欧盟最严数据保护法案来了,为什么苹果、谷歌、微软都要严阵以待?

摘要

你关心的数据隐私问题,欧洲的 GDPR 几乎都解决了。

欧盟地区 5 月 25 日天亮不久,为 GDPR「庆生」的话题就冲上了 Twitter 全平台的热搜榜。GDPR 不是什么偶像或是明星,而是一部保护普通人隐私数据的法案。但带着这个话题的 Twitter 绝大部分用户发推表达的热情不亚于粉丝见到偶像,有的用户甚至专门做了蛋糕庆祝这天的到来。

然而,有人欢喜有人愁。小米生态链公司智能灯具品牌 Yeelight 成为 GDPR 敲醒中国互联网的第一钟。因违反 GDPR 规定,Yeelight 将无法向欧洲用户提供服务。

事实上,更早之前,风声鹤唳的微软、Facebook、谷歌已经开始为遵守这项法规调整自己的产品设置。这些公司之所以如此小心翼翼,是因为根据 GDPR 规定,任何企业违反信息跨境流动要求和未经信息主体许可的收集、处理等行为,最大处罚额可达到 2000 万欧元或者当年全球收营业额的 4%,且二者取较高值。

欧盟史上最严用户数据保护法案,为保护用户而生

欧盟一般数据保护法案(General Data Protection Regulation, 679/2016, 下简称「GDPR」)通过于 2016 年,是欧盟为解决互联网时代用户数据的收集、使用问题而制定的。2016 年 GDPR 获批通过后,为给科技公司一定缓冲时间,将生效时间定于今年 5 月 25 日。

与此前欧洲地区颁布的其他个人信息保护法规不同,GDPR 具有强制力,直接对所有的欧盟成员国生效,也就是法规一旦生效自动对所有国家生效(部分国家如有其它规定,可协调处理)。

GDPR 规定欧盟所有成员国都必须在国内设立监管机构,且该机构有权调查各科技公司的产品或服务可能存在的违法情形,并进行相应的处罚。

GDPR 就像一张巨大的筛子,所有在欧洲有产品或服务(无论公司是否在欧盟地区),会收集用户数据,或与欧盟企业发生业务往来,或涉及存储、处理、交换任何欧盟公民数据的公司都要经过这把筛子筛选。留者生,漏者死。


总的来说,GDPR 从管理机构、管理模式,和管理方法三个方面,对个人信息保护行政执法机构的管理方式做了改革创新。关于科技公司使用用户数据的边界、应当承担的责任和义务,GDPR 进行了清晰的阐述,主要包括个人对其信息的控制权、信息控制者、处理者的义务和责任的界定、信息跨境和刑事活动领域的特殊信息保护规则。

通俗点来说,这部法规囊括了普通人正在遭遇或可能遭遇的绝大部分事关数据使用和保护的问题,且它主要对「控制者」——数据的收集者和使用者做成了严格的规定。它将解决但不限于下列问题:

  • 之前科技公司写的那些让人看不懂的用户协议将不被允许存在。按照 GDPR 的规定,所有用户协议必须采取普通用户能理解、接受的方式写清楚。如果用户在使用后不再愿意同意该协议,可随时撤回许可。另外,科技公司不得收集除提供服务必需之外的数据,收集之后不得滥用用户数据,同时还必须履行保护用户数据的义务。
  • 用户信息主体权将进一步扩大,新增对信息遗忘权的详细规定。在符合 GDPR 规定的情况下,用户可以要求科技公司删除自己存储在该平台上的信息。并且,这些企业应当保证用户可以便利地查询和转移其信息。
  • 控制者要通过技术保护措施和信息处理记录加强信息保护,在信息泄露时需要履行报告和通知义务。像 Uber 之前隐瞒 2016 年黑客盗取了 Uber 5000 万乘客的姓名、电子邮件和电话号码,以及约 60 万名美国司机的姓名和驾照号码的事件如果再次发生,要面对的可就是 GDPR 的巨额罚款了。

请回答 GDPR,这是道大小企业都需要面对的生死题

所有在欧洲有产品或服务的科技互联网企业都有可能受到 GDPR 影响,但那些漠视用户隐私数据保护的注定会成为第一批。


近日,扎克伯格现身欧洲议会,讨论如何妥善解决用户数据隐私问题。这是扎克伯格在接受美国国会质询后接受的唯一质询。由不得扎克伯格不重视,因为如果 Facebook 再犯相关错误,面临的处罚将是 Facebook 全球营收的 4%。按 Facebook 去年 406.53 亿美元的营收计算,Facebook 可能就要交出 16.26 亿美元罚金。

事实上,在 GDPR 即将生效的数月内,大小公司都开始为这部法律调整自己的产品或服务。

比如,近日,苹果就修改了隐私政策,允许用户彻底注销 Apple ID;谷歌则于本月月初更新了文档的语言和导航等用户协议,使用户更清楚其收集和存储用户数据的方式,以及允许用户访问并删除这些数据;腾讯昨晚也宣布将对 QQ 国际版进行更新,以符合 GDPR 规定;连 Steam 也宣布,欧洲地区 16 岁以下用户如需使用旗下产品,必须经过家长允许。

相比大公司无法离开 5 亿人口的欧盟成熟市场,收集了不该收集的数据,对用户造成了不必要的打扰的小公司则要纠结许多。Yeelight CEO 姜兆宁回应称:「我们不会保留用户隐私数据,欧盟 GDPR 要求非常宽泛,所有非欧盟地区的 api 调用和数据访问都被禁止,作为中国厂家,欧盟的服务器完全不和中国通信,需要大量的软件开发和测试,为了避免可能产生的问题,暂时下线,欧盟合规后还会继续上线。」该公司产品只是暂时下线,合规后将继续上线。当然,也有部分公司选择彻底离开欧洲市场,「自觉」关停「违法」产品或服务。

不过,留给那些逃避欧洲市场的公司的时间也不多了。欧盟立法机构除了自己落实 GDPR 之外,还在联合包括中、美、日、韩等互联网市场大国实施类似法规。肆无忌惮地收集用户数据,贩卖滥用数据的商业模式行将逝去,一道生死题正浮现在此前滥用用户数据的公司面前。

责任编辑:克里斯

头图来源:Yeelight

最新文章

极客公园

用极客视角,追踪你最不可错过的科技圈。

极客之选

新鲜、有趣的硬件产品,第一时间为你呈现。

顶楼

关注前沿科技,发表最具科技的商业洞见。