旧版搜索
  • 新版搜索
  • 旧版搜索

历史搜索 全部删除

    热门搜索

      正在阅读:

      【深度】欧盟保护个人数据法规运行一周年,我们该如何借鉴?

      扫一扫下载界面新闻APP

      其他途径关注界面…

      【深度】欧盟保护个人数据法规运行一周年,我们该如何借鉴?

      对于消费者的隐私观念、科技企业的文化和各国的数据保护立法,GDPR(《通用数据保护条例》)正产生潜移默化的影响。

      刘芳LF · 来源:界面新闻

      图片来源:Convert GDPR

      记者 | 刘芳
      编辑 | 崔宇

      作为欧盟保护个人数据的统一法规,GDPR从诞生之日起就充满了争议。支持者认为,GDPR停止了互联网企业利用个人数据牟利的“裸奔”时代。反对者则认为,GDPR的法律语言并不明确,造成企业合规困难并且遏制技术创新。

      尽管争议不断,但GDPR的“溢出”作用愈发明显,对于消费者的隐私观念、科技企业的文化和各国的数据保护立法,GDPR正产生潜移默化的影响。 

      宽大处理的时代即将结束?

      2018年5月25日,欧盟开始正式执行《通用数据保护条例》(简称GDPR)。GDPR在如何获得用户许可、如何处理儿童数据和敏感数据(包括基因和生物数据)方面对企业提出了严苛的要求,此外,GDPR还明确规定了数据主体(消费者)的修改权、被遗忘权、限制处理权等新颖的权利。更重要的是,GDPR的规制范围包括任何将要使用欧盟境内数据的公司。

      在过去一年中最能直接体现GDPR影响力的,要数欧盟对科技企业的处罚。

      美国保尔森基金会(Paulson Institute)研究员希恩(Matt Sheehan)对界面新闻表示:“GDPR教会了世界各地的政府如何展示肌肉,维持他们对大型科技公司的权威。几年前,当政策制定者在谈到技术时,几乎有一种十分无助或无法阻挡的感觉,无法将他们的意愿强加到谷歌或脸书这样的公司身上。而现在涉及到隐私等问题时,他们感觉自己更有力量了。”

      全球最大律所之一DLA Piper在2019年2月所做的调查显示,自GDPR生效以来,欧盟监管机构共收到5.9万起个人数据泄露事件的报告,共进行了91次处罚。其中荷兰、德国和英国收到的报告最多。DLA Piper合伙人麦基恩 (Ross McKean) 在报告中表示:“基于收入比例的罚款机制和美国式集体诉讼索赔让GDPR从根本上改变了各个机构在泄露个人数据时的合规风险。”

      截至2019年2月欧盟境内个人数据泄露报告案例情况。图片来源:DLA Piper

      欧洲数据保护委员会 (European Data Protection Board) 在今年2月底发布的一份报告显示,在GDPR生效的9个月里,欧盟共对科技公司罚款5595万欧元。其中,法国数据保护机构CNIL在2019年1月因谷歌违规利用个人信息投放广告而对其处罚5000万欧元(约为5700万美元)。目前,欧盟尚未根据GDPR对任何一家大型科技企业做出年营业额4%的最高处罚。

      对此,罗切斯特理工学院(Rochester Institute of Technology,RIT)助理教授沃尔夫(Josephine Wolff)认为,相比谷歌2018年1368亿美元的收入,5700万美元只占到0.04%,“实在是少了一点儿”。

      沃尔夫还对界面新闻表示:“着重强调巨额罚款是GDPR本身面临的挑战之一。因为对于真正的大型科技公司来说,除非罚款是天文数字,不然对它们来说真的无关紧要。更希望监管者在加强安全和提高隐私标准方面投入更多精力,然后才是罚款。”

      数据管理公司Druva首席技术官普雷斯顿(W. Curtis Preston)则在近日表示,尽管欧盟委员会一开始采取了谨慎和更有建设性的手段,但公众的评论(情绪)表明,这种情况即将发生变化。

