世界上最严数据法案(史上最严数据保护)
本文目录一览:
1、为什么说史上最严数据保护法来了?
2、数字经济企业如何应对最严数据法律?
3、让硅谷巨头丧胆的欧盟《数字市场法案》,究竟讲了啥?
4、谁有深度整理的欧盟《一般数据保护法案》(GDPR)核心要点中文内容
下载一个APP,填上自己的电话号码等数据,过几天就接到了无数条垃圾短信和推销电话;
注册一个账号,弹出超长的“用户协议”看都没看完就点了“同意”,过几天发现自己的邮箱里塞满垃圾邮件…
根据中国互联网协会发布的《中国网民权益保护调查报告2016》,我国网民一年间因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失达915亿元,人均损失123元。
虽然在如今这个大数据时代,网民隐私被互联网企业侵犯甚至牟利使用已在全球各地成了家常便饭,但是以前各国立法并没有完全跟上互联网的发展速度。
欧洲时间2018年5月25日,新的法律横空出世,震撼了全球的互联网巨头们。
欧盟出台的《通用数据保护条例》(简称GDPR)从这一天起开始强制执行,这个号称史上最严的数据保护法案,将使得过去一些人们习以为常的隐私侵权做法不再合法。
每经小编(nbdnews)注意到,根据该法案规定的“市场地原则”,来自美国、中国等的互联网企业只要在欧盟范围内营业,也将受到该法案的管辖。
这项新法案实施两天以来,已经在全球互联网领域掀起了轩然大波:
Facebook和谷歌等美国企业成为GDPR法案下第一批被告;
许多网站由于来不及做到合规,干脆暂时在欧盟地区下架;
很多欧洲人收到软件服务商的邮件,恳请他们重新同意清晰版本的用户协议…
GDPR法案的前身是欧盟在1995年制定的《计算机数据保护法》。彼时互联网才刚形成雏形,那时候的法律自然跟不上现在的互联网新形势。
GDPR法案一经推出,就被公认为目前全球对用户个人数据保护最严格的法律。该法案规定,对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
根据欧盟委员会官网的解释,该法案的管辖范围较以往大大拓展了,只要数据的收集方、数据的提供方(被收集数据的用户)和数据的处理方(比如第三方数据处理机构)有任何一方是欧盟公民或法人,就将受到该法案管辖。
这也意味着,任何企业只要在欧盟市场提供商品或服务,或收集欧盟公民的个人数据,都在这部法律的管辖范围。举例而言,如果一家中国在线销售公司的网站上,使用“面向欧洲的特惠产品”、“欧洲区包邮”的字样,或者标注了商品的欧元价格,就可以被视为在欧盟市场提供商品或服务,并受到管辖。
2018年5月25日,欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)将正式生效。GDPR序言共173条,正文分为11章99条。历经多年商讨的GDPR新条例的实施,意味着欧盟的数据保护水平将达到前所未有的高度。堪称世界史上最严格的数据保护法律,必将对未来全球数字经济产生深远影响。
GDPR即将生效,中国发布的《信息安全技术 个人信息安全规范》(下称《信息规范》)也于2018年5月1日起实施。
一些国内企业长期缺乏规则意识,可能并没有尝到应有的苦果。由于多种因素导致的执法不严、违法不究的情形,一旦到了国外可能就不灵。企业的不合规经营行为,一旦被其他国家政府发现追究起来,处以巨额罚款或禁止业务往来,可能是灭顶之灾。特别是在近几年全球贸易保护主义似乎有所抬头的新时代背景下,企业不合规经营,必将产生数年甚至永远难以消化的“恶果”。
面对即将落下的GDPR利剑,全球数字经济企业需要积极应对,努力减少合规风险,防止入“罪”被“罚”。各国政府也需要积极担当作为,为本国数字经济企业的海外发展保驾护航。
GDPR一大“杀手锏”:重罚
除了扩大个人数据的保护范围、赋予数据主体一系列强大的权利外,GDPR有两大“杀手锏”:一是设定了重罚;二是确立了“长臂”管辖原则。
