最近,笔者在浏览 Techmeme、HackerNews 甚至国内等主流门户时,看到了许多关于 GDPR 的内容。就连打开微信公众号的后台,居然都收到了微信团队推送的《关于欧盟数据保护通用条例(GDPR)的通知》。
那么,这个满世界刷屏的“GDPR”是什么呢?
根据公众号后台所推送的这则消息显示:欧盟数据保护通用条例(GDPR)于本月 25 日生效,微信公众平台为遵守 GDPR 的相关要求,当欧盟地区微信用户撤销授权该公众号获取其个人信息时,会以邮件形式告知公众号的注册邮箱删除欧盟用户的信息。而且,如果公众号运营者在自己的服务器中存储了以上用户信息,需要在三周内,从自己的服务器中删除该用户相关的所有信息,包括用户的昵称、头像、openid 以及与该用户关联的服务信息。
也就是说,在微信用户取消关注公众号或其自行注销微信个人帐号后,公众号运营者及微信官方都是无权保留任何用户数据的——当然,这目前只限于所有欧盟地区注册的微信用户。
因此,GDPR 之于微信,就是要么遵守,要么放弃欧洲市场。为什么有如此之说?因为本次的新条例波及范围之广是前所未及的。对于企业来说,无论你是不是把服务器放在了欧盟里,只要你为欧盟范围之内的客户提供了服务,就在 GDPR 的管控范围内。
那这个所谓的欧盟的 GDPR 条例具体是什么?用户能获得哪些好处?对于企业来说又有怎样强的杀伤力?我们来细细研究下。
▌欧盟出台最严 GDPR 条例,惩戒强度全面升级
近日,欧洲新隐私法规《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)正式推出,并在本月 25 日即时生效。
作为互联网时代个人数据保护的典范,GDPR 能够加强现有的个人隐私权利,同时也让消费者能很好地控制数据,并且其隐私权也能得到更严格的保护。此外,这还将迫使企业更加注重处理客户数据的方式。不过,过于繁琐的新规定很有可能还会加大企业寻找客户的难度。
欧盟最新的 GDPR 取代了 1995 年的旧规。该规定于 2016 年 4 月 14 日出台,定于 2018 年 5 月 25 日正式投入实施,面向所有收集、处理、储存、管理欧盟公民个人数据的企业,限制了这些企业收集与处理用户个人信息的权限,旨在将个人信息的最终控制权交还给用户本人。
毋庸置疑,本次新条例预示着一个“最严监管”时代的到来:对于违反隐私法的企业,欧盟监管机构将可以获取该企业全年收入的 4% 作为罚金,或是直接处以 2000 万欧元(约 2348 万美元)的罚款,具体罚金数额取决于这两个数字哪个更高——这远远超过之前 95 年旧规中几十万欧元的罚金。
“大势所趋”下,对于想要投身全球市场的互联网企业来说,全面理解 GDPR 就变得意义非凡。“蓬勃发展”的中国企业常常会因为国内市场的宽容氛围,而忽视合规经营的重要性、违规的风险性。
下面,我们就来解读下 GDPR 里涉及互联网数字化企业经营的内容:哪些行为是违规的,哪些动作存在较大风险。
取得用户批准,保护消费者权益
首先,必须事先征得数据主体的同意,而且"同意"必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。
比如国内企业常用的:以小字号淡颜色甚至缺省方式获取用户的授权,通过冗长晦涩的隐私政策来获取用户同意,或者让用户在签订业务协议时通过"打勾"作出一揽子授权......都可能被认定为违规。
其次,GDPR 赋予数据主体可以随时撤回同意的权利,用户可随时查看、修改、移动、删除数据。而且数据控制者应当明确告知用户现有该权利,并为用户方便地行使该权利提供便利。用户提出撤回之后,就意味着用户不再"同意",企业再使用这些数据就是违规的了。企业经客户同意后获取了数据,但用户后悔了,提出删除要求,企业就要从浩如烟海的数据里找到相关数据(包括原始数据以及基于这些数据处理之后的信息)并删除。
数据供应链各方责任共担
过去,收集和使用数据的数据拥有者需要对数据保护负责。如今,史无前例的,数据处理者(如提供数据处理服务的云服务提供商等)也将需要直接承担合规风险和义务。在数据保护上,数据供应链自上而下的各方都会被问责。网络公司必须与合作伙伴们明确各自的责任和义务。
而且无论是将数据提供给了第三方,还是把数据作为企业对外服务的一部分,都必须重新获取数据主体的授权和同意。不仅如此,如果数据已经传播出去,或者给第三方使用了,这个企业还有责任通知数据的使用者删除。
互联网的世界如此开放,要确定并通知所有的第三方停止利用并删除,这几乎是不可能完成的任务。然而这确确实实是 GDPR 的条款。
对于儿童的特殊保护
还有,在处理儿童个人数据时,必须获得其父母或者其他监护人的同意。这意味着如果和企业打交道的是熊孩子,企业就得先识别出来他是儿童,再从父母或者监护人那里或者正式的确认证据,才能进行下一步操作。
对企业处理和使用数据提出了苛刻的要求
首先,数据控制者必须以清楚、简单、明了的方式向个人说明,其个人数据是如何被收集处理的。这些信息不仅包括数据控制者的身份和联系方式、数据的接收者或数据接收者的类型、还要包括个人数据的保留周期以及采取该周期的理由。如果涉及自动化的数据处理,包括数据画像等活动,还需要提供基本的算法逻辑以及针对个人的运算结果。重点:那些拿客户数据打标签做画像的,要提供基本算法逻辑和运算结果!
