盘点20个你不知道的GDPR知识点
2015 年 8 月 24日。一声枪响,一位时年56岁的美国牧师倒在了血泊之中,太阳穴四周被灼伤。他每天勤恳工作,待人和善。应该没有人会知道这位牧师也是“偷情社交网站”Ashley Madison 的老用户。这件不匹配神职人员身份的事,终究没有藏住。黑客攻入网站,曝光了370万该网站账户信息。此事之后,他在互联网上搜到了自己的偷情“史”。失业、非议、眼光……可能是压垮了,他举起了枪。
他叫约翰·吉布森,一个因为网络隐私泄露而自杀的现代人。
吉布森的妻子失去丈夫,女儿失去父亲……越来越多的网民们也在失去隐私。互联网隐私问题就好比,全世界都在流血,从前也一直在流血,血像瀑布样奔腾直泻,像倒香槟一样汩汩流淌。
在中国,个人行踪轨迹已经成为法定公民个人信息(《刑法》第 253 条)。但是,敢问又有几个人在意隐私数据,不如现在打开 iPhone 手机,复查一下“定位”、“广告追踪功能”吧。
为了生动说明什么是“个人数据保护”,欧盟委员会“不卖悲,不卖惨,不催泪”。请了一位帅哥在公益广告里,上演一名男子“一丝不挂”城市一日游。不惜“辣眼睛”来博取关注度。这个视频挂在欧盟委员官网,数据保护专题里。很清楚,欧盟将“公共场合裸奔”与“个人数据保护不足”划等号。
是时候出台一项强制性法律,保护自然人的
“个人数据”了——《一般数据保护条例》英文名General Data Protection Regulation(GDPR)。它是在“七大洲四大洋”巡逻的警察,一股冲向四海八荒的力量。
据 Gartner 说,全球智能手机销量2020 年将达到 15.7 亿部,预计 2023 年全球智能手机连接数将达 65.7亿。仅这种贴身使用的电子设备,每天产生的“个人数据”的规模就在不停增长、软硬件迭代快、科技发展变数大……
这一切都将提高“个人维权,企业守法”的难度系数。
想要保护得好,又不能穿太重的防弹衣。这时候就需要平衡这门“艺术”。立法者在隐私保护和科技创新之间取得一个平衡,以免妨碍科技发展。
你以为欧盟的法太严,那就放弃这个5 亿发达人口的市场,这事干脆就结束了。恐怕想错了。《一般数据保护条例》被誉为“欧盟数据宪章”,有很多知识点,也有很多“但书(proviso)”,即很多例外,也就是“对特别情形和例外情况进行了十分细致的规定”。
Van Quathem律师认为:“与其说《一般数据保护条例》是一场革命,不如说是一次进化”。通读整个条例,非常痛苦,一些知识点可能会有用。
需要注意的是,以下假设性举例,都需要加上一句前提——“大多数情况下”。
美国互联网企业求生欲最强,《一般数据保护条例》出台前,收到修正意见的数量高得罕见,
超过4400份,而其中大部分意见来自于美国。欧盟高管说:“我们欧盟委员会(的人),并不反对来自大西洋彼岸的科技巨头。但是前提是,他们必须守规矩。”
假如一个欧洲人在新浪微博注册了账号,当想删除账号时,新浪微博应该无条件删除,不得保留其它备份。2020年春节前,碾压故宫地面的女奔驰车主默默地擦了擦眼泪,她的微博内容是她一条一条手动删除的,但是账号还在,印记擦不掉。
因为《一般数据保护条例》规定:“中国企业和向欧盟用户提供服务”,也在其管辖范围内。
数据存的时间过长也可能被罚。2019年 6月,在柏林,对德国最大的私人房地产所有者德国 Deutsche Wohnen SE 罚款 1450 万欧元,原因围绕在一些租户的敏感数据上,公司缺少删除这些数据的时间周期。
《一般数据保护条例》规定:“身份数据的保存期限不得超过实现及处理目的所需要的时间。”数据能存多久?这个问题需要企业合理解释存储的目的。解释不了,企业就没有权超期存这些个数据。
云计算服务商被“盯上”了,以前是哪个公司的数据,哪个公司负责到底,对于云计算厂商这种“基础设备提供者”,大部分情况下,提出了同等要求。
眼镜、手套、手表、手环、服饰及鞋袜等穿戴式智能设备或者健康监测类产品的公司也被“盯上”,都属于管理范围内。
不仅只约束企业,还约束公共管理机构。在很多国家,如果政府管理部门泄露数据,只是行政处罚,而政府部门管理的数据越来越多,潜在风险也越来越高。
《一般数据保护条例》的台词:“不要惹我,我凶起来,兄弟部门都不放过”。
光有结果不行,把过程也得记清楚。公司必须建立个人数据操作监控记录机制,以备检查。因为《一般数据保护条例》规定:“企业和组织在对个人数据进行操作时,必须记录所有的操作流程和步骤。”