对于数据处理的违法行为,GDPR主要设定两个等级的处罚。第一等级最高可处以1000万欧元,或上一财年全球营业额2%的行政处罚,以较高者为准。如果根据全球营业额进行处罚,在地域上是全球范围内,而非在欧盟境内的营业额;在基数上,是全球营业额(annual turnover),而非全球净利润。该等级的处罚究竟适用哪些情形,GDPR第83条第4款规定三大类数据违法行为:第一,数据控制者与处理者没有尽到相应数据保护义务。譬如未实施适当的技术和组织措施、未尽职责保持数据处理活动的记录、没有及时向监管机构通知数据已泄露、未进行数据保护影响评估等;第二,没有对数据保护认证组织履行义务;第三,没有对监管部门履行义务。
针对严重违法的数据处理行为,GDPR设定了第二等级的行政处罚:最高可处以2000万欧元,或上一财年全球营业额4%的行政处罚,以较高者为准。GDPR第83条第5款规定了五大类严重违法的具体情形:第一,违反数据处理的基本原则与条件。数据处理应当遵循六大原则:合法、正当与透明原则,目的有限原则,数据最小化原则,准确性原则,储存限制原则,完整性与保密性原则。数据处理应当符合相应的合法性条件;第二,侵犯数据主体的同意权、访问权、纠正权、被遗忘权、数据可携带权、拒绝权、获得救济权等多项权利;第三,不符合条件将个人数据传输给第三国或国际组织;第四,没有对成员国履行相应的义务;第五,未能遵守监管机构的相关要求。
可见,GDPR设定的“罪”是相当多的,“罚”是非常严厉的。制定任何法律的目的不在于处罚,处罚只是保障法律有效实施的必要手段。“重典治乱”未必总能取得良好效果,但确实可以起到一定威慑作用。GDPR以重罚为理念,试图倒逼数字经济企业完善数据保护制度。
无论是对于数据处理违法行为的认定及其严重程度判断,还是对于处罚金额的最终作出,欧盟监管机构都享有巨大的执法裁量权。如何减少数据保护监管的权力寻租,防止监管“俘获”,消除腐败,确保公正执法,是接下来欧盟当局特别是法治水平不高的一些成员国需认真对待的问题。
另一“杀手锏”:“长臂”管辖原则
确立“长臂”管辖原则,或称为效果原则,是GDPR的另一大“杀手锏”。法律是国家主权的体现,一般只在一国领土范围内发生效力,即属地原则。但随着近些年来网络技术的不断提高,具有虚拟性、无国界性的电子商务、互联网金融,在全球范围内得到蓬勃发展。在数字经济时代,再继续坚持传统的属地主义原则,或许无法有效保护本国公民的权益和国家利益。
GDPR的适用范围极广,将法律适用的属地主义与属人主义原则结合起来,扩大法律适用的域外效力。
首先,在欧盟境内设立数据控制或处理机构,不管其对个人数据处理的行为是否发生在欧盟境内,都受GDPR的拘束。此管辖规则属于传统的属地主义原则,在欧盟内设有机构,当然应受欧盟法的约束。
其次,即使在欧盟境内没有设立数据控制或处理机构,有两类数据处理行为也受GDPR的约束。一类是向欧盟内的数据主体提供商品或服务,无论是否收费或免费;另一类是对数据主体发生在欧盟内的行为进行监控的。此管辖规则实际上确立了GDPR的属人主义原则,即不管企业在欧盟内有没有设立机构,只要其对欧盟数据主体提供了商品、服务,或对其进行了监控,就受GDPR的拘束。属人主义原则的确立,大大扩大了GDPR的管辖范围。
再次,在欧盟内没有设立机构,但数据处理行为,依国际公法可适用欧盟成员国法律,受GDPR的拘束。根据此管辖规则,欧盟监管机构既不依据属地主义,也不依据属人主义,仍然可能依国际公法规则对数据处理行为进行监管。
GDPR所确立的三大管辖制度,可称之为“长臂”管辖原则。通过分析该规则可以发现,世界上任何一家与欧盟有相关贸易往来的数字经济企业,即使没有在欧盟境内设立任何机构,也可能受GDPR的管辖。重罚机制,加上“长臂”管辖原则,使GDPR威力无比。
“罪”与“罚”都是明确的。GDPR带给数字经济企业的是实实在在的可预测的法律风险。GDPR已经为数字经济企业画出一张数据保护的操作红图。与其担惊受怕抱有欧盟“执法不严、违法不究”的侥幸心理,不如早日“退而结网”完善数据保护合规制度建设。“想吃大蛋糕,又不愿失去更多面包”的全球数字经济企业,应当抓紧按图行事不断完善企业数据治理。
企业应对GDPR的当务之急
欧盟对于数据保护设定比较严格的高标准,必然会有很多数字经济企业一时满足不了要求,或一直不愿花大成本满足标准,所以罚款也必将蜂拥而至。那到底罚谁?
