一段時間以來,歐盟地區(qū)網(wǎng)民紛紛收到互聯(lián)網(wǎng)公司修改“用戶政策”的提示。從網(wǎng)絡(luò)巨頭到初創(chuàng)公司,都忙著趕在5月25日之前修改甚至重塑它們保護(hù)用戶數(shù)據(jù)的流程,使之符合將在25日生效的歐盟《通用數(shù)據(jù)保護(hù)條例》。

這項被廣泛認(rèn)為是歐盟有史以來最為嚴(yán)格的網(wǎng)絡(luò)數(shù)據(jù)管理法規(guī),在生效之前就早已“威震四方”。

首先罰得狠。條例規(guī)定,對未采取技術(shù)或管理措施來避免、降低隱私侵權(quán)損害風(fēng)險的互聯(lián)網(wǎng)公司,最高可罰款1000萬歐元或全球營業(yè)額的2%(以較高者為準(zhǔn))；對違反個人信息收集和使用基本原則以及沒有保障數(shù)據(jù)主體權(quán)利的互聯(lián)網(wǎng)公司,最高可罰款2000萬歐元或全球營業(yè)額的4%(以較高者為準(zhǔn))。對于跨國網(wǎng)絡(luò)巨頭而言,一旦在歐盟違規(guī),很可能將面臨“天價”處罰。

嚴(yán)格地說,受該條例管轄的不僅僅是傳統(tǒng)意義上的互聯(lián)網(wǎng)公司。也就是說,企業(yè)只要是處理或者留存了用戶數(shù)據(jù),哪怕只是電子郵件地址這樣看似并不特別敏感的信息,哪怕其從事的業(yè)務(wù)并非單純的互聯(lián)網(wǎng)服務(wù),但因為也涉及了用戶數(shù)據(jù),所以也在新條例管轄范圍之內(nèi)。

其次管得寬。歐盟這一新條例賦予了歐盟域外管轄權(quán)。具體而言,該條例不僅管轄注冊地或總部在歐盟內(nèi)的企業(yè),也完全可能管轄“地理上”位于歐盟外的企業(yè):根據(jù)其規(guī)定,只要企業(yè)向歐盟內(nèi)的用戶提供產(chǎn)品、服務(wù),或持有、處理歐盟內(nèi)用戶的數(shù)據(jù),都在管轄范圍之內(nèi)。

再次分得細(xì)。納入新規(guī)保護(hù)范圍的用戶數(shù)據(jù)種類全面細(xì)致。除了姓名、地址、證件號碼、網(wǎng)絡(luò)IP地址等通常意義上的個人信息,以及指紋、虹膜等生物識別數(shù)據(jù)、醫(yī)療記錄等十分隱私的個人信息,新規(guī)還涵蓋了例如用戶的種族、宗教信仰甚至性取向等多方面信息。

新規(guī)還確立了被遺忘權(quán)、刪除權(quán)、可攜帶權(quán)等一系列用戶權(quán)利。根據(jù)條例,用戶可以要求掌握其數(shù)據(jù)的企業(yè)刪除其個人數(shù)據(jù)、避免個人信息傳播。而可攜帶權(quán)將使用戶有權(quán)向企業(yè)索取本人數(shù)據(jù),并自主決定用途,這意味著用戶將能夠像管理金融資產(chǎn)一樣對個人數(shù)據(jù)信息進(jìn)行“搬家”。

近幾個月,臉書公司因為被揭發(fā)在用戶數(shù)據(jù)大規(guī)模泄露之后長時間隱瞞不報,遭到廣泛批評。而在歐盟新規(guī)下,企業(yè)一旦發(fā)現(xiàn)用戶數(shù)據(jù)泄露,必須在72小時內(nèi)向監(jiān)管機(jī)構(gòu)報告。

在明確賦予用戶權(quán)利、大幅強(qiáng)化企業(yè)責(zé)任之外,這一條例還規(guī)范了監(jiān)管安排機(jī)制。在歐盟層面,增設(shè)歐洲數(shù)據(jù)保護(hù)理事會這一新機(jī)構(gòu)；在歐盟成員國層面,各國數(shù)據(jù)監(jiān)管機(jī)構(gòu)的檢查、執(zhí)法、處罰以及司法機(jī)制安排也得到了明確界定。

歐盟新規(guī)還允許用戶有權(quán)要求監(jiān)管機(jī)構(gòu)在規(guī)定時限內(nèi)對違規(guī)行為進(jìn)行調(diào)查。如數(shù)據(jù)監(jiān)管機(jī)構(gòu)調(diào)查不力,用戶則有權(quán)向法院提起訴訟,以更好地保護(hù)用戶權(quán)利。