央广经济之声《王冠红人馆》:欧盟强推数据保护条例,“史上最严”能否真正落地?
5月25日,欧洲联盟《通用数据保护条例》在28个全体成员国正式生效。这部条例对信息技术(IT)企业保护用户隐私的责任规范空前严格,旨在改变消费者信息在网络广告商面前“一览无遗”的现状。为保障新规的推行,欧盟增设的独立监管机构——欧洲数据保护委员会也于同一天正式成立。欧盟数据管理条例推行了哪些新规?对用户和互联网公司有何影响?对其他国家和地区的互联网数据管理有何启发?
央广经济之声《王冠红人馆》与您一起深探欧盟互联网数据管理条例背后的事。
一、聚焦—欧盟出台最严数据管理条例,影响范围波及全球
5月25日,经过近四年的讨论以及两年的过渡期,欧盟《通用数据保护条例》(《通用数据保护条例》)在欧盟全体成员国正式生效。这部条例对信息技术(IT)企业保护用户隐私的责任规范空前严格,旨在改变消费者信息在网络广告商面前“一览无遗”的现状。这被广泛认为是欧盟有史以来最为严格的网络数据管理法规,将对互联网等行业的发展带来重大影响。
为保障新规的推行,欧盟增设的独立监管机构——欧洲数据保护委员会也于同一天正式成立。欧洲数据保护委员会的新任主席安德烈亚·耶利内克在布鲁塞尔欧盟总部宣布该机构正式成立。耶利内克表示,欧洲数据保护委员会将负责执行欧盟《通用数据保护条例》。这部条例确立两项关键原则,一是任何机构获取用户个人数据,必须征得用户个人“明确同意”;二是消费者对“本人隐私数据由谁处理、作何用途”有知情权。
《通用数据保护条例》规定无论企业是否在欧盟境内,只要与欧盟企业发生业务往来,或涉及存储、处理、交换任何欧盟公民的数据,都在这一条例的管辖范围之内。欧盟有大约5亿网民,条例规定对未采取技术或管理措施来避免、降低隐私侵权损害风险的互联网公司,最高可罚款1000万欧元或全球营业额的2%(以较高者为准);对违反个人信息收集和使用基本原则以及没有保障数据主体权利的互联网公司,最高可罚款2000万欧元或全球营业额的4%(以较高者为准)。可见,《通用数据保护条例》施行的影响波及的不仅是欧盟地区。就在其正式生效的当天,包括《芝加哥时报》和《洛杉矶时报》在内的多家美国热门新闻网站在欧盟地区陷入瘫痪,原因是没能及时取得用户授权。
根据《通用数据保护条例》中的要求,每个欧盟成员国都必须设立一个监管机构,这些机构将进行跨国合作,以确保企业遵守数据保护新规。欧洲数据保护委员会的主要职责是,保障《通用数据保护条例》在所有欧盟成员国的一致执行,同时促进各成员国监管机构之间的合作,协助调解各国监管机构之间的争议,并提出指导方针和建议。欧洲数据保护委员会的成员包括欧盟各成员国国家数据保护机构的负责人,以及欧洲数据保护主管。
安德里亚·耶利内克说:在必要的时候,我们可以作出裁决,我们将集合28个(成员国)监管机构的智慧,找到欧洲数据保护的最佳方法。
此外,耶利内克在发布会上表示,新出台的《通用数据保护条例》在欧盟之外也引起了极强的反响。许多欧盟外国家和机构纷纷发来问询以及建议,将这些声音收集反馈给欧盟委员会,也是欧洲数据保护委员会的重要职责之一。有欧盟官员称,日本、韩国、印度和泰国从欧盟新规汲取“灵感”,开始讨论或着手制定类似法规。
二、解析—让用户权益更明晰,对企业规定更严格
新规拓宽用户权益
《通用数据保护条例》是对其1995年《数据保护指令》的修订、拓宽和升级。《数据保护指令》为当时欧洲国家立法保护个人数据设立了最低标准。随着互联网行业的迅猛发展和用户数据的爆发式增长,欧盟在2012年提出改革数据保护法规,旨在帮助民众进一步保护个人信息,帮助企业利用“单一数字市场”带来的机遇。2015年6月,欧盟成员国的司法及内政事务部长会议就五项原则达成一致,而这些原则也构成了新规的重要框架:“同一个大陆,同一套法规,即在欧盟范围内建立起一套法规;强化‘被遗忘权’,即如果无必要的法律依据,用户可以要求互联网企业从网络搜索结果中移除个人信息;欧洲境内适用欧洲法律,即设在欧盟以外的企业如果要在欧盟范围内提供服务,也需要遵守欧盟法律;强化各国数据保护机构权力,并允许各成员国的数据保护机构对违法者处以高额罚金;一站式服务,即企业和用户都只需与一个国家的监管机构打交道。
2016年4月,欧洲《通用数据保护条例》获得通过,2018年5月25日正式生效,通过和生效之间,有两年的适应期,让企业进行调整,以符合《通用数据保护条例》要求。
《通用数据保护条例》大幅拓展了对于“个人数据”的定义,除了姓名、地址、证件号码、网络IP地址等通常意义上的个人信息,以及指纹、虹膜等生物识别数据、医疗记录等十分隐私的个人信息,新规还涵盖了例如用户的种族、宗教信仰甚至性取向等多方面信息。