被称为「瑞士钟表业教父」的LVMH旗下宇舶表董事局主席JeanClaudeBiver曾经说过这样一句话「看时间是手表最不重要的功能」,这也是他对于「为什么戴手表」的一种回应。手表的本意是指戴在手腕上、用以计时、显示时间的实用工具。而今随着计时工具的普遍化,其作用不在注重计时功能,这种大大超出其本身功能价值的小物件,更多的是一种饰物,象征着体现出配饰者的品味。在西方政治哲学中,评价一个社会的进步,是要看它是否抛弃了功能主义而实现了精神主义。可见,那些问「为什么要戴手表」的人还停留在功能主义上。而戴手表的人到底在追求怎样的精神主义,我jio得主要有以下几个原因。由于人力、物力、财力等执法资源的有限性,未来欧盟对于数据保护的“选择性执法”在所难免。名企首当其冲。“枪打出头鸟”,选择“杀”一些名企,达到“儆百”的目的,可能是欧盟未来数据保护执法的常态。
然而,不管是名企还是非名企,既然选择欧盟大市场,就应当根据GDPR的要求,建立健全合规的数据保护制度。名企财力雄厚,尽管被高额罚款,可能还承受得起。但是,对于非名企,特别是一些中小企业来说,欧盟的一次罚款或制裁,可能马上就会使其濒临破产。
“羊未亡,牢需补。”全球数字经济企业应当高度重视GDPR。随着中国《信息规范》也将实施,中国企业可以从以下几个方面,尽快完善数据保护制度:
第一,高度重视个人数据保护。企业高管团队应当对GDPR有清醒的认识和准确的预判,尽早制定周密的战略计划,不计成本消除各种不合规隐患,加强人员管理与培训。企业相关业务部门应及时全面分析已经采集、存储的个人数据的种类、用途与获取方式,删除不合法、不必要的个人数据,实现个人数据保存时间的最小化,并不断加强数据安全保障。
第二,完善数据主体的权利设置与行使操作规程。GDPR赋予了数据主体一系列强大的权利,对于这些权利的保护不足和侵犯属于严重违法行为,欧盟监管机构可处以最高额度的罚款。在赋予数据主体同意权、访问权、可携带权、被遗忘权、更正权等重要权利外,还应当核实这些权利设置与行使是否符合GDPR的要求,例如检查设置的同意权是否符合GDPR的要求。我国《信息规范》要求收集个人数据时原则上应获得授权同意,收集个人敏感信息还需明示同意,另外还明确了撤回同意权。
第三,完善数据处理机制。运用适当的组织措施与技术措施,确保数据处理符合GDPR的基本原则与合法性条件。以透明的方式,使用简明易懂的语言,及时如实告知收集、存储、使用个人数据的情况。建立健全数据保护影响评估机制与事先协商制度,对个人数据进行去标识化处理,完善数据匿名化处理规程,提高数据处理过程的安全性,并对个人数据处理活动进行记录。
第四,必要时任命数据保护官。GDPR要求相关企业以透明的方式,任命具有专门数据保护知识的数据保护官(Data Protection Officer,DPO)。DPO可以确保数据控制者和处理者遵从GDPR的相关规定,同时也扮演着与监管机构之间的联系人和合作者的角色。如果经评估必须设立DPO,则应保障DPO的任命、权利和职责符合强制性规定,并为DPO独立履行职责提供充足的资源。另外,企业可考虑聘请外部数据保护顾问。
第五,完善数据泄密报告与处理机制。GDPR要求原则上自知道个人数据泄露72小时内,向监管机构报告,并将可能产生高风险的泄露信息通知受到影响的个人。企业应详细记录个人数据泄露情况,及时采取补救措施,不断修改完善现有的数据泄露管理流程。我国《信息规范》要求企业定期组织内部相关人员,进行个人信息安全事件应急响应培训和应急演练,及时更新应急预案。
另外,数字经济企业还应当从更新隐私声明与政策、删除相关协议文本中侵犯数据主体权利的“霸王”条款、完善数据跨境流动机制等方面积极采取应对措施,减少不合规风险。
政府应为数字经济发展保驾护航
经济基础决定上层建筑。GDPR是法律,属于欧盟的上层建筑,但其所要调整的却是全世界的数字经济企业。由于不同国家的经济发展水平存在很大差别,所以不同的经济基础与同一的上层建筑之间,必然存在难以调和的矛盾。一方面个人数据权利要保护,另一方面技术要创新、市场要发展,二者之间发生冲突在所难免。
GDPR是一把双刃剑。欧盟GDPR选择了偏重保护个人数据权利,可能会对技术与市场的发展产生一定的阻碍。发展数字经济,建设数字中国,不仅需要靠企业不断提升数据治理水平,还需要靠政府主动采取措施,解决企业无法克服的实际困难。
首先,政府应当高度重视GDPR给数字经济带来的挑战。严格的个人数据保护,带来高额合规成本。由于信息资产管理的运营成本会显著增加,而且担心被重罚,一些企业已经暂停欧盟的相关业务。GDPR的实施可能不利于中小数字经济企业成长,并可能助长巨头企业的垄断地位。因而,政府应当在战略上予以重视,积极制定各种鼓励扶持政策,有效支持企业提升数据治理水平,消除数据垄断,降低GDPR合规风险。
其次,与欧盟积极沟通,完善对话协商机制。相关政府职能部门需要认真研究欧盟GDPR的监管规则,紧密协同配合,担当有为。在积极制定政策法律不断完善企业数据保护水平的基础上,与欧盟监管当局开展平等对话协商,表明难点与决心,赢得理解,减少不必要的处罚与贸易纠纷。
