欧盟新规或能成为个人数据保护的新方向
2016-02-02 09:27:54
  • 0
  • 0
  • 0
  • 0

    核心观点:(1)欧盟新规明确各大公司禁止乱用个人信息并对跨境数据流动进行约束;(2)欧盟新规将会极大的影响美国互联网企业,并对中国企业起到了警示的作用。

一、 欧盟新规明确各大公司禁止乱用个人信息并对跨境数据流动进行约束

    首先是欧盟数据保护指令立法的规则,其次数据保护立足于个人数据保护,个人数据保护除了承认欧盟法院2014年在司法判决中确立的遗忘权以外,还增加了一些新的权利,给互联网的服务提供商施加了一些新的义务。欧盟这个数据保护新规有一些很复杂的机制和体制,可能会对将来的数据保护机制的建立、互联网企业、欧盟成员国的机制、欧盟层面上相关机制的建设有很大的影响,欧盟在现在国际政治中是一股很大的新生力量,欧盟这个新规出来以后,它到底是出于什么样的想法,它对于将来国际上的个人数据保护。现在国际上有两种潮流,商业和技术推动的个人数据越挤越多,个人越来越成裸奔状。

    欧盟对于个人数据的保护,主要目的是保护个人使用互联网上中的数据,不包括个人出于非商业目的进行的个人数据使用,保护新规的主要矛头就是美国大的互联网公司和美国互联网公司背后依托的美国,按照新规要求,对于美国的公司猴年会非常不顺。数据处理方面,商业公司要遵循合法、公正、透明,要对自己的数据使用过程、怎么样使用、达到什么目的,给用户事先做一个透明性的角度,让用户知道这个数据处于什么目的使用,使用方法和程序是什么,使用完了之后怎么样,他对使用数据的企业提出了一个总体上的要求。

    使用数据过程中,出于什么目的就只能搜集与这个目的相关的数据,如果这些数据与告知给公众和个人用户的目的不相关的禁止使用,否则就是非法的。要及时告知公众和用户,用户有权利随时更新、修改这些数据。这个数据的使用是有期限的,如果商业使用个人数据的话,使用完了对数据要利马进行脱敏化处理。只有出于历史、统计、科研之目的,有些数据处理完了以后可以保存。这个规定中提到了数据的持有者和数据的使用者,持有者可能是一家,但是使用者会两家、三家。将来的数据保护的第一道关口,按照欧盟的数据保护指令,数据持有者富有第一道责任,当然这个数据让别人处理了,出了问题你难逃干系,也要负责任,这是它的基本原则。

    从创设的权限来看,为了满足个人数据保护的需求设定的规则体系,所以给个体创设了一些权利,为了使这些权利实现,给服务提供商创设了一个义务,首先要求数据持有者有义务以透明、易读的方式为用户提供相关的信息,包括怎么样处理怎么样使用这些信息。存储的这些数据产生的数据库,用户个人要用这个数据,你有义务为用户提供便利条件,让用户更好地使用在你这个平台上生成的的数据。如果这个数据要跨境流动或者要采集这个数据,都要提前告知数据所有人,根据后面的机制,涉及到欧洲每一个成员国都要设立一个专门的机构对你这个行为进行监控、评估,如果规模特别大的跨地区、跨国家的流动,欧盟的数据保护委员会也要进行监督。手续非常繁杂。新规中用户读取自己私人数据是没有问题的,这是一项权利,私人数据存储的过程中,对于存放于服务器上的私人数据进行修改、删除,如果有问题的话可以给服务提供商问责,当然包括出了问题以后提起司法诉讼、获得司法救济。

    2014年欧盟法院做出的维护遗忘权的判决,在这个新规里得到了确认。信息删除权,存储于这个服务器上的信息没有用的话,用户可以请求删除,遗忘权在2014年的判决里,用户可以要求搜索服务提供者以改变搜索结果的方式,不让搜索服务提供者向第三方呈现这个用户过去的不良记录,这次里面又增加了信息的删除权。在这个新规里为个人用户提供了一个数据可携带权,要求是在这个平台上生成的一整套数据,像我的私产一样,像屋子里的桌子椅子,我有一天可以搬走。服务提供商应该为用户提供适当的、简便的存储模式。用户可以反对某些服务提供商对他数据进行的处理,新规定明确反对根据数据画像对个人进行跟踪。在这个基础上,因为它是保护个人数据的,为了保护个人数据,在机构上进行了一些设定,其中对于企业来讲如果涉及到对某地区用户数据的大量使用、处理,你要设立专门的数据专员。

