通用数据保护条例
GDPR(通用数据保护条例)自 2018 年起在整个欧盟生效,其影响体现在您访问的每个网站上:cookie 横幅、帐户删除选项、数据导出工具、被遗忘的权利。该法律并不完美,执行情况也参差不齐,但它仍然是世界上最重要的隐私法规。
完整的文章正文以英文提供如下。
《通用数据保护条例》(GDPR) 于 2018 年 5 月 25 日生效,用直接适用于每个成员国的单一法规取代了欧盟较早的 1995 年数据保护指令。它规定了组织如何处理欧盟和欧洲经济区人员的个人数据。地域范围广泛:任何处理欧盟居民数据的公司都受到 GDPR 的管辖,无论该公司位于何处。
什么算作个人数据
GDPR 对“个人数据”的定义比大多数国家法律更广泛:与已识别或可识别的自然人相关的任何信息。姓名、电子邮件、IP、Cookie、设备 ID、位置数据、照片、行为模式。如果可以通过其他可用数据将假名链接回个人,即使是假名 ID 也算在内。限制在于是否有人可以识别该人,而不是是否有人尝试过。
六个合法依据
处理个人数据需要合法依据之一 -
- 同意 - 数据主体已给出明确的、知情的、可自由撤销的许可
- 合同 - 处理是履行与数据主体之间的合同所必需的(交付订单、履行订阅)
- 法律义务 - 法律要求(税务记录、反洗钱)
- 重大利益 -保护某人生命所必需的
- 公共任务 - 由官方机构执行的公共利益目的
- 合法利益 - 控制者或第三方的利益,与数据主体的权利和自由相平衡
基础的选择由数据控制者并在隐私政策中披露。由于 cookie 横幅,“同意”成为头条新闻,但这只是六个基础之一 - 欧盟监管机构已经明确表示,同意并不适合作为应属于合同或合法利益的处理的变通办法。
八项数据主体权利
GDPR 赋予组织必须根据请求尊重的数据主体权利,通常在 30 年内天:
- 访问权 — 获取所有个人数据的副本以及有关其处理方式的信息
- 纠正权 — 更正不准确的数据
- 删除权(被遗忘权) — 在特定条件下请求删除
- 限制处理的权利 — 解决争议时暂停处理
- 数据可移植性的权利 — 以机器可读格式接收您的数据并将其传输到另一个控制器
- 反对的权利 — 特别是直接营销
- 与自动决策相关的权利 - 挑战完全通过自动化方式做出的决策
- 知情权 - 清晰、可访问的隐私声明
有牙齿的惩罚
GDPR的引人注目的功能:最高 2000 万欧元的罚款或全球年收入的 4%,以较高者为准。爱尔兰 DPC 于 2023 年因未经授权的美国数据传输对 Meta 处以 12 亿欧元的罚款,该机构还因 Instagram 处理未成年人数据的行为对他们处以 4.05 亿欧元的罚款。亚马逊被卢森堡罚款 7.46 亿欧元。处罚力度足够大,以至于大多数跨国公司都会认真对待合规性。
也就是说,执行情况差异很大。爱尔兰的 DPC 处理涉及大多数美国科技巨头的案件,因为它们的总部位于都柏林,但它因处理缓慢而受到批评。其他 DPA(德国、法国、意大利)往往对较小的案件采取更快的行动。
数据传输规则
GDPR 最重要的条款之一:数据只能离开欧盟,流向具有“充分”保护或处于特定保障措施下的国家。欧洲法院的 Schrems I (2015) 和 Schrems II (2020) 裁决相继宣布美国-欧盟数据传输框架无效,因为美国监控法不提供与 GDPR 同等的保护。当前的数据隐私框架 (2023) 已生效,但已受到挑战。
实际后果:许多公司为欧盟用户保留仅欧盟的数据驻留,而美国云提供商提供合同规定不会转出的欧盟区域存储。
GDPR 实际改变了什么
可见效果:
- Cookie 横幅。 现在无处不在,大多令人痛苦,通常是深色图案。基本的电子隐私指令(早于 GDPR)已经要求它们; GDPR 的实施使它们变得普遍。
- 隐私政策。 更长、更具体,公开了保留期和合法依据。
- 帐户删除。 现在每个主要服务都提供自助删除我的数据按钮。
- 数据导出。 数据可移植性的权利标准化导出格式(Google Takeout、Facebook 下载)。
- 强制违规披露。 发现个人数据泄露后 72 小时内。
- DPO(数据保护官) 对大规模处理的组织的要求。
国际涟漪effect
GDPR 成为模板。加州的 CCPA (2020)、巴西的 LPD (2020)、印度的 DPDP 法案 (2023) 以及其他数十个国家法律都借鉴了其结构。跨国公司通常在全球范围内对与 GDPR 等效的做法进行标准化,因为在分散的法规下运营比在最严格的法规下运营成本更高。结果:每个人都必须在某处遵守的隐私规则已成为每个人在任何地方都提供的隐私规则。
常见问题
- 如果我的网站位于欧盟境外,GDPR 对我适用吗?
- 如果您处理欧盟境内人员的个人数据,即使您的公司位于美国、巴西或其他任何地方,GDPR 也适用。示例:向法国发货的澳大利亚电子商务网站、拥有欧盟客户的美国 SaaS 公司、让欧盟读者订阅时事通讯的个人博客。地域原则是数据主体的位置,而不是控制者的位置。
- 数据控制者和数据处理者有什么区别?
- 控制者决定数据处理的原因和方式(Facebook、您的银行)。处理者代表控制者(银行的电子邮件发送供应商)处理数据。 GDPR 对每个人规定了不同的义务。大多数公司充当客户的控制者和向其他企业提供的服务的处理者。
- GDPR 是否要求使用 Cookie 横幅?
- Cookie 横幅主要是电子隐私指令(一项单独的旧欧盟法律)所要求的,该指令要求非必要 Cookie 获得同意。 GDPR 设定了有效同意的标准——知情、具体、自由给予、轻松撤回。他们一起创造了饼干横幅现实。将取代该指令的《电子隐私条例》多年来一直处于立法困境。
- VPN 可以帮助我获得 GDPR 权利吗?
- VPN 不会授予您 GDPR 权利 - 这些权利基于居住地,而不是基于目的地将您视为您的 IP。欧盟居民无论从何处连接都享有 GDPR 权利;非欧盟用户无法通过欧盟 VPN 连接获得 GDPR 权利。法律追随的是人,而不是数据包。
- 如果我的公司收到 GDPR 投诉会怎样?
- 当地 DPA 正在进行调查。如果他们发现违规行为,制裁可能包括警告、处理禁令、强制补救和罚款。大多数案件都是通过对话和补救而不是罚款来解决的。此次备受瞩目的十亿欧元处罚涉及大型加工商在多次监管交流后屡次违规。