再次,完善数据保护执法合作机制。对于GDPR 的监管挑战,各国政府应当充分研究欧盟数据保护监管的利益关切和行动计划,加强信息开放与共享,健全实体法之间的协调机制,寻找监管标准的最大公约数,积极寻求产业合作和个人信息保护执法合作,实现全球数据保护的共商共治。
除了作为重罚的依据,欧盟还可能将GDPR作为新的技术壁垒,阻碍全球数字经济企业在欧盟的发展扩张。在我国正在推行“一带一路”倡议的大背景下,GDPR也可能成为阻挡我国数字经济企业“走出去”的障碍。但无论如何,在互联网时代,合规经营是数字经济企业做大做强的不二法则。尽管“规”可能很严厉,但只要“规”是合法有效的存在,企业就应当严格遵守。(来源:《财经》杂志)
上有政策下有对策。
消息来自新华网。
作者 | 雪小顽
编辑 | 靖宇
「她真的很讨厌美国。」
四年前,前任美国总统特朗普在七国集团峰会上,向各国首脑们公开抱怨了玛格丽特·维斯塔格(Margrethe Vestager)——这位向来以「严厉」著称的欧盟反垄断主管。
维斯塔格是欧盟技术监管的强硬派,也是重要的推动者。任职欧盟委员会竞争专员期间,她因频繁对苹果、谷歌等美国 科技 巨头开出天价罚单而声名在外,被称作「硅谷女警」。
眼下,她一以贯之的反垄断行动计划又有了突破性的实质进展。
当地时间 3 月 24 日晚,在欧盟总部布鲁塞尔, 成员国和立法者针对《数字市场法案》(Digital Markets Act,简称 DMA)达成了一致协议 ,并公布了最终文本。
这项新规将反垄断治理的矛头瞄准了苹果、谷歌、Meta(原 Facebook)、亚马逊和微软, 旨在规制五大公司在欧洲的商业行为和市场主导地位。 符合「守门人」标准的硅谷巨头一旦违反法案规定,将面临巨额罚款,甚至有被拆分的风险。
法案的风格正如它的主导者维斯塔格一样,严格、强硬、好恶分明。外界评价 DMA 是「欧盟 20 年来首次全面修订互联网竞争规则」,也是「2018 年《通用数据保护条例》(GDPR)通过后,欧盟最全面的 科技 监管立法」,在全球范围具有里程碑意义和深远影响。
该法案可能会重塑应用商店、在线广告、电子商务、短信服务和其他日常数字工具的运营方式,改变大型 科技 公司现有的核心业务和商业模式。
就在 DMA 定稿一周后,维斯塔格对外表示,另一项重磅的反垄断姊妹提案—— 《数字服务法案》(Digital Services Act,简称 DSA) 有望在 4 月内敲定,重点是平台对内容的监管责任和定向广告。
欧盟双箭齐发,「守门人」自然不会坐以待毙。但经过一圈激烈的游说之后,他们的抗议演说并未改变欧盟的态度和现实的立法走向。按照欧盟的立法程序,法律文本定稿之后,将交由欧洲议会和欧盟理事会进行投票表决,生效 6 个月后在各成员国施行。
事实上,最后的投票环节不过是走个过场, 维斯塔格预计 DMA 将在今年 10 月生效。新规的靴子落地,真正前途未明的,是大西洋彼岸不甘心被驯服的互联网大公司们。
在特朗普吐槽之前,苹果 CEO 库克也公开表达过对维斯塔格的不满,认为她让苹果多交税款是一场「政策不公」。
在欧盟乃至全球范围内,维斯塔格是倡导互联网反垄断和 科技 监管的头号旗手。她在 2014 年出任欧盟竞争事务专员,并在 2019 年被任命为欧盟委员会执行副主席,手握打造欧洲数字治理战略的大权。
她的同僚中,大部分人的权力都会受到种种限制,但她是个例外——不仅可以阻止公司合并,对私人办公室发动突袭,还可以对跨国公司处以巨额罚款。
外界忌惮于维斯特格的强大权力。在 Twitter 上,她的同事们被恶搞嘲讽为头脑迟钝的笨蛋,或诡计多端的政客。相比之下,维斯特格则被描画成眼神睥睨高傲、手持两把大战斧的「中世纪武力女王」。
正是在这位铁娘子的推动下, DMA 从最初的提案一路加速,经过 16 个月就在立法机构内部达成协议,为最终的获准生效奠定基础。在欧盟的立法程序下,这一连串的行动已经足够快节奏。
所谓 「守门人」,是指大型互联网在线平台企业。 这些平台通常拥有巨大的财富,稳定占据着市场主导地位,可以将庞大的用户群体与企业联系起来,还掌握着关键的数据资源。
按照法案规定,「守门人」需要同时符合以下条件:
按照这些标准列出名单,确定有资格成为「守门人」的,均是全球市值排行榜上名列前茅的美国 科技 公司。 苹果、谷歌、Meta、亚马逊和微软都在「围猎」的范畴。欧盟本土的互联网公司中,只有 Spotify 有望成为其中一员,但目前的实力还够不上。
不过,维斯塔格否认 DMA 仅针对美国。 「DMA 不是针对某些企业或某些企业的国籍。」她在去年接受英国《金融时报》采访时说:「我们试图弄清楚谁应该在治理范围内,谁有可能成为『守门人』,这与市场效应有关。」
DMA 的另一个看点是高额的罚金标准。如果「守门人」违反规定, 欧盟委员会可以对其处以上一年度全球收入 10% 的罚款;如果是屡犯,比例可以提高到 20%。