    对于欧盟28个成员国来讲,要成立专门的数据保护机构,在欧盟层面上会有一个欧盟数据保护委员会,这些都是常年开展工作,每年都要提供报告,把这一年做的工作,尤其是欧盟每个成员国的机构的工作,欧盟数据保护委员会的工作,每年都有一个年度报告,必须切实履行保护公民个人数据的权利的职责。当然在司法救济方面,这个新规中规定,通常对于数据保护方面可以直接向服务提供商问责,欧盟成员国成立的保护机构也可以直接对于侵犯数据的行为进行起诉。对于数据保护违规特别严重的企业,这次欧盟的规定最高可以罚款他在全球营业额的4%,经常会有数据集体泄露了以后没有后话了,这个新规定出台以后,这种罚款可以治一个公司于死地,公司营业额的4%,这只是罚款,当然还有刑事等其他方面的处罚,所以处罚是非常重的。这是一些简单的情况。

    史上最严的个人数据保护,完全以个人权利为中心,使用个人数据要经得个人的同意,怎么样获取用户的同意,用户在什么情况下的同意可以认为是授权你处理使用这些数据,都有非常详细的规定。所以公司以后搜集个人数据、处理个人数据将会面临特别大的麻烦,尤其是遇到未成年人的时候,还要经过父母的同意。社交媒体上十几岁以下的未成年人,将来怎么样使用社交媒体,规定可能都会有问题,要经过监护人的授权怎么取得,将来会是一个很大的、很麻烦的问题。对于数据的跨国流动和数据大规模的处理,欧洲要求本国的监督机构负得起责任,同时欧盟层面上还可以对于某一个国家某一个地区数据保护的整体水平、数据保护的司法救济措施,当地互联网企业对数据保护的重视程度,对这个国家地区数据保护水平进行综合评估,如果评估的分数很低或者不合格,禁止欧盟的数据项这些地区流动,欧盟以外的其他地区的企业禁止使用欧盟用户的数据。

二、欧盟新规将会极大的影响美国互联网企业,并对中国企业起到了警示的作用

    我们国家讲网络空间主权,欧盟也是在利用这个新规,这个新规还有两年生效,两年期间内欧盟28个成员国会逐渐修改自己本国的法律以适应这个新规的要求。从这个法规可以看出欧盟赤裸裸地通过制定新的规则确立全球的数据市场,现在的情况是,欧盟在互联网、大数据方面没有产业,没有规模,没有基础应用,现在形成的比较完整的生态,欧盟也没有,高端的东西都在美国。中国至少有自己的东西,将来新一轮的经济转型过程中或者数据经济快要到来现在已经启动步伐的情况下,欧盟不甘心完全被边缘化,不甘心自己既没有市场又没有产业、没有生态,他通过加强本地区个人数据保护的方式,设定很严格的司法保护程序的方式,至少可以使自己在欧洲数据一体化的过程中,在今后和美国公司进行谈判的过程中,有更多的砝码和武器。

    我更愿意把欧盟的数据保护新指令看成是欧盟为自己准备的切蛋糕的刀,切谁?现在主要是切美国的公司,因为美国的公司在欧盟,谷歌是90%以上的份额,Face book、推特这些基础的社交应用全部是美国的,欧洲人苦美久已。2004年欧盟刚开始采用反垄断,但那些都不见效,这是一揽子的、非常系统化的。欧盟的这种做法,你去检查一下这两年欧盟法院的具体做法,2014年5月13日的被遗忘权,年底把2000年欧盟和美国数据保护的协议被废,禁止谷歌把他的其他服务绑架到搜索服务上,都可以看出欧盟向美国的互联网公司发起的新一轮的挑战。除了这个办法以外,欧盟没有更好的办法。

    对于中国来讲,我们的互联网公司的发展有一大块是建立在个人数据可以随便使用的基础上,欧盟这种立法对于我们国家也会产生一定的效应,因为将来的数据之争、数据主权之争、数据本地化之争会是将来发展的苗头,这在欧盟和美国是最明显的。实际上在其他一些小地区,比如被遗忘权不仅仅是欧洲发起的一场维护个人隐私的运动,在欧美一些国家和地区也有这种需求,在中国也有,但没有系统化地明确地摆到桌面上。去年12月17日巴西有一个案件涉及到Facebook旗下的数据应用问题,这些问题都会非常尖锐。

    现在回过头来看中国的互联网企业,中国有几家互联网企业能够把数据留在国内,能够使我们的数据不被美国随便分析、随便利用,应该还是比较幸运的,但是欧洲人没有这么幸运,所以他们要用这种方法来反治美国,所以我们非常看好这个指令,我们希望它能够非常严格有效地实施下去,执行下去,同时也希望中国不要走欧盟保护个人数据这么狠的道路。


 
最新文章
相关阅读