一段時間以來,歐盟地區(qū)網(wǎng)民紛紛收到互聯(lián)網(wǎng)公司修改“用戶政策”的提示。從網(wǎng)絡巨頭到初創(chuàng)公司,都忙著趕在5月25日之前修改甚至重塑它們保護用戶數(shù)據(jù)的流程,使之符合將在25日生效的歐盟《通用數(shù)據(jù)保護條例》。

這項被廣泛認為是歐盟有史以來最為嚴格的網(wǎng)絡數(shù)據(jù)管理法規(guī),在生效之前就早已“威震四方”。

首先罰得狠。條例規(guī)定,對未采取技術或管理措施來避免、降低隱私侵權損害風險的互聯(lián)網(wǎng)公司,最高可罰款1000萬歐元或全球營業(yè)額的2%(以較高者為準)；對違反個人信息收集和使用基本原則以及沒有保障數(shù)據(jù)主體權利的互聯(lián)網(wǎng)公司,最高可罰款2000萬歐元或全球營業(yè)額的4%(以較高者為準)。對于跨國網(wǎng)絡巨頭而言,一旦在歐盟違規(guī),很可能將面臨“天價”處罰。

嚴格地說,受該條例管轄的不僅僅是傳統(tǒng)意義上的互聯(lián)網(wǎng)公司。也就是說,企業(yè)只要是處理或者留存了用戶數(shù)據(jù),哪怕只是電子郵件地址這樣看似并不特別敏感的信息,哪怕其從事的業(yè)務并非單純的互聯(lián)網(wǎng)服務,但因為也涉及了用戶數(shù)據(jù),所以也在新條例管轄范圍之內。

其次管得寬。歐盟這一新條例賦予了歐盟域外管轄權。具體而言,該條例不僅管轄注冊地或總部在歐盟內的企業(yè),也完全可能管轄“地理上”位于歐盟外的企業(yè):根據(jù)其規(guī)定,只要企業(yè)向歐盟內的用戶提供產(chǎn)品、服務,或持有、處理歐盟內用戶的數(shù)據(jù),都在管轄范圍之內。

再次分得細。納入新規(guī)保護范圍的用戶數(shù)據(jù)種類全面細致。除了姓名、地址、證件號碼、網(wǎng)絡IP地址等通常意義上的個人信息,以及指紋、虹膜等生物識別數(shù)據(jù)、醫(yī)療記錄等十分隱私的個人信息,新規(guī)還涵蓋了例如用戶的種族、宗教信仰甚至性取向等多方面信息。

新規(guī)還確立了被遺忘權、刪除權、可攜帶權等一系列用戶權利。根據(jù)條例,用戶可以要求掌握其數(shù)據(jù)的企業(yè)刪除其個人數(shù)據(jù)、避免個人信息傳播。而可攜帶權將使用戶有權向企業(yè)索取本人數(shù)據(jù),并自主決定用途,這意味著用戶將能夠像管理金融資產(chǎn)一樣對個人數(shù)據(jù)信息進行“搬家”。

近幾個月,臉書公司因為被揭發(fā)在用戶數(shù)據(jù)大規(guī)模泄露之后長時間隱瞞不報,遭到廣泛批評。而在歐盟新規(guī)下,企業(yè)一旦發(fā)現(xiàn)用戶數(shù)據(jù)泄露,必須在72小時內向監(jiān)管機構報告。

在明確賦予用戶權利、大幅強化企業(yè)責任之外,這一條例還規(guī)范了監(jiān)管安排機制。在歐盟層面,增設歐洲數(shù)據(jù)保護理事會這一新機構；在歐盟成員國層面,各國數(shù)據(jù)監(jiān)管機構的檢查、執(zhí)法、處罰以及司法機制安排也得到了明確界定。

歐盟新規(guī)還允許用戶有權要求監(jiān)管機構在規(guī)定時限內對違規(guī)行為進行調查。如數(shù)據(jù)監(jiān)管機構調查不力,用戶則有權向法院提起訴訟,以更好地保護用戶權利。