其次,个人有权获得其提供给数据控制者的相关个人数据,且其获得的个人数据应当是结构化的、普遍可使用的和机器可读的。如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。
条例适用范围增大
资料保护指令(1995)的适用范围为所有欧盟境内运营的企业和所有使用位于欧盟内的设备处理数据的企业;而 GDPR(2016)的适用范围扩大为所有处理欧盟成员国公民个人信息的企业,无论公民现居住地是否在欧盟境内。
我们可以从两个维度来看 GDPR 的实施范围。首先,是成立地在欧盟的机构必须遵循 GDPR,无论数据处理的活动是否发生在欧盟境内。其次,成立地在欧盟以外的机构,只要其在提供产品或者服务的过程中,无论是收费还是免费,只要处理欧盟境内个体的个人数据,就必须遵循 GDPR。尤其是后面这条规则,意味着无论你是不是把服务器放在了欧盟里,只要你为欧盟范围之内的客户提供服务,就在 GDPR 的管控范围内。
种种严苛的要求下,相信没有企业愿意铤而走险。或许一着不慎满盘皆输!
▌国内外开展了大规模的数据隐私保卫战
据美国 CNET 报道,受 GDPR 的影响,Facebook、微软、Twitter、Apple 等公司不仅修改了其在欧盟境内对于用户个人数据的处理方式,还面对欧盟境外的公民也开放了更多对于个人信息的权利。
虽然在欧盟境外 GDPR 并无约束力,但是这些举措无疑说明了该欧盟新规对于主流企业处理用户信息的影响力之大。
事实上,在剑桥分析数据泄露的丑闻爆发后,全球都进入了隐私保护的紧张状态,而数据保护一直是互联网时代的重中之重。除去此次 GDPR 的推出,国内外的社交媒体企业们都曾在个人信息的保护上、处理方式的合法性上苦下功夫——从军工到科技行业,再到各行各业。
美国棱镜门事件
2013 年 6 月,前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》。
《卫报》称,美国国家安全局有一项代号为“棱镜”的秘密项目,要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。《华盛顿邮报》也发布称,过去 6 年间,美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。
斯诺登提供的文件表明,世界上的大部分电子通讯是通过美国的,当被跟踪的外国对象的电子数据进入或通过美国时,美国的情报分析部门就有了截获这些通讯数据的便利。
“棱镜门”事件令美国政府十分尴尬,也引起了美国国内关于维护国家安全和公民权利之间关系的激烈争论。它暴露出美国以牺牲公民隐私权为代价,来收集与恐怖主义有关的数据。
“棱镜门”事件也使国际社会认识到,为了限制类似美国这样的行动,必须建立起网络空间方面的国际规范,虽然这一目标仍然十分遥远,但各国必须采取切实步骤来朝着这个方向努力。
科技公司签署“数字日内瓦协议”,保证不在网络战争中协助政府
上个月,以微软和 Facebook 为首的 30 多家高科技公司宣布了一套原则,各大公司承诺会在任何国家遭受网络攻击时予以支持,无论攻击的动机是“犯罪还是地缘政治”。这表明了硅谷正在努力从政府的网络战争中脱身,更加注重保护用户的隐私安全。
图片:微软总裁布拉德·史密斯曾在幕后努力创建“网络安全技术协议”,他说:“这个问题演变得更加严重了,我认为我们需要从过去几年中吸取经验和教训,加强我们之间的合作。”(来源:Getty Images)
此次宣言的推动力主要来自史密斯,多年来他一直认为世界需要制定“数字日内瓦协议”,就像日内瓦协议制定了物理世界中的战争规范一样,“数字日内瓦协议”可以制定网络行为规范。虽然几年前通过联合国组织的专家组制定了网络行为的基本规范,但是之后此次行动就陷入了停滞。
史密斯表示,美国公司应该迈出第一步,这些公司常常在网络攻击客户时充当着“第一个响应者”。他在接受采访时说:“这个问题演变得更加严重了,我认为我们需要从过去几年中吸取经验和教训,加强我们之间的合作。我们需要建立一种原则来对待这个问题,而且如果我们希望政府这么做的话,那么我们自己必须首先开始制定一些原则。”
然而,并非所有的政府都愿意接受“网络安全技术协议”,部分原因是协议支持的原则可能触及政府秘密发展的网络武器。