例如,苹果在 2021 财年的总营收达到了 3658 亿美元。如果欧盟对其下达反垄断罚单,按照 10% 的比例,「富可敌国」的苹果可能要割肉近 366 亿美元。
「没有一家公司会对高达自己全球收入 20% 的罚款数额不屑一顾。」欧盟内部市场专员蒂埃里·布雷顿(Thierry Breton)说。
如果企业「屡教不改」,欧盟委员会有权对其展开市场调查, 必要的时候可以对企业进行业务拆分,也可能会在一段时间内禁止他们收购其他公司。
DMA 是对欧盟和成员国竞争法体系的补充,不影响原有的竞争法则。
「在担任欧盟竞争专员的七八年间,我学到的一件事就是,处理一些问题需要系统性的答案,也需要提高效率。」今年的西南偏南大会上,维斯塔格在接受外媒采访时说, 如果允许非法行为存在,哪怕时间很短,竞争对手和消费者也会面临很大的痛苦和风险。
她期待新规能解决单一执法行动无法解决的系统性问题,通过立法来简化欧盟以往与 科技 巨头之间的缠斗,建立公平、开放、有竞争活力的市场。
当地时间 3 月 24 日晚,经过长达 8 个小时的三方会谈之后,DMA 的最终文本出炉。
早在 2020 年 12 月,欧盟委员会提出了数字合规与监管领域的两项重磅法律提案,即 DMA 与 DSA。当时,欧盟内部对「守门人」的认定标准和义务范围等内容并未达成一致。
与最初的提案版本相比,已经定稿的新版法案有以下重点变化:
1. 在「核心平台服务」的范围中,添加了网络浏览器、语音助理,但将联网电视排除在外;
2. 提高了「守门人」的认定门槛,将年收入 65 亿欧元和市值 650 亿欧元,分别提高至 75 亿欧元和 750 亿欧元,并量化了月度终端用户和年度企业用户的数量标准;
3. 与 GDPR 联动,严格限制「守门人」跨平台合并处理数据;
4. 提高处罚力度的上限,从全球收入的 10% 提高到 20%。
现实中,欧盟与谷歌、苹果等互联网大公司的反垄断之争,是一场场耗时漫长的拉锯战。欧美的反垄断机构也一直被诟病为工作效率低下,反应太慢。
安杰律师事务所合伙人、反垄断律师顾正平告诉极客公园,这是因为 互联网环境下垄断行为的认定,涉及一系列复杂的法律和经济学分析。
具体来说,涉及如何界定相关市场,认定市场份额和地位,企业是否存在滥用支配地位的行为,以及企业行为是否有合理的商业理由,是否造成了市场竞争的损害。
如果涉嫌垄断的行为既造成了一定程度的竞争损害,又有促进竞争的效果,还得综合考量促进竞争和妨碍竞争之间,哪个作用更大,需要结合具体的商业情景和行业特性进行认定和分析。
对反垄断来说,不断发生的动态变化和创新,是重要的影响因素。
在 PC 时代,各国政府对当时的 科技 巨头——微软十分警惕,利用反垄断法律对微软进行持续的调查。
进入移动互联网时代,平台企业创造了一种新的商业模式,导致原有的反垄断法律和执法工具有些滞后,跟不上 科技 进步和商业进化所催生的各种新业态。
在顾正平看来,传统 PC 时代的 科技 公司主要依赖技术推动,并主要服务线下传统行业,商业逻辑相对简单。新生的互联网平台经济则是深入到 社会 生活的方方面面,无论是用户还是相关企业,对平台的依赖性更强。
平台尤其是超级平台拥有海量的用户数据,有更强的网络锁定效应,也更容易拥有强大的支配力和控制力,更容易利用数据操控和误导用户行为、滥用其支配地位打压竞争对手、破坏市场公平竞争,因此需要监管机构进行更全方位和有力的监管。
「DMA 新规设置了认定守门人身份的量化指标和明确的行为清单,指向性很强,且针对违法行为的处罚力度更大,将有利于推动对互联网巨头的案件调查,提高执法和司法的效率。」他说。
作为 DMA 的姊妹篇,DSA 预计在今年 4 月内定稿。
与 DMA 锚定「守门人」不同,DSA 的重点内容是严格监管平台巨头利用自己掌握的庞大数据资源,定向推送在线广告,尤其是禁止针对未成年用户推送广告,同时要求平台承担更多的内容监管责任。
新规的实际影响和执行效果还需要更多的时间验证。欧盟委员会表示,将 设立一个咨询委员会和一个高级别的工作小组,负责法案下一阶段的具体执行工作。
一套组合拳下来,大型 科技 公司头上的合规「紧箍咒」越念越紧。
布鲁塞尔向左,硅谷向右。
欧盟不断升级与大型 科技 公司之间的反垄断战争,硅谷巨头则是一边持续发声抗议,一边想方设法进行游说。
Meta 全球事务总裁尼克·克莱格(Nick Clegg)在自己的专栏文章中指出,新法的一些细则「可能会导致产品的服务方式变得僵化,阻碍技术的持续进步和迭代」。
苹果公司发言人称,DMA 的部分规则可能给苹果用户制造不必要的隐私风险和安全漏洞,还将阻碍公司在知识产权方面的收入。
谷歌担心,DMA 的一些规则会阻碍欧洲的创新进程。亚马逊则正在审查新规对客户的影响,并委托研究机构进行评估。
与此同时,硅谷巨头们也在不断游说布鲁塞尔,试图引导立法监管的走向。
根据欧盟研究团体——欧洲企业观察站(Corporate Europe Observatory)公布的数据,自 2019 年底新一届欧盟委员会成立以来,大型 科技 公司与欧盟官方之间,已经召开了 150 多次记录在案的会议,涉及 103 个组织。
