扎克伯格被拷问背后:欧盟史上最严数据保护法案生效
新浪法问 李诗韵
距离《一般数据保护法案》正式生效前的三天,扎克伯格因Facebook数据泄露事宜接受了欧洲议会的质询。此次听证会,扎克伯格被要求解释Facebook在剑桥分析数据泄露事件中的责任、新的欧盟隐私法案《一般数据保护法案》的合规情况等。
据报道,该听证会持续了一个多小时,但扎克伯格回答时间仅15分钟。扎克伯格针对质询回应称,Facebook将严格遵循《一般数据保护法案》(General Data Protection Regulation,简称GDPR)。此外,他还补充称,许多欧盟用户已经阅读并同意了平台上的新隐私政策,新隐私政策符合了(上述法案)的要求。
被反复提及的《一般数据保护法案》到底是什么?
苏黎世中国金融险专家向新浪法问介绍称,GDPR其实并不是一个很新的概念。 早在2012年,欧洲各国就在讨论推行一部新的关于信息数据保护的法案,用于替代已经稍显过时的旧指令(Data Protection Directive 95/46/EC)。
根据该法案,企业在收集和处理个人敏感信息要求获得数据当事人的明示同意,不能像过去一样提供长篇大段晦涩的法律条文要求用户点击接受以获得授权;法案还给予数据当事人被遗忘权,例如用户可以注销删除个人社交账号的信息;而16岁以下青少年使用互联网在线服务时,企业获得的数据,在进行处理时还需要得到其父母的同意等……
经过近四年的讨论,欧洲议会于2016年4月14日通过了新的法案,即《一般数据保护法案》(General Data Protection Regulation(GDPR))。法案将于2018年5月25日,即本周五在28个欧盟成员国统一实施生效。
对于中国企业的影响主要在哪里?
虽然上述探讨的法案受众似乎是欧盟公民,影响范围在欧盟地区。但苏黎世中国金融险专家提醒称,GDPR其实不仅适用于在欧盟国家注册的组织机构, 也同样适用于任何在欧盟以外地区注册但为欧盟地区提供商品和服务, 并监控个人行为和数据信息的组织机构。
换言之,“随着国际化进程的推进, 越来越多的中国企业与欧洲企业开展了商业合作,这也意味着所有与欧洲企业有业务往来的中国企业也同样要遵守该法案并受其管辖,对中国企业的信息安全管理提出了更高的要求”,该专家向新浪法问表示。
值得注意的是,GDPR中设置了巨额惩罚上限,最高可达上亿元人民币。具体根据违法程度的不同,规定了不同程度的法律责任,主要为如下两种情况。一、对于一般违法行为,罚款的上限是1000万欧元或前一年该企业全球营业收入的2%,以较高者为准。二、对于严重违法行为,罚款的上限是2000万欧元或该企业前一年全球营业收入的4%,以较高者为准。
PwC Legal China*分析报告称,该巨额惩罚金额的规定无疑给企业上了紧箍咒,尤其是Google、Facebook这些拥有大量个人数据的跨国公司,一旦从事了违反GDPR的行为,罚款将可能会是上亿美元。
针对全球性的跨国企业尚且如此,落实在中国的互联网巨头或是从事数据收集分析相关的公司,该条案影响力之大毋庸置疑。
苏黎世中国金融险专家也认为,相较于国内的《网络安全法》中100万元人民币单项罚款的上限,GDPR的罚款对于违法企业来说是一项极其难以承受的损失,违法成本大大提高。这也是为什么有些企业宁愿关停经营也不愿触犯法案的原因。
而随着《一般数据保护法案》的正式实施,国内相类似的《网络安全法》(草案)也再次成为关注点。据PwC Legal China*分析报告,《网络安全法》(草案)中就个人信息保护也进行了专门的规定,但该等规定仍较为宏观和粗线条,目前也没有配套的可执行的操作细则,“我们预计中国就个人信息保护的立法很可能会借鉴甚至是吸取欧盟GDPR的相关内容。”
*北京瑞栢律师事务所和上海信栢律师事务所(均以“PwC Legal China”的品牌运营)为经中国司法部注册的中国律师事务所。
发表评论