俄罗斯的情报机构通过俄罗斯公司 Kaspersky 出售的病毒防护程序,获取了美国国家安全局一些关于自己的网络武器的秘密。该公司表示对入侵产品一无所知,但美国官员没有相信该公司的证词,并且已经禁止美国政府系统使用 Kaspersky 的产品。Kaspersky 也没有签署此次的协议。
这项技术协议郑重宣告,31 家签名的公司“将在开发、设计、分销和使用期间,保护技术产品和服务免于遭受篡改和利用。”签名的公司包括 Oracle、赛门铁克、FireEye 和惠普,还有芬兰公司诺基亚和西班牙公司 Telefónica。
微软官方说,他们已经向特朗普政府简单介绍了新协议,并没有听到任何反对意见。
国内各大厂商纷纷修改用户协议,保障用户隐私
国外尚且如此,国内自然不甘落后。
去年 7 月份,中央网信办等四部门就联合开展了隐私条款专项工作,对微信、微博、淘宝、高德等十大常用网络产品的隐私政策进行评审。评审期间,十大 APP 均更新了隐私政策,大多以弹窗的形式告知用户。
今年初,账号注销难问题又引发了热议。对此,工信部回应称,明确电信业务经营者、互联网信息服务提供者应当严格遵守国家法律法规要求,在用户终止使用服务后,为用户提供注销账号的服务。
因此近日来,有很多国内企业都修改了用户协议,以更好地保障用户数据和隐私安全,包括热门的抖音、快手,还有知乎、微信等等。
今年以来,抖音、快手等短视频 APP 成为最火爆的手机应用之一,日活跃用户数量均超过 1 亿。此前有媒体报道称,快手客服明确表示不能注销,抖音 APP 内没有注销按钮、用户协议中也没有注销内容。近期,上述两款应用在用户协议中悄然添加注销条款,允许用户提交注销请求。
不过,知乎的最新用户协议也引起了一波吐槽热潮。通过隐私政策的要点简介和 11 个章节条款,知乎逐一告知了将如何处理用户的个人信息,并申明了保护用户隐私的承诺。
收集个人信息,将具体收集的内容告诉用户,本应是一件好事,但却引发了不小的争议和质疑:很多用户吐槽,不同意隐私政策就无法继续使用知乎,用户甚至没有说“不”的权利。
按照知乎的说法,收集这些数据是为了通过附加功能提升用户体验,主要包括:消息设置、邮件设置、推送通知设置、知乎实验室等。并且其保证,“目前,除法律法规、法律程序、诉讼或政府主管部门强制性要求外,知乎不会主动公开披露您的个人信息,如果存在其他需要公开披露个人信息的情形,我们会征得您的明示同意。”但是,同样提到由于“技术的限制”以及“可能存在的各种恶意手段”,知乎“不可能始终保持信息百分百的安全。”
对于这种“强制同意”操作,网友们表示也是不太懂。
此外,很多用户发现腾讯 QQ 也开始支持账号注销了,但该功能上线不久很快就下线了。对此腾讯官方回应,将优化体验后再次上线。
总而言之,国内外的种种举措不一而足。
▌对隐私“不敏感”的中国人又当如何应对?
无论是 GDPR 还是美国的“数字日内瓦协议”、国内厂商们的跟风举动,都在表明,科技巨头们已经明显意识到数据保护的重要性。
据第一财经报道,埃森哲大中华区首席创新官刘东即认为:
“(这次的)GDPR 是一个很好的契机,让我们的企业审视自己的隐私保护政策,倒逼我们去努力合规。拒绝或者存有侥幸心理都是不对的。
这一过程中需要数据公司的服务和技术上的支持,会增加客户成本,但同时也能令企业的价值得到提升。”
所以,GDPR 必将对中国互联网带来翻天覆地的冲击——“最直面冲击的,就是基于搜集个人信息和隐私驱动的整个中国互联网产业主体收入模式将产生重大影响,甚至是颠覆性影响。” 互联网实验室创始人方兴东表示。
目前,GDPR 影响的还只是欧盟区域的用户,但是对于我们这些李彦宏口中的“以隐私换便利性”的人来说,如何去保护自己的隐私则显得更加重要。市场环境已经打开,下面就要求我们的企业从技术上、态度上认真应对了。
参考链接:
[1]http://www.tmtpost.com/3254146.html
[2]http://www.sohu.com/a/233241288_481741
[3]https://www.sohu.com/a/230411395_563950
[4]http://fortune.com/2018/05/25/google-facebook-gdpr-forced-consent/
[5]https://www.nytimes.com/2018/04/17/us/politics/tech-companies-cybersecurity-accord.html,译者:弯月,审校:言则。