標籤:

解讀GDPR | 史上最嚴格的數據保護法案今起全面實施

06-26
解讀GDPR | 史上最嚴格的數據保護法案今起全面實施

來自專欄 DataHunter

今天,由歐盟會議投票通過的《一般數據保護法案》(General Data Protection Regulation,簡稱GDPR)將全面實施。該法案將取代現有的《數據保護指示》(Data Protection Directive95/46/EC),統一歐盟成員國關於數據保護的法律法規。

GDPR的全面實施,意味著歐盟對於個人信息的保護及監管達到了前所未有的高度,堪稱史上最嚴格的數據保護法案。同時,GDPR對於我國業務範圍涉及歐盟成員國領土及其公民的企業進行合規運營、避免高昂處罰,以及對我國與數據相關的法學研究都具重要意義。

GDPR重要條款解讀

1. GDPR規定,企業應以合法、公正、透明的方式處理個人數據,這也是處理個人數據的基本原則。企業處理個人數據必須要徵得數據主體(用戶)同意,這種「同意」必須是具體的、清晰的,是數據主體在充分知情的前提下自由做出的。

2. 對於合法處理數據,GDPR也給出了明確的定義,至少滿足以下情況中的某一項,處理數據才算是合法,包括:數據主體同意為了特定目的處理其數據、處理數據是為了簽訂或履行合同的需要、處理數據是為了遵守法定義務的需要、處理數據是為了保護數據主體或其他自然人至關重要的利益、處理數據是為了公共利益等。

3. GDPR賦予了數據主體刪除個人數據的權利。當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時,數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。如果該數據被傳遞給了任何第三方機構(或網站),數據控制者應通知該第三方刪除該數據。

4. 對於特殊種類的個人數據處理,GDPR也做了明確的規定。對揭示種族或民族出身,政治觀點、宗教或哲學信仰,工會成員的個人數據,以及以唯一識別自然人為目的的基因數據、生物特徵數據,健康、自然人的性生活或性取向的數據的處理應當被禁止。但也有例外,如該數據已經獲得了數據主體的明確同意,以及數據處理為實現控制者或數據主體在工作、社會保障以及社會保障法的範疇內履行義務、行使權利之目的等。

5. 處理未滿16周歲的兒童數據,GDPR規定,必須是在徵得父母責任的主體同意情形下,或授權兒童同意的範圍內才能進行。法案特別提到,考慮到現有技術,企業應當作出合理的努力,去核實在此種情況下,父母責任的主體同意或授權。

6. 當出現數據泄漏事件時,企業應在72小時之內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時,企業必須毫不延誤的通知數據主體,以便數據主體及時採取措施。

哪些企業將受到GDPR約束?

GDPR具有域外效應,根據法案中的相關規定,以下企業將受到GDPR的法律約束。

1. 設立在歐盟境內的企業;

2. 未在歐盟境內設立,但向歐盟境內的數據主體(自然人)提供產品和服務的企業;

3. 未在歐盟境內設立,但涉及監控歐盟境內數據主體(自然人)行為的企業;

4. 未在歐盟境內設立,但在歐洲成員國法律適用的地方設立的企業。

也就是說,GDPR不僅適用於位於歐盟境內的企業組織機構,也適用於位於歐盟以外的企業組織機構,無論機構所在地位於哪裡,只要其向歐盟數據主體提供產品、服務或者監控相關行為,或處理和持有居住在歐盟境內的數據主體的個人數據,都將受到GDPR法案的監管。

對於中國企業而言,如果在歐盟境內設立了分支機構,那麼該分支機構肯定會被要求執行GDPR法案的相關規定,否則只能停止向歐盟用戶提供互聯網服務,或繳納巨額罰單。目前看,有可能涉及到中國企業的更多會是銀行、電商、互聯網以及IT軟硬體企業等。

哪些情況不適用於GDPR?

根據GDPR第二條《適用範圍》中的相關規定,以下個人數據的處理情況並不適用於該法案。

1. 發生在聯盟法律範圍之外的活動過程中;

2. 基於國家安全目的而產生的數據處理行為;

3. 由自然人在純粹的個人或家庭活動的過程中;

4. 由主管當局為預防、調查、偵查或起訴的刑事犯罪,執行的刑事處罰的目的,包括防範和阻止公共安全受到威脅。

巨額的處罰

對於在GDPR法案約束範圍內的企業,如果其違反相關規定,那麼將面臨歐盟嚴厲的制裁和巨額的罰款。具體處罰措施如下:

對於一般性的違法,處以1000萬歐元或上一個財政年度全球全年營業收入2%的罰款(兩者中取數額大者)。

對於嚴重的違法,處以2000萬歐元或上一個財政年度全球全年營業收入4%的罰款(兩者中取數額大者)。

我們可以簡單理解為,輕者(違反隱私保護設計和默認隱私保護協議、沒有實施充分的IT安全保障措施、違反數據泄露通知要求等),最低處以1000萬歐元的罰款;重者(違反數據處理原則,數據處理沒有合法基礎、違反同意要求,侵害數據主體的合法權利等),最低處以2000萬歐元的罰款。

之前有媒體分析稱,GDPR實施的第一年,歐盟的罰款收入有可能達到60億美金左右!當然,違反GDPR的代價遠不止財務層面,還將給企業聲譽帶來極大影響,有可能導致企業和消費者之間產生信任危機。

GDPR大事記

  • 2012年1月,歐洲會議提出改革歐盟數據保護法規;
  • 2015年12月,歐洲會議一致同意制定新的歐盟數據保護法規;
  • 2016年4月,歐洲會議通過《通用數據保護條例》;
  • 2016年5月,有關在執法過程中公民享有數據保護權的歐盟指令生效,GDPR啟用。歐盟成員國將於2018年5月全面實施;
  • 2017年2月,截止對主導監管機構指南提出意見;
  • 2017年4月,預實施最終指南進行評估、認證和處罰;
  • 2018年5月25日,《一般數據保護法案》(簡稱GDPR)全面實施。

推薦閱讀:

鹿豹座平台(1.8-1.12)大數據新聞每周精選
大數據告訴你2018年郵票到底減了多少量!
今日數據行業日報(2017.7.31
【2018.3】從一個架空的業務場景討論非標準服務的定價因素與什麼算「大數據殺熟」
解決流動人口管理的世紀大難題,且看政務大數據如何助力

TAG:大數據 |