      普雷斯顿说:“在未来几年中,公司必须比以往任何时候都更认真地对待GDPR的核心理念,将稳健、安全的数据治理作为几乎所有业务的基础。遵循GDPR的数据治理将不再是公司可以“接近”或“努力实现”的,宽大处理的时代即将结束。”

      在企业内部,GDPR复杂的法律条文对任何一个从事法务工作的人来说,都是一件头疼的事。北京安理律师事务所高级合伙人王新锐对界面新闻表示:“GDPR在实务方面的感受是比较复杂的,会出现多个欧洲律师对GDPR具体规则解释完全不同的情况,合规成本大幅上升。”

      某欧洲驻华企业的数据合规人员也对界面新闻坦言:“关于GPDR合规,大家的反馈普遍是困难重重。缺少人手,意识不够,不论是欧洲、美国还是其他地方都是一样的反馈。”所以,虽然这家总部在欧洲的企业在全球推广GDPR合规,但现实是各个大区的合规团队进度严重落后集团计划。

      GDPR和国内法律适用上的冲突也是突出问题之一。这名数据合规人员向界面新闻透露:“在集团内部,我们的管理层有比较强的国家意识,会更多的从中国角度来看待一个问题。特别是现在欧美对中国进行各种封杀、制裁,管理层对执行欧洲法律和美国法律意见比较大。我们的策略是优先适用国内法律,在跟国内法律不冲突的时候再执行外国法律。”

      隐私意识的觉醒

      5月22日,欧盟官员在GDPR一周年纪念声明中表示,GDPR的主要目的就是“赋予人们权利,让人们可以更好的掌控自己的个人数据”。同时,GDPR保证了个人数据在欧盟成员国之间的自由流动,为欧盟数字化单一市场战略打下了坚实基础。

      但是,绝大多数消费者对目前科技公司使用个人数据的方式感到忧虑。

      美国布鲁金斯学会(The Brookings Institution)在5月10日针对美国消费者的一项调查显示,85%的人认为科技公司在收集个人数据之前,应该获得消费者的许可;84%的人认为科技公司在获得移动设备地理位置时应该得到消费者的批准;78%的人认为美国联邦贸易委员会 (Federal Trade Commission) 应该建立一个全国性的“不要跟踪”登记( 'Do Not Track' registry),允许消费者选择不分享他们的个人数据。不要跟踪登记是指美国消费者可以一次性选择拒绝所有科技企业收集自己的数据,据第一次提出已有十年。

      布鲁金斯学会调查报告封面。

      调查还显示,虽然绝大多数(80%)的受访者认为线上隐私对自己来说很重要,但有32%的人表示,自己从来没有读过科技公司的服务条款,39%的人表示有时候读,另有9%的受访者不知道如何回答这个问题。

      在被问到对科技公司正在收集什么样的数据是否有信心时,58%的人表示根本没有任何信心。而当被问到对科技公司使用和分享个人数据是否有信心时,64%的人表示根本没有任何信心。

      这一系列的数据说明,美国消费者对目前科技公司处理个人数据的方式感到深深的不满和不信任。

      腾讯研究院高级研究员曹建峰对界面新闻表示:“欧盟的GDPR让隐私和个人信息保护观念深入人心,也掀起了数据保护立法的热潮。个人信息保护规则的建立,对消费者和行业都有助益,有助于塑造数字信任。”

      在这样的大环境下,大型科技企业对待“隐私”和“数据”的态度也在悄然发生变化。微软副总裁布里尔(Julie Brill)、脸书创始人扎克伯格和苹果CEO库克等纷纷呼吁美国学习GDPR,尽快出台完善的隐私保护法,腾讯也提出了“科技向善、数据有度”的隐私政策,科技巨头们逐渐意识到了“隐私”一词的品牌力量和市场价值。

      各国该如何借鉴?

