欧盟史上最严的信息管理规定 你究竟知多少?
欧盟通用数据保护条例(gdpr, general data protection regulation)在2018年5月25日起正式实施,这一条例堪称欧盟史上最严厉的信息管理规定,这一事件产生了许多显而易见的影响,就是在这两天,小编的邮箱莫名的收到了许多与欧盟有关的企业发来的邮件,邮件内容大多是企业为了适应gdpr,修改了自己的隐私条款。而小编自己都记不清什么时候和这些企业有的联系,他们怎么会有我的邮箱!
一个小小的条例的实施,为何在如此短的时间内,造成了许多企业竞相修改自己的隐私条款,并且又把这种修改的通知,以邮件的形式发送给消费者呢?想要探究这个问题,我们不得不翻开法条,去看看欧盟的gdpr究竟写了什么。
欧盟的general data protection regulation(简称gdpr),是一项针对欧盟以及欧洲经济区的居民的隐私和数据保护的法律。这一项法律与指令不同,它不需要各国再根据自己国家的国情,制定相关本国法律,而是统一实施在欧盟成员国和欧洲经济区。注意欧盟和欧洲经济区(eea)是不一样的概念,虽然有的国家既属于欧盟也属于欧洲经济区,但是也有的国家,比如挪威虽然不在欧盟,但是却是欧洲经济区(eea)的成员。gdpr将代替之前1995年通过的数据保护指令(data protection directive)。
gdpr的第一章是基本的概况,主要是说本法律的规定范围,不适用范围,适用的领土范围,定义解释等等,这一部分如果不看对于企业也无妨,但是其中的一些定义解释不妨看下,这对于理解整篇gdpr会有帮助。
gdpr的第二章是关于此法律的法律原则。这里面的一些内容,就需要企业主细看了,因为这里涉及到处理信息的一些原则,比如第六条,写到处理信息需要得到信息主体的许可等要求,仅仅这个许可,就是很重要的,因为很多欧洲企业在应用个人信息的时候,是没有经过信息主人的完全许可的,那样的话,在欧盟新法实施后就很危险了。还有一些相关原则比如关于儿童信息的,关于特殊种类信息的,关于犯罪信息的等等。
第三章是gdpr的重点部分了,因为第三章的内容主要涉及信息主体的权利,这部法律就是为了保护信息主体权利的,因此研究这部分,对于可能损害信息主体权利的行为积极避免,就显得尤为重要了。其中信息收集者需要向信息主体透明信息的收集,以及如何保护信息主体的信息,而且要将其所采取的措施告知信息主体。这也是为什么很多大企业这两天给客户发信解释的原因了,因为必须让信息主体知道。
第三章的第13条,是关于收集信息时要向信息主体披露的事宜。而信息主体有权知晓,信息的收集会如何,在什么地方应用,这点是在第15条规定中体现的。而信息主体除了享有充分的知情权,还拥有可更改信息以及使自己信息可以被遗忘的权利等等。
gdpr的第四章,是关于信息收集者和处理者义务的一章,这章也是值得凡是与欧盟业务有关的企业仔细研读的。这章的篇幅也比较长,所涉及的概念和主体以及主体的行为也比较杂乱,仔细读过之后才能有所为有所不为。
第五章是关于数据向欧盟以外国家以及国际组织转移,这一章需要更多的国际法和欧盟法,其涉及的复杂性已经远远超过数据这个问题的本身。
gdpr的第六章,涉及到了一个新问题,在这里规定每一个欧盟成员国需要设立一个独立的公众机构,来保证和监督gdpr的实施,保障基本权利等。这一项就给了各个欧盟成员国发挥的空间了,虽然在这一章中规范了这一机构设立的种种要求,但是真要到机构的设立,主要是各个成员国的事情,而gdpr能否很好的实现,除了依赖企业的自觉,还要依靠各国这类监督机构的助力。第七章是关于合作和互助的,并规范各方的职责,这章是与第六章紧密相连的。毕竟欧盟这么大的摊子,总要规范一下,合力一下,才好实施政策。
第八章是关于补救和处罚的。这点也是我国涉及欧盟企业最关心的问题,简单点说,就是出了事去哪里告?怎么处罚?这两个问题在这一章都有解答。民众感觉信息被侵犯了,要去第六章提出的所在国设立的监察机构进行控告。而最终的处罚,要视情节的轻重,轻的是一些书面警告,而严重的,会处以2000万欧元或年营业额4%作为罚款,如果这是走到了这步罚款,估计哪个企业都吃不消吧。
第九章是关于特殊情形的一些处理条例。第十章和第十一章,主要是一些收尾工作,让这项法规更加严密的一些条款。
总之,gdpr已经通过并于5月25日正式实施。通过对于其法律条款各项章节的简单分析,可以看出,这个法律可能是欧盟史上最严的信息和隐私保护的法律了,其中的变数可能在于欧盟各国自己设立的监察机构那里,但是不管怎么说,既然法律已经实施,就要严格遵守, 否则被欧洲某国逮住把柄,对于公司肯定会有不良的影响。
而欧盟的这项法律,虽然其实施中一定会出现各种各样的问题,不过有问题就一定会有解决,带来各种判决的案例,这个法律和以后的案例,都将会为其他国家关于信息和个人隐私的立法,提供宝贵的借鉴。如今信息科技高速发达,个人信息越来越多暴露在网上,这是每个国家都面对的现实,因此未来各个国家关于信息和隐私的立法,也是指日可待的。
针对gdpr相关的大企业已经做出了应对策略,而现在尚未应对的企业如果有欧洲生意往来的,一定要警惕起来,亡羊补牢,犹未晚矣。另外一点要注意,英国虽然通过了脱欧公投,但是现在也算欧盟国家,要真正脱离欧盟还要到2019年呢。