数据保护官的上任台词:“不要乱来,CEO我都不放过。”因为数据保护官任期至少两年,企业发生个人数据操作违规时,承担相应的法律责任。
在数据的自动化处理中,《一般数据保护条例》的约束非常细致,细到对“数据画像(profiling)”这一类别进行了专门的规定,引言部分有十余条条款涉及或者提及。
假想台词:“够不上罚钱的,拉出去辱骂五
分钟。”监管机构的矫正能力并不仅限于罚金,包括:警告,申诫,要求数据控制者、处理者改正、要求对个人数据予以更正或擦除等。
美国互联网巨头谷歌,亚马逊和脸书,在《一般数据保护条例》出台前,空前团结,组成了庞大的游说团,曾经在比利时的首都布鲁塞尔欧洲议会总部所在地,展开了旷日持久的游说活动。
假想台词:“屁股擦不干净,还有可能会面临无穷无尽的诉讼。”如果对个人数据进行了公开传播,那么需要删除时,不仅自己掌控的数据需要删除,而且需要负责让其他复制的人也删除。以前,本来自己管好自己,现在,还得管副本,欲哭无泪。
假设,一个房东想把从“贝壳找房APP”换成“自如租房APP”,就可以把关于房屋、家具的介绍直接导入另一个平台。因为“数据可携带权”将使得个人可以在同类或相似服务的不同服务商之间轻松转换。比如,要求银行把自己支付数据转移到另一家支付机构,从而促进服务竞争。这使得用户要想弃用更容易了。
假想,罗斯柴尔德家族(美国最古老的富豪家族)打电话:“喂,你好啊,最近服务变差了,麻烦把我家族 200年来,所有生意相关账户的交易信息,转移到中国建设银行。要快!”
互联网高利贷公司,就是P2P 公司,一些追债的人会在个人用户信息中收集了贷款人父母甚至朋友的信息。这类做法,明显违反“数据最小化原则”。
因为,“企业所收集、处理的个人数据对其处理目的,应该准确、相关和必要。”
手机通话记录,除了你自己的手机号码之外,还会有你和其他通过话的人的号码。也就是说,个人数据可能同时关涉其他个人的数据。
例如:通讯录信息、电话记录信息、聊天信息、邮件往来信息、转账记录信息等等。行使“数据可携带权”时,则往往可能对其他第三方个人的基本权利带来侵害。因为这些其他人根本没有机会得知自己的数据被他人提交给了别人。
假如,欧洲也有一款微信app,为了实现“数据可携权”,同时,也得开发一个功能用于用户数据的导出以及剔除涉及其他人数据,不允许“拔萝卜带出泥”。
1995 年,《一般数据保护条例》的亲大哥《95
指令》出生,亲二哥《欧洲 Cookie 指令》2009年出生,欧洲在隐私保护方面已经有很长时间的积累。你以为《一般数据保护条例》是一个人在战斗吗 ?,他们是一家子在战斗。(Cookie 是互联网常用的用户跟踪和识别技术。)
2019 年 6月,西班牙数据保护机构对低成本航空公司 Vueling 处以 30000 欧元罚款,因其违反有关 cookie 条款。
事前知情不报也会被“清算”。因为《一般数据保护条例》规定,如果评估表明数据处理工作将会是高风险的,就应该向监管机构报备。
“发通知”不是让公司方便,而是要群众方便。如果公司想对数据进行处理,就必须要得到用户的同意,是告知义务。Bisnode是欧洲最大的智能数据和分析供应商,1989年成立,在19个国家运营。
公司以赚钱为目的,处理用户数据的通知仅在公司网站上发布,2019年 5月,在波兰,它收到 220000 欧元罚单。
有公司误认为,有了《一般数据保护条例》就是数据完全不能出国?错误。是在数据跨境前加了很多条件,比如授权,解释数据使用场景和目的等,换句话说,不是不让出国,而是层层门槛。假想台词:“数据要出国嘛?请等一下,我们要求把数据处理者,把采集数据的目的、场景等项说清楚。不多,也就几百项……”“哎,你怎么扭头就走了?”20. 运动员和兴奋剂、新闻、艺术和文学都写进了《一般数据保护条例》。其中,“消除运动员在运动中使用兴奋剂”是管辖范围里的例外。艺术和文学的目的性,也是例外。
现在数据管理环境仍处在混沌之中,但是, “人,这种卑劣的东西,什么都会习惯的。”《一般数据保护条例》很难立马360度无死角的保护“个人”,自我防范也很重要,需要保护两种身份。既要保护现实世界里“肉身”的安全,也要对抗“数字孪生”世界的恶意。对企业来说,《一般数据保护条例》并非写写文件材料的“法务”,也非单纯公司内部的流程,而是上上下下达成的共识,是思维模式。它也不是一条“标准线”,达标就够了。毕竟,惩罚力度那么大。那些敢于践踏法律而获得的利润,最后很可能变成罚金和诉讼费。