侵犯隐私罚1.5亿 新的法律横空出世 震撼了全球的互联网巨头们
侵犯隐私罚1.5亿 新的法律横空出世 震撼了全球的互联网巨头们
下载一个APP,填上自己的电话号码等数据,过几天就接到了无数条垃圾短信和推销电话;
注册一个账号,弹出超长的“用户协议”看都没看完就点了“同意”,过几天发现自己的邮箱里塞满垃圾邮件。
根据中国互联网协会发布的《中国网民权益保护调查报告2016》,我国网民一年间因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失达915亿元,人均损失123元。
虽然在如今这个大数据时代,网民隐私被互联网企业侵犯甚至牟利使用已在全球各地成了家常便饭,但是以前各国立法并没有完全跟上互联网的发展速度。
欧洲时间2018年5月25日,新的法律横空出世,震撼了全球的互联网巨头们。
欧盟出台的《通用数据保护条例》(简称GDPR)从这一天起开始强制执行,这个号称史上最严的数据保护法案,将使得过去一些人们习以为常的隐私侵权做法不再合法。
根据该法案规定的“市场地原则”,来自美国、中国等的互联网企业只要在欧盟范围内营业,也将受到该法案的管辖。
这项新法案实施两天以来,已经在全球互联网领域掀起了轩然大波:
Facebook和谷歌等美国企业成为GDPR法案下第一批被告;
许多网站由于来不及做到合规,干脆暂时在欧盟地区下架;
很多欧洲人收到软件服务商的邮件,恳请他们重新同意清晰版本的用户协议。。。
史上最严隐私保护
GDPR法案的前身是欧盟在1995年制定的《计算机数据保护法》。彼时互联网才刚形成雏形,那时候的法律自然跟不上现在的互联网新形势。
GDPR法案一经推出,就被公认为目前全球对用户个人数据保护最严格的法律。该法案规定,对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
根据欧盟委员会官网的解释,该法案的管辖范围较以往大大拓展了,只要数据的收集方、数据的提供方(被收集数据的用户)和数据的处理方(比如第三方数据处理机构)有任何一方是欧盟公民或法人,就将受到该法案管辖。
这也意味着,任何企业只要在欧盟市场提供商品或服务,或收集欧盟公民的个人数据,都在这部法律的管辖范围。举例而言,如果一家中国在线销售公司的网站上,使用“面向欧洲的特惠产品”、“欧洲区包邮”的字样,或者标注了商品的欧元价格,就可以被视为在欧盟市场提供商品或服务,并受到管辖。
该法案重点保护的是自然人的“个人数据”,例如姓名、地址、电子邮件地址、电话号码、生日、银行账户、汽车牌照、IP地址以及cookies等。根据定义,该法案监管的收集个人数据的行为,包括所有形式的网络追踪。
例如不少电商网站会自动记录客户的搜索和购物记录,以便有目的性地推荐商品。GDPR法案规定,网站经营者必须事先向客户说明这些功能,并获得用户的同意,否则按“未告知记录用户行为”作违法处理。
在过去,很多网站的“用户协议”形同虚设,用户可能根本没耐心看完长达几十页的数据使用条款就匆匆点击“同意”进行注册使用。这样的做法也将不再合法。GDPR法案规定,企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。
GDPR法案还首次明文规定了用户的“被遗忘权”(right to be forgotten),即用户个人可以要求责任方删除关于自己的数据记录。
美国网站屏蔽欧洲用户
欧盟这部新法律的出台,在全球范围内引起了轰动。有分析认为,由于欧洲本土缺少较大的互联网巨头,这部法案更多冲击的是在欧洲市场提供服务的美国科技企业。
果然,GDPR法案实施两天后,首当其冲的是一大批美国的科技企业和新闻网站等。
很多美国媒体网站未能在25日新法实施之前做好合规工作,只能在当天对欧盟地区用户进行屏蔽,以避免触犯新法律。
洛杉矶时报、芝加哥论坛报、奥兰多哨兵报、巴尔的摩太阳报等网站目前在欧盟地区已经无法打开。
美国国家公共广播电台(NPR)网站则要求欧洲访客做出“抉择”:要么签署新的用户协议、要么就只能收看到该媒体1996年及以前的纯文字内容。据卫报报道,还有不少公司索性直接批量删除欧洲范围的客户资料,以免“触雷”。
过去这两天,很多欧洲人的邮箱也接到了互联网服务提供商重新发来的用户协议,希望得到确认。当然,也有很多公司经过衡量合规成本后,决定直接撤出欧盟市场的。比如韩国大型在线游戏《仙境传说》就直接关停了欧盟地区服务器。
这项新法律实施两天,就已经产生了第一批诉讼案。
欧洲消费者权益保护组织Noyb将谷歌安卓系统、Facebook、Instagram、Whatsapp四家美国公司的产品告上法庭,指控其“强迫”用户同意新的使用协议,而没有按照法律规定,让用户获得真正自由的选择权。
“隐私换便利”引发争论
小编注意到,纽约时报等很多媒体认为,GDPR法案彰显了欧美两地的观念差异:欧洲人极度注重隐私权,宁愿牺牲信息化发展速度;美国人更注重选择自由,因此诞生了谷歌等一大批互联网巨头,为此宁愿牺牲部分用户的隐私权。
而在今年3月,李彦宏的一番“中国人愿意以隐私换便利”的观点,也在国内引发了热烈讨论。
3月27日,百度董事长兼CEO李彦宏表示,
“中国人对隐私问题的态度更开放,也相对来说没那么敏感。如果他们可以用隐私换取便利、安全或者效率,在很多情况下,他们就愿意这么做。”
李彦宏这番话也不出意外地引起了舆论的强烈反弹。央视评论文章称,李彦宏这番“真心话”,反映了科技巨头对用户核心利益的熟视无睹,成为一种脱口而出。
央视新闻报道,如今很多程序“任性越权”,用户只有无奈接受。比如一款下载量为1998万的手电筒软件,要求获得的权限竟然多达30项。在山东济南工作的张先生在安装软件时发现,该软件要求获得通讯录、拍摄照片和视频、录音、位置等10多项与其主要功能无关的权限。
张先生质疑道,
“只有手电筒照明功能,只使用摄像头即可,要通讯录这些无关的权限干嘛呢?”
