今日(5月25日),對於不少擁有歐盟公民數據的企業來說,是個會瑟瑟發抖的日子,被稱為史上最嚴格的個人數據保護法案 GDPR 今日開始正式實施。
自2015年12月在歐盟理事會獲得通過後,GDPR(歐盟通用數據保護條例)就像是戴在各家企業頭上的緊箍咒,大家都在觀望,誰將是第一個被黑客盯上被入侵的企業。
在兩天前(5月23日),“好學生”蘋果就先交了一波作業---其宣佈已上線全新的“數據&隱私”網站,歐洲用戶可以在這裡下載所有與Apple ID關聯的數據,包括購買記錄,應用使用歷史、日曆、照片等,換句話說,用戶明明白白的知道到底有哪些數據被蘋果所掌握。
更為重要的是,歐洲用戶還可以徹底刪除AppleID,即讓這些數據永遠消失。
有分析人士指出,蘋果所上線的數據和隱私網站正是為了響應GDPR,作為規則的一部分,公司需要向歐盟的客戶提供一種明確的方式來查看他們的服務器上到底存儲了哪些具有個人身份的信息,同時還要保證用戶可以隨時刪掉這些信息。
那麼,令巨頭們人人自危的 GDPR 到底嚴在哪裡?這項旨在保護歐盟公民信息的條例會對我們有何影響?嚴苛的條例之下,是否會阻礙部分依賴數據的企業快速成長?
除了天價罰單,GDPR對普通弱勢群體的保護更應被關注
重賞之下,必有勇夫;重罰之下,必有畏者。
如發現嚴重違規,最高可罰 2000 萬歐元或企業上一財年全球營業總額的4%,以較高者為準。
雷鋒網發現,在眾多媒體的報道中,天價罰單一直是貼在 GDPR 身上的第一個標籤,對於中小型企業來說,2000 萬歐元的罰款,足夠自己喝一壺的,而對於大企業來說,全球一年營業總額的 4% 也不是一個小數目。
以Facebook 為例,光是2018年第一季度的營收就為 119.66億,如果這次的洩露事件是在5月25日之後被曝出來,小扎要做的可不僅僅是道歉整改這麼簡單了。
劉永波目前是昂楷科技的CEO,根據他多年來從事數據安全工作的經驗,這樣高額的罰款從未出現過,以我國的《網絡安全法》為例,針對個人信息洩漏的罰款大多數情況下往往只有幾萬元,數額並不高,而且沒有規定到營收的比例。
但他認為,GDPR 除了天價罰單,最值得關注的點,應該是它作為一個專門保護個人信息法案的出臺。
之前雖然也有相關法案,但個人信息保護更多的是作為其中的一部分來出現,也就是說,普通的個體並不是這些信息保護法案的主要針對者,而GDPR第一次把目標明確地指向了相對弱勢的個人。出現這個問題的原因,是因為在過去十多年互聯網的快速發展中,個人信息正在大規模地被各類企事業組織所採用。
大家可以對比一下十年前和現在,十年前,各類企事業組織所蒐集的個人信息很有限,而現在,無論是打車、外賣、網購,還是在公共服務領域,都會大規模採集公民個人信息,近年來有關個人信息洩露的案例更是數不勝數,所以這個問題是全球各個國家都正在面對的。
目前,我們雖然也有《個人信息保護法》,但還在制定中,並未正式頒佈,未來GDPR可起到一個參考的作用。
從未有一部法案對個人信息的保護規定的如此周詳
在說GDPR具體的條例之前,我們先來看一個你平常生活中經常遇到的場景。
剛剛在淘寶剛剛看了一款運動鞋的你,在刷微博的時候立馬看到了相關的推送廣告,認真回想後,好像並沒有人找你確認過淘寶的瀏覽數據是否可以被另一個平臺蒐集。
仔細一查,你就會發現,在淘寶和微博的後面,好像站著同一家公司---阿里巴巴,有人質疑聯姻導致了數據未經允許流向第三方平臺,其實,從廣告匹配的實現原理上說,它是在你訪問網站時,在你的瀏覽器裡寫入一些 Cookies ,淘寶通過其廣告平臺來利用這些 Cookies 對應顯示更為精準的廣告。
雖說近年來我們已經對這種精準的廣告推送習以為常,但這背後的操作是否違規?
在GDPR這裡,是的!