不过,在欧盟官方看来, 科技 公司的努力游说十分「笨拙」,也徒劳无功。眼见自己之前在白费功夫,大公司已经转变应对策略,将注意力的重心放在如何遵守新法。
据外媒报道,谷歌、苹果和亚马逊的法律团队已经在考虑,将新规的实施作为优化公司业务的一部分,包括创建一个新的合规部门。
更为关键的是,这些公司面临着核心业务和商业模式的调整。根据 DMA,各家的潜在变化或许包括:
以上列出的改变只是一部分。有外媒戏称, 这项法案的条款内容就像是硅谷竞争对手开出的「欲望清单」。
「DMA 开创了全球技术监管的新时代,结束了大型 科技 公司日益增长的主导地位。」定稿当晚,欧洲议会内部市场和消费者保护委员会报告员安德里亚斯·施瓦布(Andreas Schwab)说。
哥伦比亚大学欧洲法律研究中心主任阿努·布拉德福德(Anu Bradford)将欧盟的立法影响称作「布鲁塞尔效应」(The Brussels Effect)。因为欧盟是世界上最大的消费市场之一,大多数跨国公司都无法忽视,更不愿放弃。这给欧盟带来了出手监管的底气。
另外,欧洲的法律规则也常为全球监管提供框架和样本。例如,号称「史上最严数据保护法案」的 GDPR,已经成为日本、巴西等国家的法律范本。
放眼全球,针对大型在线平台企业的反垄断监管,已经引起多国的注意,成为势不可挡的治理趋势和国际共识。 数据、算法、平台这些数字经济领域的高频词,成为法律框架下扩容的焦点。
在中国,自 2008 年开始实施的《反垄断法》正处在首次修改阶段。
现已公布的修正草案新增加了第十条,规定「经营者不得滥用数据和算法、技术、资本优势以及平台规则等排除、限制竞争」。
草案还对第二十二条增加了一款规定:「具有市场支配地位的经营者利用数据和算法、技术以及平台规则等设置障碍,对其他经营者进行不合理限制的,属于前款规定的滥用市场支配地位的行为。」
去年 11 月,国家市场监督管理总局公布了《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》, 将综合考虑用户规模、业务种类以及限制能力,将互联网平台划分为超级平台、大型平台和中小平台三级。
按照规定,超级平台需要履行相应的主体责任,例如,在提供相关产品或服务时, 不实施自我优待 ;推动自身提供的服务与其他平台提供的服务之间 具有互操作性。
回归美国本土,硅谷巨头的日子也并不好过,拜登政府已经采取实际行动,并没有对他们手下留情。
去年,拜登任命亚马逊头号批评家——莉娜·可汗(Lina Khan)为美国联邦贸易委员会主席,并安排有「硅谷宿敌」之称的反垄断律师乔纳森·坎特(Jonathan Kanter)担任司法部反垄断部门负责人。
历史 在不同的发展阶段,上演着各种变与不变。回到 19 世纪末 20 世纪初,类似的事情同样发生在新大陆。
根据《美国四百年》一书,「老罗斯福」在入主白宫后发表演讲:「很多美国人认为,被称为托拉斯的大公司在某些功能和倾向上有害于公共福祉。这种看法并不是嫉妒心理作怪……他们发自内心地认为,企业的合并和集中虽然不应该受到禁止,但应该受到监管和合理的控制。」
在罗斯福看来,这种观点是正确的。当时的「托拉斯」主要集中在钢铁、 汽车 、石油等行业。
200 多年后,财富和资源发生流转,全球反垄断叙事的重点对象变成了 科技 与互联网——人类的新文明力量。
[img]
前言:
整理本文的原因有三:
1、???????? 网上很多关于GDPR的文章并不全面,甚至有误
2、???????? 以此机会在公司内部开展关于GDPR的专项培训
3、???????? 青莲云的部分客户业务在未来会受到GDPR的影响
之后,我们计划编写一系列相关文章,更多的是站在企业角度来思考法案对物联网行业的影响以及应对措施,一来希望与同行企业可以就GDPR进行更多的互动讨论;二来也是希望传播国际法案对于安全和隐私的态度,共同提高物联网安全意识。
以下您将了解到:
1、???????? 什么是GDPR(重要)
2、???????? GDPR的发展历程
3、???????? GDPR的关键术语定义(重要)
4、???????? GDPR会影响哪些企业(重要)
5、???????? GDPR不适用于哪些情况
6、???????? GDPR约束了哪些数据(重要)
7、???????? GDPR中数据主体的权利(重要)
8、???????? GDPR中处理个人数据的基本原则(重要)
9、???????? GDPR中对合法处理数据的定义
10、???? GDPR中针对儿童数据的处理规定
11、???? GDPR中数据控制者与数据处理者的义务(重要)
12、???? GDPR中针对特别类型个人数据的处理规定
13、???? GDPR中关于数据主体被遗忘权的规定(重要)
14、???? GDPR中关于数据主体可携带权的规定(重要)
15、???? GDPR中关于个人数据泄露通知的规定(重要)
