X

全球数治│《通用数据保护条例》对全球隐私保护的多维度影响

澎湃新闻记者 吕娜 整理

这里是“全球数治”专栏周报,追踪近期全球数字治理动态

9月2日,爱尔兰数据保护委员会(Data Protection Commission,DPC)宣布,经调查认定,脸书(Facebook)公司旗下的即时通讯软件WhatsApp在运营过程中存在违反欧盟《通用数据保护条例》(GDPR)的行为,因此决定对其处以2.25亿欧元的罚款。根据爱尔兰DPC公布的决定内容,WhatsApp违反了GDPR的多项条款,包括未能以合法、公平和透明的方式处理用户的个人数据;未能“以简洁、透明、易懂且易于访问的形式,使用清晰明了的语言”提供有关如何收集数据的信息;未能通知用户数据的存储位置、相关联系人的详细信息,以及收集数据的目的和接收数据的人;未能通知用户何时从第三方获取和处理他们的个人数据以及这些数据的来源。DPC要求WhatsApp在三个月内完成整改,切实提高数据处理和共享的透明度。

作为一款全球流行的即时通信工具,WhatsApp目前拥有用户超过20亿人,遍布全球180多个国家和地区,是Facebook旗下最受欢迎的应用程序之一,日常业务运营涉及到海量数据跨境传输和共享问题。由于Facebook的欧洲总部设在爱尔兰,按照欧盟相关法律规定,由爱尔兰当局负责监管和调查WhatsApp在欧盟市场的数据保护事宜。自2018年欧盟《通用数据保护条例》(GDPR)生效以来,爱尔兰DPC就开始对WhatsApp进行信息处理、隐私政策、与母公司Facebook共享数据的方式是否足够透明等问题的专项调查,试图打破互联网巨头公司利用自身用户规模和网络平台效应无节制地囤积数据和牟利的局面。历时三年,DPC最终认定WhatsApp处理用户个人信息时在透明度要求上未达标,违反了GDPR有关规定,并对其处以2.25亿欧元罚款。这是爱尔兰DPC有史以来开出的最高罚单,也是欧盟GDPR实施以来开出的第二高罚单。

被誉为目前世界上最全面的数据隐私法的欧盟《通用数据保护条例》(GDPR)于2018年5月正式生效,迄今三年间已开展了600余次执法行动,细致、频繁的调查和严厉的处罚措施对全球的互联网科技企业,尤其是脸书、亚马逊、谷歌等科技巨头公司的合规和隐私策略产生了重大影响,同时也令各国政策制定者和监管机构越来越意识到隐私对公民、企业和社会的重要性,启发了各国的立法思路,进而在多个维度上推动全球隐私保护的治理格局产生变化。

首先,从全球隐私保护规则制定的维度来看,GDPR成功地同时实现了加强对个人数据保护和保障个人数据在欧盟范围内自由流通这两个诉求。一方面,GDPR遵循个人信息受法律保护源自宪法对公民人格尊严保护的法理原则,将个人信息受保护的重要性上升至宪法规定的公民基本权利的高度,为保护欧盟公民个人信息和隐私数据安全制定了很高的标准。另一方面,GDPR又认可和维护数据作为生产要素的价值,致力于建立保护与创新相互平衡的新型治理机制,在促进个人数据在欧盟内部自由流通的同时,设立严格的监管政策来确保数据收集和传输的透明与可信,规制可能伤害中小企业发展的数据囤积和牟利行为,为所有在欧盟市场运营的企业创造公平的竞争环境。这对世界其他各国优化数字时代的隐私保护立法思路,尤其是颠覆保护和创新必然对立的刻板观念,帮助建立消费者对数字经济的信任,体现法律促进经济发展的价值,具有较大借鉴意义。

其次,从全球隐私保护具体实践的维度来看,一方面,GDPR为独立的数据保护监管机构配备了更强大、更协调的执法权,以保障执法效果,同时又对监管机构的资格、目标、权限和具体执法程序做了详尽的规定,以约束监管机构的裁量权,尽量避免对企业的不当干预和执法不公。这为其他国家改善监管机制提供了示范。另一方面,GDPR的颁布和实施促使全球众多企业在为欧盟公民提供数字商品时必须投入更高的成本以满足数据最小化、数据可携性、支持数据被遗忘权、证明个人数据收集获得用户许可、提供数据驻留风险分析、识别受数据泄露影响用户并及时告知等高标准的合规要求,催生出企业对GDPR合规技术产品和解决方案的迫切需求,进而带来了全球网络安全产业发展的新方向和新机遇。

第三,从全球隐私保护合作治理的维度来看,GDPR提供了一个现代化的工具箱,能有效促进个人数据从欧盟向第三国或国际组织转移,并同时确保数据受到高水平保护。此外,欧盟还致力于根据GDPR的要求更新数据传输标准合同条款,同多个国家协商达成数据充分性的相互认定,以与其他区域性数据治理框架建立互操作性,进一步确保数据传输的安全性和透明度。这将在一定程度上推动数字时代隐私保护的全球合作治理。

今年11月1日,中国的《个人信息保护法》即将生效,并投入实际执法。虽然该部法规的严格程度与欧盟GDPR旗鼓相当,但GDPR在数据隐私保护领域的一些先行经验,例如程序与实体并重、同时约束监管机构和监管对象、敦促互联网企业提高数据收集和共享的透明度,引导企业建立法律合规工作常态化机制等,对中国的个人信息安全保护执法仍具有一定参考意义。在数据驱动变革的时代,让每个个体充分享受到数字化技术带来的便利,同时又能免于数据隐私被侵害的担忧,还需要在GDPR之外探索更全面、更多样的最佳实践,这也是在全球范围内开展数字治理的题中之义。