根据《通用数据保护条例》,用户将经常需要选择是否授权企业或机构获取其个人数据,会有一些选项框供用户勾选,企业或机构必须用通俗的语言向用户说明用途。此外,用户有权要求企业或机构删除其个人数据,这意味着用户将可随时删除自己在网上的个人数据,即上面所说的强化“被遗忘权”。当然,用户的“被遗忘权”不是绝对的,必须符合一些特定条件。未达法定年龄的用户由父母代行“同意”权利。法定年龄在13至16岁之间,由欧盟各成员国依据国情各自设定。欧盟新规还允许用户有权要求监管机构在规定时限内对违规行为进行调查。如数据监管机构调查不力,用户则有权向法院提起诉讼,以更好地保护用户权利。
从2016年《通用数据保护条例》获得通过到2018年5月正式实施,该条例为相关企业留足了两年的适应期。但是仍然有很多企业没有做好充分的准备,在条例生效前期匆匆征得用户同意。在《通用数据保护条例》生效前几个星期,大量欧洲网络用户抱怨自己遭大量垃圾邮件和短信集中“轰炸”,内容大同小异:请求用户“明确同意”接收企业发送的广告信息。
对于欧盟的这部新法规,一些民众在接受采访时表示,对此并不是非常了解,政府应该进行更多的解释说明。法国《挑战》周刊杂志的IT业资深记者波勒·卢比埃也认为《通用数据保护条例》内容繁多,但他同时表示,无论怎样,对个人信息提供者来说,条例的实施都是件好事。他说:“我认为直到目前,仍然存在一些模糊地带,使得一些企业在信息提供者不知情的情况下收集和使用个人信息数据。《通用数据保护条例》能控制这种情况的发生,特别是欧盟公民能够询问个人数据如何被使用,这非常重要。”
企业面临严苛的数据保护法规
波兰数字化部数据管理部门负责人马切伊·卡维茨基介绍说,新《通用数据保护条例》中有超过20项新的数据主体权利,例如被遗忘权、个人数据的复制权、个人信息泄露后的通知义务、处理个人信息的知情权等等,《通用数据保护条例》把个人权利与企业义务绑定在一起,增加了对个人数据保护的力度。但考虑到信息技术发展日新月异和各行各业的千差万别,《通用数据保护条例》并没有规定个人数据保护的具体措施,卡维茨基说:“新技术的不断发展,使得目前存在的法规不再适用,值得注意的是,在《通用数据保护条例》中,没有条款来严格明确如何对个人数据保护实施技术和组织措施。这被称为《通用数据保护条例》的技术中立,任何数据控制者以及负责保有、收集数据的企业将决定如何正确保护个人信息。”
正是由于这种技术中立性,《通用数据保护条例》不会因为技术的发展而过时,对于保持法律的延续性具有积极意义。但是,正因为如此,也给企业带来了挑战和合规方面的难度。波兰著名律师事务所个人数据保护专家斯瓦沃米尔·科瓦尔斯基律师说,挑战来自不是简单满足《通用数据保护条例》的要求,需要企业梳理自身各方面的流程,“企业家们仍然不知道怎么做,需要做什么以完全符合《通用数据保护条例》的要求。第二个挑战是《通用数据保护条例》的广泛适用性,《通用数据保护条例》涉及到商业活动的方方面面,因此,需要在公关、信息技术、市场、销售等所有部门明确并调整商业流程。”
法新社报道,大型社交媒体平台如脸书、WhatsApp和推特似乎对适应欧盟新规准备较充分,而小型网络技术企业担心受到冲击。欧盟官员说,新规施行初期会紧盯大型技术类企业,因为它们凭借大量用户数据吸引商家“精准投放”广告,以实现营利,欧盟会给小型企业更多时间适应新规。路透社报道,谷歌公司24日在美国纽约市召集70家媒体和广告客户代表开会,承诺在6月和8月投放更多广告技术工具,协助客户适应新规。
对于4月深陷数据保护争议的Facebook,其CEO扎克伯格22日在欧洲议会听证会中表示将遵守这一新法规,目前正在就新规进行调整,希望能在5月25日之前完成。
英国《经济学人》周刊一篇报道说,欧盟新规生效后,最大输家将是“广告技术产业”。这类企业永不餍足地收割用户个人数据,而“过分乐观”的风险投资者对广告技术新发明慷慨支持,使这个产业迅速壮大。不过,皮沃资本管理公司的布莱恩·威泽认为,“广告技术泡沫”已开始萎缩。这个产业以为消费者会欢迎“与己相关”的广告,但随着“精准投放”广告侵略性日益强烈,用户开始反感并安装拦截工具。另一方面,谷歌、脸书等行业巨头在平台上搭载自家开发的广告技术工具,小企业竞争空间越来越小,整个行业开始整合,而欧盟新规会加速这一整合过程。
