欧洲隐私法律的地域适用范围正在通过GDPR不断扩大。而正是由于这种适用范围的扩大,位于欧盟境外、不受现行欧洲隐私法律规制的许多组织也将随着GDPR的实施而不得不适用欧盟隐私法律。
GDPR 本质上来说是一系列「打鸡血」版强制执行隐私条例,规定了企业了在对用户的数据收集、存储、保护和使用时新的标准;另一方面,对于自身的数据,也给予了用户更大处理权。所以,如果你生活在欧洲(毕竟 GDRP 只在欧洲生效),你已经受到了新的条例保护,但是这不代表着如果你生活在欧洲之外那这件事就与你完全无关。因为考虑到「全球性」是写入互联网基因内的属性,几乎所有的服务都会受到影响,所以生活在欧洲之外的人其实也会从此条例中获益。此外,GDPR 的实施,也重新唤起了世界其他地方的人对隐私和数字生活中个人权利的重视。
在欧洲,事实上也是目前世界范围中,GDPR 是最完善、最严格的隐私保护规定,体现在下面几个方面。
企业部分
首先,企业在收集用户的个人信息之前,必须以「简洁、透明且易懂的形式,清晰和平白的语言」向用户说明:
将收集用户的哪些信息;
收集到的信息将如何进行存储;
存储的信息会如如何使用;
企业的联系方式。
也就是说,之前的那种通过使用模糊的、容易混淆的语句连哄带骗的使你同意被收集数据的做法是不再被允许的。在这个语境中,「个人信息」是指如你的 IP、你的邮箱地址、你的用户名等一切能确定你的身份的信息。
其次,GDPR 的处罚力度非常高,高到足够引起所有的公司重视。每次违反条例最高处罚金额为该公司年度营业额的 4%,或者 2000 万欧元,取决于哪个数值更大,Google 或 Facebook 或许能够 承受起这种程度的罚款,但是对于规模小一些的公司,这种处罚是致命性的。
用户部分
我们作为消费者,随着 GDPR 的实施,享有的权利有:
数据访问权:首先,我们有权给予向企业问询个人信息是否正在被处理,如果正在被处理的话,可以继而了解:a.处理的目的; b.相关数据类型; c.数据接收方的信息 d.如果对象是数据接收方,可以问询其数据来源。
被遗忘权:其次我们有权要求企业删除掉个人数据,当数据已经披露给第三方时,用户可以继而要求他们删除相关数据。
限制处理权:我们有权禁止企业将信息用于特定的用途,像禁止企业用于垂直营销。假如最近在购物网站搜索了「精酿啤酒」为关键词的商品,网站的推荐信息流或者和该网站有合作的其他站点中可能就会向你推荐类似的「精酿啤酒」,我们现在可以要求该公司不能将这件事透露给其他公司,甚至特可以要求该公司本身也不能把这件事用于任何营销活动。
数据携带权:简单来说,当我们想离开某个平台时,可以要求该平台将我们在该平台产生的数据,以格式化的、机器可处理的格式提供给我们。
罗马不是一天建成的,GDPR 也不是一天就制定的,欧洲人一直就对隐私尤其重视,关于隐私保护的讨论早在上世纪便已开始。新世纪里,Google 和 Facebook 这种巨型商业公司提供的平台中,聚集了无数的用户和数据,也赋予了巨型商业公司无上的权利,GDPR 的制定是为了适应新的趋势。但是目前即使在美国也只有零碎的法律条文用于保护个人隐私信息,没有能与 GDPR 类比的条例,中国要走的路则更远。
作者:普华永道 李睿 Lisa
Lisa有超过18年IT管理和技术经验。 近10年她主要从事美国上市互联网公司的IT审计和风险控制工作,覆盖了搜索、电商、游戏、OTA、视频、 新闻门户、社交媒体等主要互联网细分行业作为IT风险和信息安全的专家,她多年来专注于业务安全规划、业务战略与IT和安全的承接、安全技术架构、安全治理和合规、IT风险和控制、 数据防泄漏、安全运营等,协助银行、保险、能源、电信、高科技、互联网等的不同企业应对业务及网络安全风险,建立长效的安全保障能力。
声明:本文来自CIO之家,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
