河北省有哪些旅游景点作者:刘昕/第⼀财经研究院研究员
程畅(实习)/第⼀财经研究院
导语
欧盟个⼈数据保护新规“通⽤数据保护条例”于5⽉25⽇正式实施。本⽂对该条例的历史背景、详细内容和执⾏现状⼀⼀进⾏了梳理,并就其对国内外企业的影响进⾏了分析。 01
简介
通⽤数据保护条例(General Data Protection Regulation),简称GDPR,是欧盟秉着“顾客优先”的态度出台的个⼈数据保护新规。该规定于2016年4⽉14⽇出台,定于2018年5⽉25⽇正式投⼊实施,⾯向所有收集、处理、储存、管理欧盟公民个⼈数据的企业,限制了这些企业收集与处理⽤户个⼈信息的权限,旨在将个⼈信息的最终控制权交还给⽤户本⼈。 02
武汉团购网站大全
历史背景新疆天山天池风景名胜区简介
早在1980年,由20个欧洲经济共同体成员国、美国和加拿⼤等国构成的的经济合作与发展组织(OECD)便提出了⼀份关于“保护隐私和个⼈数据跨境流动”的指导⽅针,其中提出了“知会⽤户、⽬的明确、⽤户同意、信息安全、明确收集⽅、⽤户查验、追责渠道”七个关键词,对企业使⽤、收集和保存⽤户数据的⽬的、步骤,和数据的跨境流动做出了基本限制。虽然如此,由于该法案对于其成员国没有约束⼒(nonbinding),成员国间的隐私保护条例并未得到实际统⼀。
1995年10⽉,欧洲议会通过了“资料保护指令”(Directive 95/46/EC)。该指令的主要内容仍围绕上述“指导⽅针”中的七个关键词,提出企业对个⼈数据的处理须遵守透明、⽬的合理、数据完整准确等标准,并规定个⼈数据若要流向欧盟意外的第三⽅国家,必须满⾜该国家有同等个⼈隐私保护条例的前提。但不同于指导⽅针,“资料保护指令”对于欧盟成员国具有约束⼒,并规定成员国须于1998年年底前将该指令转化为法律在各国内实施。
2012年1⽉,欧盟委员会宣布即将通过⼀个全新的“通⽤数据保护条例”取代之前各欧盟成员国根据“资料保护指令”的相关⽴法,并称为欧盟各国间的唯⼀、统⼀的数据保护条例。其主要⽬的还包括优化数据流向欧盟外国家的管理办法,以及增强⽤户对于其个⼈信息的控制。经过四年酝酿,欧盟通⽤数据保护条例(GDPR)最终于2016年被通过,并设置两年缓冲期,于2018年5⽉25⽇正式投⼊实施。
03
GDPR详细内容与执⾏现状
详细内容:
相⽐“资料保护指令”,数据保护条例在条例适⽤范围、个⼈数据处理⽅式以及监督管理上有九⼤主要特点:
条例范围:云南临沧旅游必去的景点
1. 重新定义“个⼈信息”
资料保护指令(1995)仅将个⼈信息定义为姓名、地址、照⽚等直接信息;⽽GDPR(2016)对个⼈信息的定义不仅包括直接信息(姓名、住址、电话号码等),还包括⽹络信息(ip地址、cookies等)和间接信息(包括所有可追溯⾄某⼀特定个⼈的⽣理、⼼理、基因、⽂化等特征)。
2. 适⽤范围增⼤
资料保护指令(1995)的适⽤范围为所有欧盟境内运营的企业和所有使⽤位于欧盟内的设备处理数据
的企业;⽽GDPR(2016)的适⽤范围扩⼤为所有处理欧盟成员国公民个⼈信息的企业,⽆论该公民的现居住地是否在欧盟境内。
个⼈数据处理⽅式:
3. 优化数据处理体系
GDPR规定企业必须将保护个⼈信息和数据融⼊到对于产品的最初设计和公司⽇常的运营中去,推荐⽅法包括拟定假名或加密个⼈数据。 4. 责任共担
过去,收集和使⽤数据的数据拥有者需要对数据保护负责。如今,史⽆前例的,数据处理者(如提供数据处理服务的云服务提供商等)也将需要直接承担合规风险和义务。在数据保护上,数据供应链⾃上⽽下的各⽅都会被问责。⽹络公司必须与合作伙伴们明确各⾃的责任和义务。
5. 取得⽤户批准
GDPR规定企业必须获得数据提供者关于某明确合法⽤途的授权,并可出⽰数据获取⽅法的证明。在企业申请⽤户授权时需阐明:⽤户数据使⽤⽅的⾝份与联系⽅式、取得数据的⽬的与使⽤⽅式、数据是否会被跨境传输、数据存贮时长等。
6. 保护消费者权益
