驻外观察 | 欧盟最严数据保护条例生效,谷歌脸书没大事,中小互联网企业反遭重击
▲欧洲数据保护委员会的新任主席安德烈亚·耶利内克在布鲁塞尔欧盟总部宣布该机构正式成立。视觉中国
5月25日,被全球媒体称之为史上最严格的欧盟《通用数据保护条例》(GDPR)正式生效。相较于其对数据保护近乎于苛刻的界定,更令人关注的是它所规定的巨额罚款数额。根据这份最新生效的《数据保护条例》,任何违规的企业都将面临全球收入4%或2000万欧元的罚款,二者取较大值。
在生效后,GDPR将覆盖所有28个欧盟成员国,替代各国自己的相关法律。对于这项法规,欧盟期待其成为全球数据信息保护的“新标杆”。
保护条例酝酿已久
今年上半年,脸书数据丑闻爆发。拥有超20亿活跃用户的脸书,被指控将近5000万名用户的数据泄露给第三方公司进行大数据分析,而这一行为甚至被怀疑直接影响了美国大选和英国脱欧公投。因此,此次《通用数据保护条例》的生效,让人不得不将两件事情联系在一起。
而事实上,《通用数据保护条例》是欧盟酝酿已久的法规。2015年6月,欧盟成员国的司法及内政事务部长会议就五项原则达成一致,而这些原则也构成了新规的重要框架:第一,建立欧盟范围内的统一法规;第二,用户有权利要求互联网企业从网络搜索中移除个人信息;第三,即使设在欧盟以外的企业只要在欧盟范围内开展业务,也必须遵守欧盟的法律;第四,允许各国数据机构对触犯规则的企业征收高额罚金;第五,企业和用户只需要和任何一个成员国的数据监管机构进行互动,从而节约时间和费用。
其实早在1995年,面对当时方兴未艾的互联网,欧盟就推出了《数据保护指令》。随着互联网技术的发展,这项法规被认为无法再有效保护欧盟公民的信息安全和隐私,而此次生效的《通用数据保护条例》被普遍认为是《数据保护指令》的升级版。
欧盟加强机制建设
为能够更好地执行《通用数据保护条例》,欧盟也进行了相关机制的建设,其中最重要的就是成立了欧洲数据保护委员会。25日,欧洲数据保护委员会的新任主席安德烈亚·耶利内克在布鲁塞尔欧盟总部宣布该机构正式成立。耶利内克表示,欧洲数据保护委员会将负责执行欧盟《通用数据保护条例》;在必要的时候,该机构将集合28个成员国监管机构的智慧,找到欧洲数据保护的最佳方法。根据《通用数据保护条例》的规定,成员国都必须设立一个数据监管机构。
《通用数据保护条例》里有两点核心原则:一是任何机构获取用户个人数据,必须征得用户个人“明确同意”;二是消费者对“本人隐私数据由谁处理、作何用途”有知情权。具体到操作层面,网络用户一方面有权选择将什么样的数据信息提供给服务商,另一方面,也有权要求服务商把已经获取的信息删除,也就是颇受关注的“被遗忘权”。
对于《通用数据保护条例》的施行,欧盟各成员国的数据监管部门显得信心十足。德国数据保护协会负责人提洛·魏谢特说:“毋庸置疑的是,欧盟新条例在推动数据保护方面起到了非常积极的作用。对违规情况的惩罚力度之大,恐怕会让大企业尤其肉痛:罚款金额从眼下的最高30万欧元增加到了公司全球年营业额的4%。除此之外,监管部门的合作同样会进一步得到改善,维权也会变得更加有据可依。”欧盟委员薇拉·尧罗娃分管司法事务,她向媒体表示,新规将“让欧洲人重新掌控自己的数据”。
将产生巨大的合规成本
任何更加严格的监管,在保证安全的同时,势必会带来更大的合规成本,《通用数据保护条例》也不例外。从两个星期以前,记者和绝大多数欧盟公民或者生活在欧盟的外国人一样,开始收到“邮件轰炸”。这些邮件往往是各家公司强调自己将遵守《通用数据保护条例》,并且再次确认用户同意接受来自于他们的邮件。
欧洲的多家媒体都引用了去年来自普华永道的一份调查报告,该份报告调查了300家左右大型企业,绝大多数被调查企业均表示,为了能够使得自己在欧盟的业务符合《通用数据保护条例》,将付出超过100万美元的成本。
然而对于中小企业来说,合规成本将是一笔不小的开支。德国很多中小企业已经向外界表达了自己的忧虑。有评论指出,欧盟推出的这项法律本来是想打击谷歌、脸书、亚马逊等来自美国的巨头们。然而讽刺的是,这些资金雄厚的公司,可以轻而易举地组织起法律和技术团队,来实现完全的合规化。与之相反,那些规模较小的欧洲本土互联网公司,反而可能因为没有办法支付高昂的合规成本而逐步被市场淘汰。
另外,也有英国媒体指出,新的信息规定将让时下流行的大数据和云计算“感到紧张”。因为这些领域非常容易触犯到新施行的法规。而在这两个领域,目前美国、日本、中国和欧盟竞争激烈,新的法规很有可能让欧盟在竞争中处于劣势。 (本报柏林5月27日专电)
作者:报驻柏林记者 赵海博
编辑:陆益峰
责任编辑:沈雷
*独家稿件,转载请注明出处。