详解欧盟新数据保护法:如果FB现在犯错会被罚多少

互联网
阅读:
2019-12-10 12:56:27

网易科技讯 5月25日消息,据CNET报道,欧盟为保护数据隐私而制定了一部新法,也就是《通用数据保护条例》(GDPR)。今天,这部新法在欧盟28个成员国生效。这部法律改变了那些收集、存储或处理大量欧盟居民信息的公司遵循的规则,要求他们对自己拥有的数据和用于共享的数据更加开放。

详解欧盟新数据保护法:如果FB现在犯错会被罚多少

这意味着,任何在欧盟拥有数字业务的公司(目前仍包括英国)将不得不遵守这部法律,否则将面临巨额罚款处罚。自欧洲议会于2016年4月通过该法案以来,其将在2年内生效的最后期限已经到期。今年3月份,当剑桥分析公司(Cambridge Analytica)滥用数据丑闻曝光时,隐私权倡导者将其作为最典型例证,说明为什么互联网用户可能想要更多个人数据控制权,包括谁可以访问他们的数据。

今年4月份,Facebook首席执行官马克·扎克伯格(Mark Zuckerberg)在美国国会发表的证词中,GDPR字眼儿曾出现过好几次。不久前,欧洲议会议员在布鲁塞尔对扎克伯格提出质询时,这部法案也是其中一个主要焦点。欧盟官员表示,他们对扎克伯格有关GDPR问题的答复并不满意,后者已经承诺将继续以书面形式给出回答。

扎克伯格对美国国会议员们说:“我认为,总的来说,GDPR对于互联网来说将是个积极的促进力量。”他接着讨论了Facebook收紧数据政策的计划,保护用户不受进一步数据泄露事件的影响,并使在其网站上打广告变得更加透明。不仅仅是像Facebook这样的家喻户晓的互联网巨头必须遵守新法,医疗保健提供者、保险公司、银行和其他处理敏感个人数据的公司也将面临严格的监管。

GDPR将对我们的网络足迹产生重大影响,以及我们使用的应用程序和服务如何保护或利用这些数据。下面,我们就与GDPR有关的重点问题进行解读:

何为GDPR?

详解欧盟新数据保护法:如果FB现在犯错会被罚多少

《通用数据保护条例》是一项全面的法律,赋予欧盟居民更多的个人数据控制权,并试图澄清在线服务对欧洲用户数据收集、存储以及使用的规则和责任。GDPR取代了1995年通过的欧盟数据保护 法律,并对现有的公约进行了大幅修改。新法扩大了企业必须考虑的个人数据范围,并要求它们密切跟踪存储的欧盟居民个人数据。如果欧盟某个人想要某家公司删除他或她的数据、发送数据拷贝或者更正数据中的错误,这些公司都必须照做。

不仅如此,欧盟居民现在可以反对公司使用他们数据的具体方式。但只要公司停止使用这些数据,他们不会介意这些数据的特定用途。更重要的是,新法要求公司在数据泄露的72小时内通知用户,目前很少有公司这么做。例如,美国个人信用评估机构Equifax遭到黑客袭击,美国和其他地区数百万用户个人信息被泄露,该公司先花了数周时间来阻止攻击,然后在告知公众之前制定好如何处理损害的计划。

欧盟如何实施GDPR?

欧盟的每个成员国都有自己的执行机制,每个国家都有自己的GDPR主管。居民可以向各自国家的管理机构投诉,违反法律的公司将面临可能非常严重的处罚。违反GDPR法律的最高罚款金额为2000万欧元,或相当于该公司年度全球收入的4%,届时哪个数额更高,就会按照哪个标准计算。

GDPR只适用于欧盟的公司吗?

并非如此,这也是它为何引发国际关注的原因之一。GDPR适用于任何收集、处理、管理或存储欧洲公民数据的组织。这包括大多数主要的在线服务和企业,它们靠收集、处理、管理或存储数据为生。正因为如此,GDPR实际上为数据保护设定了一个新的全球标准。

GDPR保护哪些数据?

该条例适用于广泛的个人数据,包括个人姓名、身份证号码。它也保护可以显示某人在线和现实世界活动的信息,包括位置信息、IP地址、cookie以及其他数据,这些数据可以让公司在用户浏览互联网时跟踪他们。

GDPR将如何影响Facebook和其他社交媒体公司?

详解欧盟新数据保护法:如果FB现在犯错会被罚多少

许多大型在线服务和社交媒体公司正在更新他们的隐私政策和服务条款,以准备应对新法。鉴于刚刚爆发了剑桥分析公司(Cambridge Analytica)滥用数据丑闻以及过去对该公司收集数据的担忧,Facebook的回应肯定会受到欧洲监管机构的密切关注。其中包括2007年该公司有争议的Beacon广告计划,即在合作伙伴网站上播放用户活动。此外,当Facebook及其子公司Instagram声称拥有用户个人资料和照片时,不要忘记用户的喧嚣。GDPR将更明确地表明态度:这类活动不合适。

4月10日,在参议院司法与商业委员会的联合听证会上作证时,扎克伯格表示,在用户同意放弃自己的数据之前,他“原则上”支持为用户提供类似GDPR的选择标准,但他没有许下承诺,并补充说“细节很重要”。

GDPR将如何影响非欧盟居民?

Facebook、微软、Twitter、苹果以及其他公司都向欧盟以外的用户提供了些额外的数据权限。但这些权利并没有法律效力,这意味着如果你不是欧盟居民,你就不能起诉微软违反了GDPR。而当你享受这些权利的时候,它确实表明欧洲的新法规正在改变大公司处理用户数据的方式。

另一种影响你的方式是:在过去几个月里,你可能收到的大量隐私政策更新信息,许多公司在GDPR生效之前制定了新的隐私政策,然后同时告诉你自己的改变。

欧盟会因Facebook过去所做的事情而处罚它吗?

似乎不能。在接受彭博社采访时,欧盟司法专员维拉·儒罗瓦(Vera Jourova)表示,新的GDPR规则“不能应用在剑桥分析公司丑闻中,因为它没有任何追溯能力。”

GDPR如何影响黑客行为和违规行为?

GDPR要求那些对客户数据失去控制的公司,或者已经被黑客入侵的公司,在72小时内通知用户。这是最高刑罚的规则之一。例如,如果Facebook被发现未能遵守规定,那么它将面临16亿美元的罚款(基于其2016年400亿美元的收入)。

GDPR对未成年人有特殊保护吗?

GDPR要求企业和组织获得父母同意,才能处理16岁以下儿童的个人资料。

美国有相当于GDPR的法律吗?

还没有,大多数州都有自己的关于数据泄露和通知要求的法律,而大多数法律只适用于有限类型的数据,即社会保险号码、健康或财务信息。美国证券交易委员会(SEC)最近发布指导意见,指导上市公司应该如何披露数据泄露和风险事件。加州人可能会在今年对一项数据隐私法进行投票,即《加州消费者个人信息披露和销售倡议》。当地居民可以要求公司提供他们的数据拷贝,找出自己的数据被卖给了哪些第三方公司,并要求公司不要出售或分享他们的个人数据。 (小小)