      今年3月30日,因“剑桥分析”等数据泄露事件屡受质疑的扎克伯格在博客上表示:“有效的隐私和数据保护需要一个全球统一的框架。世界各地的人都呼吁根据欧盟GDPR的精神制定全面的隐私保护法,我同意。我认为,如果更多的国家用GDPR作为共同的法律框架,互联网将更好。”

      事实上,GDPR的确正在对其他国家的数据保护法产生推动作用。欧盟认为,在过去一年:“从智利到日本,从巴西到韩国,从阿根廷到肯尼亚都出现了类似于GDPR的新型隐私保护法。这些法律均规范了可强制执行的个人权利并建立了独立的监督机构。这种趋势为促进基于信任和安全的数据流动提供了新的机会。”

      5月23日,CNBC发表文章称,美国希望推出类似GDPR版本的隐私保护法,虽然可能并非完全照抄。文章透露,在美国,隐私保护法是罕见的受到两党支持的议题。

      随后,福布斯也发表文章指出,GDPR的身影在美国国会关于隐私保护法的讨论中随处可见。受到GDPR启发的《2018加州消费者隐私法》可能会成为事实上美国联邦隐私保护法的标准。隐私权的倡导者正试图强化这项法律,而商业和科技集团则试图缩小其覆盖范围,称文本无法适用。

      2018年10月,苹果CEO库克在布鲁塞尔会议上提出希望美国学习GDPR的榜样。图片来源:YouTube

      目前,中国也正在制定《个人信息保护法》,内容包括敏感个人信息问题、信息主体权利、跨境信息交流、刑事责任等问题。

      王新锐对界面新闻表示:“GDPR是欧洲基于其历史和文化做出的选择,要付出的代价和所保护的核心价值,立法者其实都有所预见。我们更要关注的是哪些制度设计产生了事与愿违的结果(比如有可能导致大公司的优势地位反而增强),这些是我国今后在立法和监管中要注意避免的。”

      曹建峰也认为,在中国基于数据而研发的创新性技术可以解决很多社会问题,因此中国的数据保护法需要在隐私和创新之间找到平衡。

      “在教育、医疗等很多方面,科技可以释放出巨大的‘向善’潜力。但这依赖于数据的获取、利用与流通。在后GDPR时代,如何通过构建完善的数据规则(data rules)来释放人工智能的巨大潜力,打造更美好生活的社会,是所有向GDPR致敬的立法必须予以认真对待的事情。”曹建峰说。

      未经正式授权严禁转载本文,侵权必究。
      世间万象欧洲社会欧盟 数据 隐私权
      点赞
      收藏
      看评论
      沉浸模式

      评论

      暂无评论哦,快来评价一下吧!

      下载界面新闻

      微信公众号

      微博

      【深度】欧盟保护个人数据法规运行一周年,我们该如何借鉴?

      对于消费者的隐私观念、科技企业的文化和各国的数据保护立法,GDPR(《通用数据保护条例》)正产生潜移默化的影响。

      刘芳LF · 2019/05/26 14:10来源:界面新闻

      图片来源:Convert GDPR

      记者 | 刘芳
      编辑 | 崔宇

      作为欧盟保护个人数据的统一法规,GDPR从诞生之日起就充满了争议。支持者认为,GDPR停止了互联网企业利用个人数据牟利的“裸奔”时代。反对者则认为,GDPR的法律语言并不明确,造成企业合规困难并且遏制技术创新。

      尽管争议不断,但GDPR的“溢出”作用愈发明显,对于消费者的隐私观念、科技企业的文化和各国的数据保护立法,GDPR正产生潜移默化的影响。 

      宽大处理的时代即将结束?

      2018年5月25日,欧盟开始正式执行《通用数据保护条例》(简称GDPR)。GDPR在如何获得用户许可、如何处理儿童数据和敏感数据(包括基因和生物数据)方面对企业提出了严苛的要求,此外,GDPR还明确规定了数据主体(消费者)的修改权、被遗忘权、限制处理权等新颖的权利。更重要的是,GDPR的规制范围包括任何将要使用欧盟境内数据的公司。

      在过去一年中最能直接体现GDPR影响力的,要数欧盟对科技企业的处罚。

      美国保尔森基金会(Paulson Institute)研究员希恩(Matt Sheehan)对界面新闻表示:“GDPR教会了世界各地的政府如何展示肌肉,维持他们对大型科技公司的权威。几年前,当政策制定者在谈到技术时,几乎有一种十分无助或无法阻挡的感觉,无法将他们的意愿强加到谷歌或脸书这样的公司身上。而现在涉及到隐私等问题时,他们感觉自己更有力量了。”

