|核心阅读
酝酿6年之久的欧盟《通用数据保护条例》(以下简称《条例》)近日正式生效。该条例被认为是欧盟有史以来最为严格的网络数据管理法规。业界普遍认为,这一法规将为未来10年全球数据保护打下基础,或将对包括互联网经济在内的社会、经济形态产生深远影响。
严格保护个人信息
1995年,欧盟通过《数据保护指令》(以下简称《指令》),第一次以立法的形式为保护成员国公民个人信息安全设定标准。随着互联网技术的高速发展,该《指令》几经修改,仍难以满足现实需求。在此背景下,2012年1月,欧盟制定了新的《条例》,并于2016年获得通过。这份长达200页、包括近百个条款的文件,要求企业在未经用户同意的情况下,不得私自处理个人隐私的数据。《条例》对个人信息的保护达到了前所未有的高度,被称为“史上最严保护法规”。
对此,欧盟委员会负责司法、消费者权益等事务的委员朱洛娃表示:“我们需要新规则来应对新风险,这是我们立法的初衷。”
欧盟委员会负责数字经济与社会事务的委员加布里尔表示:“对我们来说,保护公民个人隐私符合欧盟的核心价值,也是我们的责任,欧盟将在此方面采取更多积极主动的措施。”
新生效的《条例》内容主要有三方面特点。首先,《条例》的管辖范围大幅提升,不仅适用于设立在欧盟境内的企业,也适用于在欧盟境外从事与欧盟公民信息相关的企业。而对业务流程的限制,则覆盖了收集、记录、存储、修改、使用、传播等与个人数据有关的几乎所有环节。随着大数据的发展,用户个人信息早已超出了姓名、年龄、职业等基本内容范畴。目前企业的每个用户一般有2000个左右的参数,新规将把所有这些个人信息参数纳入保护范围。
其次,《条例》的监管水平大大增强。根据《条例》,欧盟层面须设立数据保护委员会,用于处理涉及跨成员国的企业违规案件;欧盟成员国则将分别成立数据保护局,对企业的商业行为进行监管;企业必须任命数据保护官确保企业行为合规。此外,《条例》要求企业必须向监管机构提供处理个人信息的记录,包括目的、分类、时效等,一旦发现个人数据泄露,必须在72小时内向相关机构报告。
第三,《条例》的惩罚力度空前提高。新规规定,根据企业的违规程度,最高可处以2000万欧元(1欧元约合7.5元人民币)或企业上一年度营业额4%的罚金(以金额高者为准)。
对全球数据经济影响深远
欧委会负责数字市场事务的副主席安西普曾表示,数据是欧洲经济和社会的核心。据欧委会公布的数据,预计到2020年,欧盟数据经济有望突破7000亿欧元,创造超过1000万个工作岗位,与数据业务有关的企业将达到100万家。考虑到欧洲在全球的重要地位以及《条例》本身突破地域限制的特点,其实施除在欧盟层面形成了统一的个人信息保护标准,对欧盟之外的国家和企业都将产生重大影响。
据英国电信产业咨询公司OVUM调查,2/3的欧盟以外受访企业认为,《条例》将迫使其改变欧洲业务战略。普华永道提供的报告则显示,92%的美国企业认为《条例》将成为最重要的数据保护措施。事实上,目前许多行业巨头已着手进行系统升级、修改合同等,以适应新规的要求,比如脸书公司网站就更新了该平台的隐私工具,让用户可以查看、下载或删除相关的个人信息,还采取了人脸识别技术等方式加强对信息的管理。苹果公司则对操作系统进行进一步升级,并推出了新的个人隐私应用程序。
《条例》的实施不仅对从事科技、市场调查以及数据经营等业务的企业构成影响。从制造业到服务业,从实体经济到虚拟经济,无不与数据发生着越来越密切的关系,这些领域的企业都将或多或少受到《条例》的影响。欧洲网络和信息安全联合机构负责人史蒂夫日前在接受记者采访时表示:“未来企业经营首先需要考虑的是如何与用户达成互信,而不是像以前一样怎么赚钱就怎么来。”
未来实施机遇与挑战并存
欧盟统计数据显示,2/3的欧盟公民对于在互联网世界中的个人信息安全感到担忧,近50%的人担心成为网络诈骗的受害者。《条例》实施后,获得用户同意成为企业处理个人数据的必要前提。这在很大程度上回应了人们的诉求,从根本上提升了用户在互联网中的地位和话语权。
朱洛娃表示:“近期出现的脸书数据外泄事件表明,欧盟的选择是正确的。”欧委会也表示,“统一的数据管理法规将为建立欧洲‘数字单一市场’带来更多机会,也将为商业创新带来推动力。”另据IBM商业价值研究院调查结果,用户更倾向于选择重视数据保护的公司,一旦赢得用户在安全方面的信任,用户的消费意愿将提升24%以上。
但是,企业方面的反应没有那么乐观,主要担心成本大幅提升,尤其中小企业承受的压力会更大。欧洲咨询公司“维度研究”的报告显示,为适应新规的要求,所有欧盟相关企业的运营成本共将提升2000亿欧元,而美国企业则需要多投入大约417亿欧元。美银美林集团的首席投资策略师哈特奈特表示:“行业经验证明,监管浪潮会带来投资低下的结果。”由于新规内容庞杂,且其中很多条款欧盟尚没有给出明确的解释,初期企业违规成为大概率事件。OVUM公司调查报告显示,52%的科技公司管理者预计他们会因违规而受到处罚。
除企业外,欧盟成员国政府层也未完全做好准备。据《欧洲观察家》网站报道,截至5月25日新规实施,因财政紧张、人才短缺等因素,仍有包括比利时、希腊、匈牙利等在内的8个成员国未能如期完成国内相关法律修改。朱洛娃对此表示:“这将增加新规执行的不确定性。”她称欧盟或将采取包括法律、罚款等在内的手段,向成员国施压。
史蒂夫认为:“《条例》无疑提供了一个很好的法律支持框架,但关键在于如何落实,如何将其转化为具体的可操作的流程和工具。立法的目的不是为了让律师变得更富有,而是要让人们在数字世界中获得更大利益。我们已经付出了很多努力,但未来需要做得更多。”