16、???? GDPR中关于设立数据保护官的规定
17、???? GDPR关于执法和处罚的规定(非常重要)
18、???? 总结
什么是GDPR
2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation (GDPR)),新法案由11章共99条组成,该法案将于2018年5月25日正式生效,将取代现有的《数据保护指示》(Data Protection Directive 95/46/EC),统一欧盟成员国关于数据保护的法律法规。
此外,GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。
GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案
GDPR的发展历程
(图片来自网络)
GDPR的关键术语定义
个人数据:是指任何指向一个已识别或可识别的自然人(数据主体)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号、定位数据、在线身份识别这列标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
处理:是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用、排列、组合、限制、删除或销毁,无论此操作是否采用自动化手段。
匿名化:是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。
数据控制者:能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。
数据处理者:是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
数据接受者:只是接收到被传递的个人数据的主体,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据,不得视为“数据接受者”。
个人数据外泄:是指个人数据在传输、存储或进行其他处理时的由安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。
GDPR会影响哪些企业
欧盟GDPR法案具有域外效应。也就是说,GDPR赋予了欧盟在个人信息安全方面的域外管辖权。
主要受影响的企业为以下四类:
l?? 设立在欧盟境内的企业(控制者、处理者)
l?? 未在欧盟境内设立,但向欧盟境内的数据主体(自然人)提供产品和服务的企业(控制者、处理者)
l?? 未在欧盟境内设立,但涉及监控欧盟境内数据主体(自然人)行为的企业(控制者、处理者)
l?? 未在欧盟境内设立,但在欧洲成员国法律适用的地方设立的企业(控制者、处理者)
总结来说,GDPR不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。
GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案,数据控制者也无法免除责任,GDPR规定控制者需要承担更多的责任,以确保和数据处理者之间的合同能够严格遵守GDPR的规定。
GDPR不适用于哪些情况
GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR:
l?? 为了预防、调查、侦查或起诉刑事犯罪,主管当局为执行刑事处罚目的而产生的数据处理行为
l?? 基于国家安全目的而产生的数据处理行为
l?? 自然人在纯粹的个人或家庭活动中产生的数据处理行为
l?? 欧盟法律规定范围之外的活动过程中产生的数据处理行为
GDPR约束了哪些数据
个人数据:
可以通过某个标识直接或间接识别某一自然人的信息。
不管是采用自动化手段还是人工进行归类的数据,包括按时间顺序排列的包含个人数据的记录集合。
已经被匿名化的个人数据,取决于用已有标识来识别特定个体的困难程度。
敏感个人数据:
也被称为“特殊种类的个人数据”。
包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。
包括遗传数据和经过处理可以唯一识别个体的生物特征数据。
不包括涉及刑事定罪和罪行的个人数据,但该类数据的处理和保存有特殊要求。
GDPR中数据主体的权利(第三章)
l?? 知情权
l?? 访问权
l?? 反对权
l?? 可携带权
l?? 纠正权
l?? 删除权/被遗忘权
l?? 限制处理权
l?? 免受数据画像影响
GDPR中处理个人数据的基本原则
l?? 合法、正当、透明
l?? 处理数据的目的是有限的
l?? 仅处理为达到目的的最少数据
l?? 确保数据准确、及时更新
l?? 存储数据的期限不得长于为达到目的所需要的时间
l?? 采取技术和管理措施以保护数据的安全