      全球最大律所之一DLA Piper在2019年2月所做的调查显示,自GDPR生效以来,欧盟监管机构共收到5.9万起个人数据泄露事件的报告,共进行了91次处罚。其中荷兰、德国和英国收到的报告最多。DLA Piper合伙人麦基恩 (Ross McKean) 在报告中表示:“基于收入比例的罚款机制和美国式集体诉讼索赔让GDPR从根本上改变了各个机构在泄露个人数据时的合规风险。”

      截至2019年2月欧盟境内个人数据泄露报告案例情况。图片来源:DLA Piper

      欧洲数据保护委员会 (European Data Protection Board) 在今年2月底发布的一份报告显示,在GDPR生效的9个月里,欧盟共对科技公司罚款5595万欧元。其中,法国数据保护机构CNIL在2019年1月因谷歌违规利用个人信息投放广告而对其处罚5000万欧元(约为5700万美元)。目前,欧盟尚未根据GDPR对任何一家大型科技企业做出年营业额4%的最高处罚。

      对此,罗切斯特理工学院(Rochester Institute of Technology,RIT)助理教授沃尔夫(Josephine Wolff)认为,相比谷歌2018年1368亿美元的收入,5700万美元只占到0.04%,“实在是少了一点儿”。

      沃尔夫还对界面新闻表示:“着重强调巨额罚款是GDPR本身面临的挑战之一。因为对于真正的大型科技公司来说,除非罚款是天文数字,不然对它们来说真的无关紧要。更希望监管者在加强安全和提高隐私标准方面投入更多精力,然后才是罚款。”

      数据管理公司Druva首席技术官普雷斯顿(W. Curtis Preston)则在近日表示,尽管欧盟委员会一开始采取了谨慎和更有建设性的手段,但公众的评论(情绪)表明,这种情况即将发生变化。

      普雷斯顿说:“在未来几年中,公司必须比以往任何时候都更认真地对待GDPR的核心理念,将稳健、安全的数据治理作为几乎所有业务的基础。遵循GDPR的数据治理将不再是公司可以“接近”或“努力实现”的,宽大处理的时代即将结束。”

      在企业内部,GDPR复杂的法律条文对任何一个从事法务工作的人来说,都是一件头疼的事。北京安理律师事务所高级合伙人王新锐对界面新闻表示:“GDPR在实务方面的感受是比较复杂的,会出现多个欧洲律师对GDPR具体规则解释完全不同的情况,合规成本大幅上升。”

      某欧洲驻华企业的数据合规人员也对界面新闻坦言:“关于GPDR合规,大家的反馈普遍是困难重重。缺少人手,意识不够,不论是欧洲、美国还是其他地方都是一样的反馈。”所以,虽然这家总部在欧洲的企业在全球推广GDPR合规,但现实是各个大区的合规团队进度严重落后集团计划。

      GDPR和国内法律适用上的冲突也是突出问题之一。这名数据合规人员向界面新闻透露:“在集团内部,我们的管理层有比较强的国家意识,会更多的从中国角度来看待一个问题。特别是现在欧美对中国进行各种封杀、制裁,管理层对执行欧洲法律和美国法律意见比较大。我们的策略是优先适用国内法律,在跟国内法律不冲突的时候再执行外国法律。”

      隐私意识的觉醒

      5月22日,欧盟官员在GDPR一周年纪念声明中表示,GDPR的主要目的就是“赋予人们权利,让人们可以更好的掌控自己的个人数据”。同时,GDPR保证了个人数据在欧盟成员国之间的自由流动,为欧盟数字化单一市场战略打下了坚实基础。

      但是,绝大多数消费者对目前科技公司使用个人数据的方式感到忧虑。

      美国布鲁金斯学会(The Brookings Institution)在5月10日针对美国消费者的一项调查显示,85%的人认为科技公司在收集个人数据之前,应该获得消费者的许可;84%的人认为科技公司在获得移动设备地理位置时应该得到消费者的批准;78%的人认为美国联邦贸易委员会 (Federal Trade Commission) 应该建立一个全国性的“不要跟踪”登记( 'Do Not Track' registry),允许消费者选择不分享他们的个人数据。不要跟踪登记是指美国消费者可以一次性选择拒绝所有科技企业收集自己的数据,据第一次提出已有十年。