《经济学人》报道,多数广告技术企业因为不曾与消费者建立直接联系,难以获取使用用户隐私数据的许可;即使它们能直接联系用户,也只有很小一部分用户会同意分享个人隐私数据。一些广告技术企业已选择退出欧洲市场。谷歌公司已要求使用谷歌广告技术工具的所有网站和应用软件必须征得用户同意才可使用和分享用户个人数据,但同时规定,一旦客户使用谷歌工具“征求同意”,就必须限制使用其他广告技术商的服务。
数字发行商团体“下一代数字内容”的杰森·金特说,数字发行商指望欧盟新规协助遏制谷歌之类巨头垄断线上广告。新规若能有效防止广告商越过网站和应用软件、直接针对特定用户投放广告,发行商或许能从大型网络平台手里收回与消费者关系的部分掌控权。
三、思考—各类企业执行新规的高昂代价
新规规定,无论跨国企业还是小型制造商都须改变收集和处理欧洲个人信息的方式。除了Facebook、谷歌等互联网巨头外,很多其他类型的企业也深受《通用数据保护条例》的影响。
按照《通用数据保护条例》的规定,无论是万事达卡(Mastercard Inc., MA)和安联保险公司(Allianz SE, AZ)这样的跨国企业,还是小型制造商甚至是餐馆,成千上万家公司都须改变收集和处理欧洲个人信息的方式,即便这些公司在欧洲并没有实体存在。隐私法律师和咨询顾问称,很多企业还没有完全准备好。为了赶在周五新法生效前作好准备,有些企业已经花费了数百万美元。
亚利桑那州坦普尔太阳能板生产商First Solar Inc. (FSLR)首席合规长Paul Delson说:“我认为,作为一家公司,我们还没有完全搞清楚新法有哪些要求。”这家公司匆忙草拟了新的员工及客户数据使用政策,描述了使用数据的方式。他说,公司起初抱着这样一种心态,“这是欧洲法律,而我们是一家美国公司”。
对企业进行的相关调查显示,60%-85%的受访公司认为他们在周五前难以实现完全合规。咨询公司Capgemini SE在今年3月和4月对1,000家企业进行的一项调查显示,只有半数受访企业表示他们基本合规。
那些表示将赶在最后期限之前完成合规工作的企业很多都投入了大量财力来完成这一任务。总部位于慕尼黑的安联表示,该公司为符合《通用数据保护条例》规定已耗资数千万欧元,包括集合旗下80家子公司的数百名隐私专家来作出调整,例如修改在线保险应用程序以避免要求客户提供投保人职业等保险报价不需要的信息。安联集团首席隐私长Philipp Raether表示,这是一项浩大的工程。
总部位于伦敦、拥有90名雇员的视频游戏公司Bossa Studios表示,该公司为此支付了数万美元咨询费,最终咨询机构的结论是该公司符合《通用数据保护条例》的规定,无需进行任何调整,因为该公司仅保存了简单的数据。该公司首席执行长Henrique Olifiers称,这是一项非常复杂的问题,即便是咨询人员也在试图弄明白这些规定。
收集大量乘客数据的美国航空公司不愿公开讨论这些公司的合规准备情况。一位航空业高管称,重点是创建一个储存在飞行常客奖励计划下的数百万会员信息的个人数据库,以及这些数据能如何共享给在线旅行服务机构等第三方机构。他已任命自己为首席数据保护长,这是根据《通用数据保护条例》要求设立的新职位。
预订和顾客信息服务平台SevenRooms的联合创始人Kinesh Patel称,就连美国的餐馆也担心《通用数据保护条例》合规问题,因为它们收集和保留赴美旅行并预订餐饮的欧盟居民相关信息。他还称,较大的餐饮连锁店一段时间来一直在为《通用数据保护条例》合规做准备工作,但这一新规令较小的餐馆感到意外。Patel称,餐馆不是科技企业,但如今却被要求像科技企业一样管理其数据。
科文顿·柏灵律师事务所(Covington & Burling)在布鲁塞尔的合伙人、数据保护专家Henriette Tielemans称,由于工作量巨大,企业难以达成新规要求的具体目标,包括信息处理活动的记录、转让协议、通知以及网站等。此外,还包括更加概念化的处理方式,因为这与企业迄今为止的业务模式不一样。
四、总结
欧盟的《通用数据保护条例》为为用户增加了一层保护网,对于互联网数据管理来说有积极意义。这一条例的实施也必然对互联网企业和广告技术产业的格局造成深刻的影响。此外,其规定的繁杂和涉及范围的广泛让很多企业一时难以应对,尤其是很多非互联网传统企业,为了应对新规必须花高昂的代价。而对于欧盟之外的企业所框定的治外管辖权到底能在多大程度落地,依然是问号。
央广经济之声《王冠红人馆》——最动听的财经周刊!
每周六、日 首播9:00-12:00重播13:00-16:00
主编:王冠 经济之声制作人/主持人 金话筒奖获得者央视财经频道特约评论员
主笔:央广《王冠红人馆》舆情课题组 郑金娥