l?? 数据控制者有责任并应能够证明做到了以上几点
GDPR中对合法处理数据的定义
至少满足一下中的某一项,处理数据才是合法的
l?? 数据主体同意为了特定目的处理其数据
l?? 处理数据是为了签订或履行合同的需要
l?? 处理数据是为了遵守法定义务的需要
l?? 处理数据是为了保护数据主体或其他自然人的至关重要的利益
l?? 处理数据是为了公共利益或形式政府授受的权力
l?? 处理数据是为了追求数据控制者的合理利益,但不得损害数据主体的利益
GDPR中针对儿童数据的处理规定
处理16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可以对上述年龄进行调整,但是不得低于13岁
GDPR中数据控制者与数据处理者的义务
设置DPO(数据保护官)
文档化管理
数据保护影响评估
事先咨询机制
数据泄露报告机制
安全保障措施
遵守数据跨境转移规则
GDPR中针对特别类型个人数据的处理规定
禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。
GDPR中关于数据主体被遗忘权的规定(重要)
当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。
如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。
GDPR中关于数据主体可携带权的规定(重要)
数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。
GDPR中关于个人数据泄露通知的规定(重要)
数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误的通知数据主体,以便数据主体及时采取措施。
GDPR中关于设立数据保护官的规定
为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(DPO)。
控制者和处理者应当对数据保护官不下达任何指令,DPO不能因为执行任务的原因被解雇或者受到刑事处罚。
数据保护官直接向最高管理者报告工作。
根据联盟法律或者成员国法律规定,数据保护官应当对其执行任务的内容进行保密。
数据保护官也可以执行其他任务,履行其他职责。
GDPR关于执法和处罚的规定(非常重要)
不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。
GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定:
对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);
对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者);
判罚的严重程度是基于以下因素:
l?? 违规的性质、严重程度和违规的持续时间
l?? 违规是故意的还是因疏忽造成的
l?? 对个人身份信息的责任心和控制程度
l?? 违规是单个事件还是重复事件
l?? 受到影响的个人资料的种类范围
l?? 数据主体遭遇的损害程度
l?? 为了减轻损害而采取的行动
l?? 由违规产生的财务预期或收益
GDPR核心旨在保护隐私数据,并通过法案约束来建立企业和公民之间的信任关系,违反GDPR的代价远不止财务层面,还将给企业声誉造成极大破坏,并且导致企业和消费者之间产生信任危机
总结
由于青莲云所在的物联网行业也处于GDPR法案的约束之中,故此整理出法案中的重点思想与业界分享。GDPR此次改革以保护公民的基本权利为理念,在提高个人数据保护标准的同时,也会增加企业的合规成本。法案的背后是对隐私和安全的需求,法案生效后会成为国际数据隐私保护标准。
对于物联网行业的相关企业(硬件、软件、制造、数据分析等)来说,从此刻开始提升物联网安全意识,关注数据安全和用户隐私安全,积极的采取相应的整改或强化措施刻不容缓。青莲云安全团队也将在不断提升自身安全攻防能力和安全合规意识的同时,与客户企业建立长期持续的安全咨询合作关系,共同建设安全、自主、可信的物联网安全新业态。
??爱表人士学会如何保养手表,我想这个非常有必要,今天长沙手表回收公司不凡名品给大家科普一些这方面的小知识。??防水:很多人觉得腕表上写了防水为 30米或者50米,则意味着放入相应深度的水中没有问题,但实际不是,30米或者50米在瑞士腕表词典里意味着生活防水,只有当防水标深达到100米的时候才能放入水中才不至于进水。???温度:有些人佩戴着潜水表蒸桑拿,桑拿房的温度远远高于室外的正常温度,为此瞬间温差变化将导致腕表内的防水垫圈提前老化。即便是潜水表,也可能在规定更换防水垫圈前就失去防水功能。
原创文章,作者:leping,如若转载,请注明出处:https://www.zhjiashun.com/zjsb-14078.html