      布鲁金斯学会调查报告封面。

      调查还显示,虽然绝大多数(80%)的受访者认为线上隐私对自己来说很重要,但有32%的人表示,自己从来没有读过科技公司的服务条款,39%的人表示有时候读,另有9%的受访者不知道如何回答这个问题。

      在被问到对科技公司正在收集什么样的数据是否有信心时,58%的人表示根本没有任何信心。而当被问到对科技公司使用和分享个人数据是否有信心时,64%的人表示根本没有任何信心。

      这一系列的数据说明,美国消费者对目前科技公司处理个人数据的方式感到深深的不满和不信任。

      腾讯研究院高级研究员曹建峰对界面新闻表示:“欧盟的GDPR让隐私和个人信息保护观念深入人心,也掀起了数据保护立法的热潮。个人信息保护规则的建立,对消费者和行业都有助益,有助于塑造数字信任。”

      在这样的大环境下,大型科技企业对待“隐私”和“数据”的态度也在悄然发生变化。微软副总裁布里尔(Julie Brill)、脸书创始人扎克伯格和苹果CEO库克等纷纷呼吁美国学习GDPR,尽快出台完善的隐私保护法,腾讯也提出了“科技向善、数据有度”的隐私政策,科技巨头们逐渐意识到了“隐私”一词的品牌力量和市场价值。

      各国该如何借鉴?

      今年3月30日,因“剑桥分析”等数据泄露事件屡受质疑的扎克伯格在博客上表示:“有效的隐私和数据保护需要一个全球统一的框架。世界各地的人都呼吁根据欧盟GDPR的精神制定全面的隐私保护法,我同意。我认为,如果更多的国家用GDPR作为共同的法律框架,互联网将更好。”

      事实上,GDPR的确正在对其他国家的数据保护法产生推动作用。欧盟认为,在过去一年:“从智利到日本,从巴西到韩国,从阿根廷到肯尼亚都出现了类似于GDPR的新型隐私保护法。这些法律均规范了可强制执行的个人权利并建立了独立的监督机构。这种趋势为促进基于信任和安全的数据流动提供了新的机会。”

      5月23日,CNBC发表文章称,美国希望推出类似GDPR版本的隐私保护法,虽然可能并非完全照抄。文章透露,在美国,隐私保护法是罕见的受到两党支持的议题。

      随后,福布斯也发表文章指出,GDPR的身影在美国国会关于隐私保护法的讨论中随处可见。受到GDPR启发的《2018加州消费者隐私法》可能会成为事实上美国联邦隐私保护法的标准。隐私权的倡导者正试图强化这项法律,而商业和科技集团则试图缩小其覆盖范围,称文本无法适用。

      2018年10月,苹果CEO库克在布鲁塞尔会议上提出希望美国学习GDPR的榜样。图片来源:YouTube

      目前,中国也正在制定《个人信息保护法》,内容包括敏感个人信息问题、信息主体权利、跨境信息交流、刑事责任等问题。

      王新锐对界面新闻表示:“GDPR是欧洲基于其历史和文化做出的选择,要付出的代价和所保护的核心价值,立法者其实都有所预见。我们更要关注的是哪些制度设计产生了事与愿违的结果(比如有可能导致大公司的优势地位反而增强),这些是我国今后在立法和监管中要注意避免的。”

      曹建峰也认为,在中国基于数据而研发的创新性技术可以解决很多社会问题,因此中国的数据保护法需要在隐私和创新之间找到平衡。

      “在教育、医疗等很多方面,科技可以释放出巨大的‘向善’潜力。但这依赖于数据的获取、利用与流通。在后GDPR时代,如何通过构建完善的数据规则(data rules)来释放人工智能的巨大潜力,打造更美好生活的社会,是所有向GDPR致敬的立法必须予以认真对待的事情。”曹建峰说。

      未经正式授权严禁转载本文,侵权必究。