⽤户可随时查看、修改、移动、删除数据,并要求企业开具数据备份及数据使⽤⽅式。⽤户也拥有随时取消授权和抗议的权利。当获取数据时所述的⽬的不再适⽤或⽤户不再允许企业使⽤该数据,GDPR规定企业必须删除⽤户信息,同时将⽤户的数据清除请求告知第三⽅处理机构。
7. 对于⼉童的特殊保护
由于⼉童相较于成⼈对于个⼈隐私泄漏的风险更不敏感,GDPR规定对于16岁及以下的⼉童的个⼈信息处理须经过其监护⼈同意。
监督管理:
8. 发现违规后及时通知监管⼈员
GDPR规定欧盟成员国每国设⼀位监督⼈员并建⽴相应的执⾏机制,需要处理⼤量敏感数据的企业亦需聘⽤⼀位数据保护官(Data Protection Officer)监督企业操作的合规性。若企业发⽣数据泄漏,并可能危害⽤户的个⼈权利和⾃由时,企业必须在发现数据泄漏72⼩时内通知监督⼈员。但由于该法案刚刚投⼊实施,具体的监管体系还有待完善。
9. 处罚⼒度增强
GDPR建⽴了严格的处罚机制。若企业违规记录⽤户个⼈数据、违规后未及时通知监管⼈员、存在数据安全问题、违反隐私影响评估等相关条例,最⾼可获1000万欧元或其全球年营业额2%的;若企业违规内容涉及未经⽤户同意使⽤数据、侵犯⽤户⼈权、或⾮法跨境流通数据,最⾼可获2000万欧元或其全球年营业额4%的(两者取较⾼值)。
欢乐海岸游资是谁执⾏现状
根据第⼀财经报道,虽然GDPR的效⼒层级在欧盟是“条例”,编号为EU-DSGVO,其效⼒仅次于宪法,但部分企业与欧盟成员国仍未做好准备。2016年秋季⾯向云服务供应商的客户进⾏的感知调查显⽰,仅6%的企业被认为是符合GDPR、⽆需在新的规定条款框架下重新商谈合同; ⽽91%的企业出于对数据处理的复杂性和成本的考虑,对⾃⾝能否符合GDPR表⽰出担忧。⽬前,在欧盟28个成员国中,有12个国家已经正式更新了其国内法,将GDPR嵌⼊其中,同时还有8个国家告知欧盟委员会它们将在近期尽快完成其⽴法程序,但仍有8个欧盟国家在5⽉25⽇后在GDPR同其国内法融合⽅⾯毫⽆作为。欧盟⽅⾯表⽰,已经对上述国家做出了警告,请它们尽快更新法律系统,否则将把它们告上欧洲法院。
院。
04
邢台必去景点一日游
主要影响
各⽅关于GDPR出台对于在欧洲运营的公司的影响说法不⼀。欧盟委员会认为GDPR的出台为欧洲个⼈数据处理⽅式设⽴了统⼀标准,并可⿎励企业创新与节约企业运营成本。该委员会预计GDPR的出台将每年为企业在欧洲的运营节省23亿欧元。⽽埃森哲的报告则显⽰GDPR的出台将强制改变云技术商以及其合作伙伴改变运营⽅式,并使创新和发展速度放慢。
由于最近的Cambridge Analytica数据丑闻及之前的屡次数据泄漏,脸谱公司此次应对GDPR的措施⼴受关注。相⽐之前的相关规定,GDPR明确否定了以脸谱为⾸的⼀些社交媒体企业之前对于个⼈信息⼀些处理⽅式的合法性。
据美国CNET报道,脸谱、微软、推特、苹果等公司不仅修改了其在欧盟境内对于⽤户个⼈数据的处理⽅式,还⾯对欧盟的公民也开放了更多对于个⼈信息的权利。虽然在欧盟GDPR并⽆约束⼒,这些公司的举措说明了该欧盟新规对于主流企业处理⽤户信息的影响⼒。埃森哲⼤中华区⾸席创新官刘东在中国⼤数据博览会上对第⼀财经表
⽰:“GDPR是⼀个⽐较好的契机,让我们的企业审视⾃⼰的隐私保护政策,倒逼我们去努⼒合规。拒绝或者存有侥幸⼼理都是不对的。这⼀过程中需要数据公司的服务和技术上的⽀持,会增加客户成本,但同时也能令企业的价值得到提升。”许多在欧盟境内运营的中国公司(例如⼩⽶、国航、东航等)
也纷纷于5⽉25⽇前修改了隐私政策,⽽另⼀些企业则认为关系不⼤。“事实上,GDPR将对中国互联⽹带来翻天覆地的冲击……最⾸当其冲的,就是基于搜集个⼈信息和隐私驱动的整个中国互联⽹产业主体收⼊模式将产⽣重⼤影响,甚⾄是颠覆性影响。” 互联⽹实验室创始⼈⽅兴东表⽰。(*本⽂参考了《GDPR正式⽣效,欧盟数据隐私规则影响深重》⼀⽂,见5⽉28⽇出版的《第⼀财经⽇报》)
