《一般数据保护条例》25日正式生效被称世界最严隐私保护法--手机中研网

世界最严隐私保护法,一般数据保护条例

《一般数据保护条例》25日正式生效被称世界最严隐私保护法

最近几周，欧洲人的电子邮箱被来自各类商家、企业、医院和协会的通知邮件挤满。这类邮件都有一个共同目的——恳请用户同意新的使用条款，与相关机构保持联系。这是因为被称为“世界最严”的欧盟隐私法案《一般数据保护条例》(GDPR)25日正式生效，各类机构企业都在“大限”来临前争分夺秒修改规则，避免巨额罚款。

这部新条例取代1995年颁布的《数据保护指令》，对使用用户信息的机构和企业提出严格要求。根据新规，机构和企业必须先获得用户明确授权才可收集和使用其个人信息，包括姓名、证件号码，甚至是健康情况、宗教信仰和家庭情况等。该条例还赋予用户“知情权”“修改权”和“被遗忘权”等。比如，消费者有权知道自己的哪些数据被企业保存。如果信息错误或不完整，用户有权要求更改。此外，用户还可要求企业或机构删除其个人数据，这意味着人们将可随时删除自己留在网上的“黑历史”。对于违法企业，罚款可高达2000万欧元或其年度全球营业额的4%。

根据新规，若不更新使用协议，相关机构和商家就不能再给用户发送邮件，从而与用户“失联”。因此各个机构已经使出浑身解数，通过“声情并茂”的邮件试图与用户保持联络。《环球时报》记者近日也遭到此类信件的“轰炸”，每天数十封邮件要求记者同意用户协议。由于媒体的不断报道，大多数欧洲人已了解到该新法规，并认真回复邮件。

不过，密集的邮件轰炸也使网民大呼受不了。在电子邮箱被占满后，网民纷纷抱怨。有人晒出电邮收件箱截图，满屏都是商家机构的“垃圾邮件”。还有人指出，几乎可以肯定，GDPR已经制造了互联网历史上最大规模的垃圾邮件刷屏事件。有人对此次新法的覆盖规模表示震惊，因为连金属乐队都开始一本正经地强调数据保护问题。此外，各机构的邮件文案也成为另一个引人注意的话题。有些机构因别出心裁的文案被点赞，成功吸引粉丝。但英国《卫报》指出，许多企业实为慌了手脚，有些企业实际没必要发送这类邮件，而有些邮件本身就涉嫌违法。

德国《图片报》24日称，对于消费者而言，他们的隐私有了“保护神”。而对于企业或机构而言，新条例则是一个“紧箍咒”。该条例不仅对欧盟内部机构生效，且对所有在欧盟开展业务的机构生效。脸书、谷歌和推特等国际公司也早已开始采取措施应对新法。脸书此前已宣布，旗下即时通讯软件WhatsApp在欧盟的最低使用年龄从13岁提高至16岁。

《卫报》24日称，在新法即将生效之际，很多欧盟外部企业已采取“核武选项”解决问题，即暂停或终止为欧盟用户提供服务。一家电子邮件公司称，自己的盈利模式就建立在收集用户电邮信息之上，因无法满足GDPR要求，只得退出欧盟市场。甚至有人从规则变化中看到商机，专门帮助欧盟外部企业过滤欧盟用户，以使他们免遭违规罚款。

德国保险公司联合会的调查显示，仅1/5的中小企业已为新法做好准备。德国基督教民主联盟经济发言人则对媒体表示，GDPR是欧盟创造的又一巨大官僚怪物，将给企业穿上紧身衣，增加负担。不过也有数据保护问题专家称，欧盟已给各企业两年时间进行准备，新规定的目的是保护公民个人信息。因为新规退出欧盟，只能说明很多公司对数据保护问题的重要性缺乏认识。