规则

中国市场监管总局发布《关于修改〈中华人民共和国电子商务法〉的决定(征求意见稿)》

8月31日,国家市场监管总局发布了《关于修改〈中华人民共和国电子商务法〉的决定(征求意见稿)》并向社会公开征求意见,旨在加强知识产权保护,规范平台经济秩序,促进电子商务持续健康发展。此次公开征求意见主要是拟对《中华人民共和国电子商务法》第四十三条、第八十四条做出修改。主要修改内容为:一、延长反通知后的等待期;二、增加一款规定:平台内经营者提出担保,用于赔偿潜在的知识产权侵权所造成的损失的,则电子商务平台经营者可以暂时中止所采取的措施;三、增加一款规定:平台内经营者提交虚假的不存在侵权行为的声明、导致权利人损失扩大的,加倍承担赔偿责任。四、在第八十四条电子商务平台经营者对平台内经营者实施侵犯知识产权行为未依法采取必要措施的法律责任中增加“情节特别严重的,有关部门可以限制其开展相关网络经营活动,直至吊销网络经营相关许可证。” (来源:人民网)

美国伊利诺伊州颁布《保护家庭隐私法》

8月27日, 美国伊利诺伊州《保护家庭隐私法》正式生效。该项法案旨在规范执法部门对私人家庭电子数据的访问和使用。今后,如果没有基于合理理由的法院命令,或者除非房主自愿提供,执法机构不能从家庭内的设备中获取电子通信数据。如果数据被怀疑是犯罪活动的证据或与正在进行的案件有关,可以保留,否则将在30天内销毁。(来源:伊利诺伊州政府网站)

韩国通过法案,拟禁止苹果等应用商店强迫软件开发商使用其指定支付系统

8月31日,韩国国会表决通过了《电气通信事业法》修正案,拟禁止苹果和谷歌等主要应用商店平台强迫软件开发商使用其支付系统并收取佣金。目前,苹果和谷歌公司对其应用商店中的交易收取最高达30%的佣金。若该法案生效,韩国将成为全球第一个限制谷歌和苹果等科技巨头在应用商店抽成的国家。(来源:CNBC)

政策

中国工信部网络安全威胁和漏洞信息共享平台正式上线运行

为落实《网络产品安全漏洞管理规定》有关要求,9月1日,中国工信部网络安全管理局组织建设的网络安全威胁和漏洞信息共享平台正式上线运行。该平台由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国汽车技术研究中心等国家网络安全专业机构共同建设。(来源:第一财经)

美国发布关于应对勒索软件造成数据泄露的指南

8月18日,美国网络安全和基础设施局(CISA)发布了《保护敏感信息和个人信息免受勒索软件导致的数据泄露指南》。该指南为所有政府和私营部门,特别是关键基础设施组织,提供了关于预防和应对勒索软件导致的数据泄露的建议。指南内容包括三方面:一、如何防止勒索软件攻击;二、如何保护敏感信息和个人信息;三、如何应对由勒索软件引起的数据泄露。(来源:CISA官网)

监管

英国呼吁全球联合反对互联网cookies弹窗

9月7日,英国信息专员办公室(ICO)负责人伊丽莎白•德纳姆(Elizabeth Denham)表示,她将在近来与七国集团(G7)成员国的领导人会面时呼吁大国联合起来反对互联网cookies弹窗。德纳姆认为,网页浏览器应当允许人们在系统中设置自己选择的持久隐私偏好,而不是每次访问网站时都必须通过弹窗来设置。她相信这种方法在技术上可行,并且符合数据保护法规。然而,实现这一目标还需要不同技术公司和标准组织之间的合作。G7的综合影响力在引导大型科技公司制定解决方案方面可能产生积极作用。(来源:ICO官网)

新加坡金融管理局下令禁止币安提供支付服务

9月3日,新加坡金融管理局(MAS)下令禁止加密货币交易平台“币安”在新加坡开展未经许可的支付服务,并将该加密交易所列入投资者警告名单。币安在一份声明中表示,正在积极与MAS合作,并通过建设性对话解决可能存在的担忧。币安是目前全球最大的加密货币交易所之一,在世界各地拥有子公司。近几个月来,包括英国和马来西亚在内的多个国家都对该公司采取了监管行动。(来源:彭博新闻)

产业

韩国5G网络覆盖85座城市,5G用户7月底已超1700万

根据《韩国先驱报》9月2日消息,韩国于2019年在全球率先推出5G商用服务,其网络覆盖范围持续扩大,用户规模也不断增长。根据韩国科学和信息通信技术部的数据,目前5G商用网络已覆盖85座韩国城市,7月底用户数累计高达1708万,约占全国移动通信用户数的24%。预计韩国5G用户规模在下半年仍将快速增长。(来源:韩国先驱报官网)

世界城市数字化举措

德国电信将在柏林建设用科研用5G网络,并探索商用方案

8月26日,德国电信公司宣布将为位于柏林的西门子产业与科学研究中心建设专用5G网络,并合作开展基于5G的自动化物流智能控制系统的研发和测试。该科研项目获得了德国联邦和州政府的专项资金支持,将加快探索5G和边缘计算等技术在德国投入实际商用的解决方案。(来源:Smartcitiesworld官网)

责任编辑:吴英燕

校对:刘威