欧盟地区5月25日天亮不久,为GDPR“庆生”的话题就冲上了Twitter全平台的热搜榜。GDPR不是什么偶像或是明星,而是一部保护普通人隐私数据的法案。但带着这个话题的Twitter绝大部分用户发推表达的热情不亚于粉丝见到偶像,有的用户甚至专门做了蛋糕庆祝这天的到来。
然而,有人欢喜有人愁。小米生态链公司智能灯具品牌Yeelight成为GDPR敲醒中国互联网的第一钟。因违反GDPR规定,Yeelight将无法向欧洲用户提供服务。
事实上,更早之前,风声鹤唳的微软、Facebook、谷歌已经开始为遵守这项法规调整自己的产品设置。这些公司之所以如此小心翼翼,是因为根据GDPR规定,任何企业违反信息跨境流动要求和未经信息主体许可的收集、处理等行为,最大处罚额可达到2000万欧元或者当年全球收营业额的4%,且二者取较高值。
欧盟史上最严用户数据保护法案,为保护用户而生
欧盟一般数据保护法案(General Data Protection Regulation,679/2016,下简称“GDPR”)通过于2016年,是欧盟为解决互联网时代用户数据的收集、使用问题而制定的。2016年GDPR获批通过后,为给科技公司一定缓冲时间,将生效时间定于今年5月25日。
与此前欧洲地区颁布的其他个人信息保护法规不同,GDPR具有强制力,直接对所有的欧盟成员国生效,也就是法规一旦生效自动对所有国家生效(部分国家如有其它规定,可协调处理)。
GDPR规定欧盟所有成员国都必须在国内设立监管机构,且该机构有权调查各科技公司的产品或服务可能存在的违法情形,并进行相应的处罚。
GDPR就像一张巨大的筛子,所有在欧洲有产品或服务(无论公司是否在欧盟地区),会收集用户数据,或与欧盟企业发生业务往来,或涉及存储、处理、交换任何欧盟公民数据的公司都要经过这把筛子筛选。留者生,漏者死。
总的来说,GDPR从管理机构、管理模式,和管理方法三个方面,对个人信息保护行政执法机构的管理方式做了改革创新。关于科技公司使用用户数据的边界、应当承担的责任和义务,GDPR进行了清晰的阐述,主要包括个人对其信息的控制权、信息控制者、处理者的义务和责任的界定、信息跨境和刑事活动领域的特殊信息保护规则。