以我們剛剛提到的淘寶和微博為例,根據GDPR的要求,如果以後遇到類似微博要用淘寶數據的情況,必須明確告知用戶使用理由和範圍。並獲得明確同意。
第三,GDPR賦予數據主體可以隨時撤回同意的權利。不僅如此,如果這組數據已經傳播出去,或者給第三方使用了,企業還有責任通知數據的使用者刪除。
劉永波以之前知乎的一個糾紛為例,之前曾有用戶的隱私出現在知乎某個帖子中,在該用戶要求知乎刪帖後,知乎以不能隨便刪除發帖人的帖子為由拒絕刪帖。如果這種情況出現在GDPR中,那鐵定是可以刪除的。
以他的經驗看,目前無論是我國的《網絡安全法》還是《信息安全等級保護法》,對於個人信息保護的明確程度,還遠不及GDPR,後者賦予了數據主體更為明確的同意權、訪問權、更正權、被遺忘權、限制處理權、拒絕權及自動化自決權等廣泛的權利和自由,未來我國的個人信息保護法案,可能會參照GDPR出臺更為細緻的規定。
是否過於嚴苛?會阻礙部分企業的發展嗎?
其實,自2015年12月在歐盟理事會獲得通過後,關於 GDPR 的爭議就從未間斷過,雖然站在用戶的角度看這是對自己權益的保障,但對於眾多手握大量數據的公司而言,這項法案的各項規定足以讓他們不寒而慄,可謂是有人歡喜有人愁。
在創業之前,劉永波曾在華為工作過很長時間,當時他就對歐洲國家的信息安全保護規則留下了很深的印象。
當時華為進入英國時,不僅要遵循英國電信的安全保護條例,還要滿足英聯邦的各項安全法規,他們對於通信運營商和設備運營商的安全要求非常高,所以GDPR的出臺肯定會對一些把生意做到歐盟的中國企業有很大的影響。
由於GDPR採取了“長臂”管轄原則,只要中國的企業為歐盟境內的數據主體提供了服務,即使其在歐盟境內沒有設立任何分支機構,也依然受到 GDPR 的管轄。
他舉例,無論是華為、小米等手機廠商,還是為歐洲用戶提供APP應用的公司,未來在數據的收集、駐留尤其是在雲上的數據流轉和使用,將會更為嚴格。比如為了達到更為明確的知情權,企業未來一定會重新搭建一個新的系統,讓用戶選擇同意與否,這些都會增加企業的成本,而這些成本,未來還是要轉移到用戶身上的。
與此同時,這不僅僅是一家公司能解決的問題,為了合規,一定是需要很多廠商一起拿解決方案,眾多產品和技術要重新規劃,合規其實並不簡單。但從另一方面看,整個歐盟用統一的規則也避免了企業根據各個國家的不同要求而進行調整。
作為一個新生事物,也要允許“瑕疵”的存在。根據最近公佈的《歐盟企業間數據共享報告》顯示,嚴格的數據權利保護制度並沒有實質性影響歐盟境內的規模化和商業化數據共享,而歐盟精英階層也並沒有把“個人數據權利保護”定性為絕對的“政治正確”,而是採取柔性策略平衡數據共享中的價值衝突。
從長遠來看,劉永波依然對GDPR持肯定的看法,“好比說開車,如果沒有交通的管制,車還少的時候,肯定是很舒服的,但如果到了早晚高峰,不制定相應的規則,是很可怕的,大家都說人工智能需要算法,但如果算法的數據來源本身就是違規的,這樣的算法你還敢用嗎?”
換言之,即使會增加成本,但這依然是一件不得不做的事情,就像繁忙的都市要順暢運行,一定少不了對交通管制的投入。
最後,讓我們通過一組來自社交平臺的真實用戶的記述,感受一波GDPR的“彪悍”氣息~
@工作狂校尉:歐盟數據保護法GDPR馬上要生效,郵件蜂擁而至,連訂閱郵件也要用戶同意才能發了,真嚴格。自從歐盟通過新的隱私法律後,收到了好多來自各個軟件、遊戲、網站的訂閱郵件,講他們的隱私政策的變化。
@邢啊過來一起吃:公司天天發gdpr的培訓... 還要考試,無妄之災啊!
@Mengyi_dream:最近頻繁收到GDPR Update Privacy policy的郵件,讓我恍然意識到這些年來自己不知不覺在那麼多購物商和中介那裡留了郵箱和個人信息,然後感慨還好GDPR讓消費者有了消除這些個人信息的權益。
@埃森哲中國:與以往的隱私規則相比,GDPR的影響更為深遠。在數據保護上,數據供應鏈自上而下的各方都會被問責;在獲取和管理個人信息上,GDPR提出了新的、更嚴格的要求,並賦予個人明確的權利,為企業通過人工、流程和技術進行用戶數據管理帶來了一定的衝擊。
閱讀更多 雷鋒網 的文章