相关推荐

世界最严隐私保护法

被称为“史上最严数据保护条例”“大数据时代的最强法规”的GDPR将于25日实施，这为全球企业数据保护工作敲响了警钟。极为严苛的罚金制度、事无巨细的数据安全条例令中国企业也感到了前所未有的危机感。“如果企业完全按照GDPR条例来工作，开展海外业务的难度将大大增加，这甚至关系到企业在欧盟市场的存亡。”一家中企负责人对记者表示。

“GDPR与之前的数据保护规则相比，数据主体权利更大、对数据控制者问责更严，企业一定要重视起来。”在国际商会中国国家委员会数字经济委员会日前举办的中国企业应对GDPR研讨会上，Ecovis北京创始人、德国律师霍毅(Richard Hoffmann)指出，GDPR的目标包括自然人个人数据的保护、数据在欧盟内部的有序流动、自然人的基本权利和自由。

据了解，GDPR的保护对象主要包括个人数据和特殊数据。一般来讲，个人数据包括任何指向一个已识别或可识别自然人的信息。如姓名、地址、邮箱、手机号码、身份证号码、工资、受教育程度等。而特殊数据包括政治观点、宗教信仰、生物特征、基因数据、性取向等。同时，数据处理手段和数据处理原则也涵盖其中。GDPR对数据的保护贯穿信息咨询、采集、记录、使用、传输披露、传播、排列组合、限制、删除、销毁等全过程。要求企业对自己行为能够负责、能证明每一个相关行为的合规性，并根据要求与监督机构进行合作。

“如要求企业在处理个人信息时公平公正，不应有偏颇或歧视。个人信息处理的方式或流程应具有透明性，使当事人可以知悉相关资讯。”毕马威管理咨询服务总监肖腾飞表示。

GDPR欲保护隐私与信息自主等基本人权，因此对当事人的权利形式十分重视。数据拥有者具有数据访问、纠正、删除、限制处理、反对、数据移植、特定情形下的同意撤销权、向监督机构投诉等一系列权利。

同时，GDPR对上述权利的保护范围也很广。“在中国，一个人在会场上为同事拍照，并发到社交媒体上是很自然的事。但GDPR实施后，必须要经过该同事同意才能上传，否则将面临被控告的风险。”霍毅表示，一个企业在任何地方、不论规模大小，如果数据库里含有欧盟公民的信息，且不管欧盟公民身在何处，该企业均受GDPR条例的约束。

肖腾飞对这一观点表示赞同。“GDPR除了适用于在欧盟设立企业或分支机构处理个人信息的企业，也适用于虽然未在欧盟设立实体公司但在欧盟境内外处理个人信息的企业，只要企业处理个人信息时涉及提供货物/服务给欧盟居民或监测欧盟居民在欧盟境内行为，都归GDPR规范。”他说。

肖腾飞指出，对于数据跨境传输问题，GDPR要求原则上禁止、例外情况允许。出现将数据传输至保护程度与欧盟相当的国家，已对数据采取适当保护措施，同时符合当事人同意、执行契约必须要求等因素时才被允许。

霍毅建议，企业应令员工接受相关培训、在收集数据环节取得提供数据的客户/合作伙伴的同意、处理数据时要合法合规、必要时委任数据保护专员进行处理。

GDPR即将生效，除了将会给企业带来更多的法定义务外，也可能带来机遇。据凯捷数字化转型研究院日前发布的最新报告显示，GDPR将正式生效，但85%的欧美企业未能在生效日期前按时完成数据合规工作。此外，25%的企业将无法在今年年底实现全面合规。报告指出，那些在生效日前达成合规，并重视合规以及消费者数据透明投资的企业已初见回报。对能够保护消费者个人数据并获得其信任的企业，39%的消费者增加了在该企业的消费，购买该企业更多产品。40%的消费者增加了与该企业的交易频次，多达数次甚至形成了定期交易。

“在GDPR出台前，微软、Facebook受到的相关处罚已超过1000万欧元。由此可见，欧盟对数据保护都非常重视，执法严格，并非虚张声势。我国企业应高度关注，并做好投入一定成本的准备。”肖腾飞认为，在此大趋势下，企业做好数据保护，可以把握增收良机，创造更多的商业价值。