除此以外,电信诈骗、网站密码“撞库”等风险也在不断增加,很多网民用户对此其实有着清醒的认识,但也只能无奈地承受风险,让渡隐私权。
中国互联网协会发布的《中国网民权益保护调查报告2016》显示,仅在2015年下半年至2016年上半年,我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失达915亿元。以6.88亿网民计算,人均损失达123元。
该报告显示,网民平均每周收到垃圾邮件18.9封,垃圾短信20.6条。其中,骚扰电话是网民最反感的骚扰来源,电脑广告弹窗和APP推送紧随其后。
在诈骗信息方面,76%的网民曾遇到过“冒充银行、互联网公司、电视台等进行中奖诈骗的网站”,55%的网民收到过“冒充公安、卫生局、社保局等工种机构进行电话诈骗”的诈骗信息;47%的网民遇到过在“社交软件上冒充亲朋好友进行诈骗”的情况;37%的网民因收到各类网络诈骗而遭受经济损失。
欧盟《通用数据保护条例》实施
经过四年的讨论和修改,欧盟《通用数据保护条例》于2016年4月最终在欧洲议会和欧盟理事会获得通过,并将于2018年5月25日生效。新的数据保护条例几乎涉及所有的公司,大到跨国公司,小到家庭企业,只要公司有收集和使用个人数据的行为。
新《条例》的实施,旨在更新欧盟1995年生效的旧的个人数据保护法规。随着信息技术的发展,旧法规已经不再具有实用性,借此,欧盟统一了28国的数据保护条例。波兰数字化部数据管理部门负责人马切伊·卡维茨基介绍说,新《条例》中有超过20项新的数据主体权利,例如被遗忘权、个人数据的复制权、个人信息泄露后的通知义务、处理个人信息的知情权等等,《条例》把个人权利与企业义务绑定在一起,增加了对个人数据保护的力度。但考虑到信息技术发展日新月异和各行各业的千差万别,《条例》并没有规定个人数据保护的具体措施,卡维茨基说:“新技术的不断发展,使得目前存在的法规不再适用,值得注意的是,在《通用数据保护条例》中,没有条款来严格明确如何对个人数据保护实施技术和组织措施。这被称为《通用数据保护条例》的技术中立,任何数据控制者以及负责保有、收集数据的企业将决定如何正确保护个人信息。”
正是由于这种技术中立性,《条例》不会因为技术的发展而过时,对于保持法律的延续性具有积极意义。但是,正因为如此,也给企业带来了挑战和合规方面的难度。波兰著名律师事务所个人数据保护专家斯瓦沃米尔·科瓦尔斯基律师说,挑战来自不是简单满足《条例》的要求,需要企业梳理自身各方面的流程,“企业家们仍然不知道怎么做,需要做什么以完全符合《条例》的要求。第二个挑战是《条例》的广泛适用性,《条例》涉及到商业活动的方方面面,因此,需要在公关、信息技术、市场、销售等所有部门明确并调整商业流程。”
波兰IT企业Softax为金融行业设计软件,其主要客户包括波兰最大的银行。该公司负责业务发展和销售的负责人克日什托夫·克硕斯告诉记者,《条例》即将实施,按照银行的需求,新的软件系统要满足《条例》的要求,必须对数据流向有良好的监控,系统必须透明,“首先对我们最重要的是帮助银行满足监管要求,我们公司主要为金融行业设计软件。因此我们要调整我们的软件,使得数据的处理过程透明。我们的任务是核实数据在哪,核实位置、核实数据处理的进程,帮助银行准备流程。”
波兰数字化部也出台了一些措施来帮助企业降低违规风险。卡维茨基介绍说,波兰政府针对各个行业发布指南,给出一些保护数据安全的建议和方法。但是企业需要自己进行分析并决策,自身掌握了什么样的数据,具体如何使用,具有什么样的违规风险。
需要值得注意的是,不仅仅是欧盟企业要遵守《条例》,凡是进入欧盟市场的域外企业,同样需要满足《条例》的监管。对于中国公司,科瓦尔斯基律师建议:“《条例》非常复杂,中国的规定和欧盟的有很大的不同,因此,请咨询数据隐私领域的律师,因为在欧盟处理个人数据有很大的风险,你需要做好充分准备,而在准备之前,要明确哪些不能做,哪些能做,你需要进行识别。”
中国银行波兰分行成立于2012年,作为首家进入波兰市场的中资银行,也在积极为即将实施的《条例》做准备。该行副行长张建培说:“根据《通用数据保护条例》,我们在组织架构方面进行了调整和充实,明确了相关职能部门的牵头人员,在整个机构层面上,我们明确了我行的数据保护官,来满足监管要求。同时,我们对内部的流程、内部的业务产品进行了全面的梳理,以确保满足《通用数据保护条例》的监管要求。
