(jù)保護的法律法規(guī)還有標準體����。
第二���,如果要制訂個人信息保護法,是咱們整個從國家層面上進一步完善法律的措施����。另外一個在規(guī)則制訂當(dāng)中,是要引入風(fēng)險控制思想���,剛才談到第一點啟示��,我覺得是在我們在做具體規(guī)則設(shè)置���,部門規(guī)章或者標準當(dāng)中需要考慮的一個問題。
我國的數(shù)字企業(yè)該如何應(yīng)對GDPR?
南方都市報大數(shù)據(jù)研究員分析國外知名app發(fā)現(xiàn)�����,為滿足的合規(guī)要求��,絕大多數(shù)的隱私政策透明度更高�,不僅文本通俗易懂,呈現(xiàn)方式多樣�����,且上線了特殊的隱私保護功能���。
相比于國外企業(yè)積極應(yīng)對�����,國內(nèi)涉及歐洲客戶的跨國公司似乎還在觀望���。但即便不受限制,這些在隱私保護上的合規(guī)實踐���,仍可供國內(nèi)企業(yè)借鑒和思考���。
GDPR雖然是歐盟的法案,但全球化下���,中國企業(yè)多少會受到影響�����。國內(nèi)的網(wǎng)絡(luò)安全法����、《信息安全技術(shù)個人信息安全規(guī)范》等也已經(jīng)有類似規(guī)定。結(jié)合GDPR和國內(nèi)法律法規(guī)�����,建議企業(yè)進一步優(yōu)化隱私政策和產(chǎn)品功能設(shè)計��,保障用戶進行數(shù)據(jù)訪問����、更正、刪除�����、注銷賬戶�、撤回同意、獲取個人信息副本的權(quán)利���。
寫在最后:究竟GDPR影響范圍多大�,實施效果如何�����,涉及歐洲業(yè)務(wù)的國內(nèi)企業(yè)是否又會就此作出怎樣的合規(guī)調(diào)整,這些問題有待后續(xù)觀察�����。但是不管怎樣����,一家企業(yè)在隱私政策上愿意花費心思���,且有諸多保障用戶權(quán)利的功能設(shè)計��,并非壞事����。
為更好的為公眾說明安全知識的重要性�,本站引用了部分來源于網(wǎng)絡(luò)的圖片插圖,無任何商業(yè)性目的�����。適用于《信息網(wǎng)絡(luò)傳播權(quán)保護條例》第六條“為介紹、評論某一作品或者說明某一問題���,在向公眾提供的作品中適當(dāng)引用已經(jīng)發(fā)表的作品”之規(guī)定���。如果權(quán)利人認為受到影響,請與我方聯(lián)系�,我方核實后立即刪除。
