:::: MENU ::::

TalkingData's Blog

现在开始,用数据说话。

史上最严的隐私条例出台,2018年开始执行

  • 五 18 / 2016
  • 0
News

史上最严的隐私条例出台,2018年开始执行

本文转自互联居,如需转载请注明出处。

这篇文章是写给搞大数据的同学们,希望大家借鉴世上最严隐私条例,像保护自己的眼睛一样保护用户的数据和隐私

2016年4月14日,欧洲议会投票通过了商讨四年之久的《一般数据保护条例》(General Data Protection Regulation),该法规 包括91个条文,共计204页,该条例将于2年后,也就是在2018年5月开始生效。新条例的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,可称的上史上最严格的数据保护条例。

1

在这个条例之前,欧洲执行的是1995年推出的《欧洲数据保护指导》(EU Data Protection Directive,95/46/EC)。最新的《通用数据保护条例 》将代替旧的《欧洲数据保护指导》。

中国很多标准都紧跟欧洲的步伐,像汽油标准一样,欧标97号汽油和国标97号相比,欧洲标准会更加全面和严格一些。与旧的指导建议相比,有几个较大的变化,我列了一下主要的点,大家一起来学习学习。

1.明确了几个数据角色:
    Data Subject(数据主体):数据拥有者
Data Controller(数据负责人):数据收集处理的负责人
Data Processors(数据处理者):数据处理的执行者

2.使用范围更广,规定更加严格细致

之前的指令(Directive)上升为法规级别(Regulation),该条例适用于:

(1)住所在欧盟的数据控制者、处理者;

(2)住所虽然不在欧盟的数据控制者、处理者,但是其在向欧盟内数据主体提供商品和服务的过程中(无论是否需要付费)处理了欧盟内数据主体的个人数据,或对数据主体进行监测;

(3)住所虽然不在欧盟的数据控制者,但在根据国际条约欧盟成员国法律适用的地方。

3.公司必须设立一个数据保护官(Data Protection Officer,DPO)

数据保护官监管和规范数据负责人和数据处理者的数据活动

数据保护官必须直接汇报给最高管理层,可以是全职员工或者合同工

4.数据泄露需要通知监管部门

当有严重数据泄露发生时候,数据负责人需要及时通知当地的监管部门。

5. 合法处理数据的条件

至少满足以下中的一项,处理数据才是合法的:

(1)数据主体同意了为特定目的处理其数据;

(2)处理数据是为签订或履行合同所需的;

(3)处理数据是为遵守法定义务所需的;

(4)处理数据是为了保护数据主体或其他自然人的至关重要的利益;

(5)处理数据是为了公共利益或行使政府授予的权力;

(6)处理数据是为追求数据控制者的合理利益,但不得损害数据主体的利益。

6.实现“缺省保护隐私”(Privacy by Design ,Privacy by Default)

法案引入了”缺省保护隐私“,意味着所有的缺省设计,缺省方案都是保护隐私的方案,产品设计不能随意更改缺省的隐私方案条例,以保护数据主体的权利。 要求产品或服务的整个生命周期都贯穿隐私和数据保护,包括从最早的设计阶段,到产品投放市场、使用直至最终停止使用,都将考虑数据保护合规因素。

7. 数据的“可遗忘权”(Right to be Forgotten)

“被遗忘权”,当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据,用户有权要求删除数据。在欧洲法院裁决《欧盟数据指令》无效的大背景下,欧盟各国陆续通过立法缩短数据留存的时间,从过去的六个月甚至2年缩短到数周。这意味着用户能够实现“遗忘权”的机会大大增加。

8.数据可转移权(Portability)

数据主体(Data Subject)可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者。从技术实现上,貌似有些困难啊。

9.特别隐私数据保护

禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。

处理16岁以下的儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可对上述年龄进行调整,但是不得低于13岁。

10. 巨额罚款(第83条)

对于一般性的违法,罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%(两者中取数额大者);对于严重的违法,罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%(两者中取数额大者)。

对于互联网广告行业的一些影响

1. UK和欧盟的一些广告协会正在制定相关规范,适应GDPR,例如iAB;

2. 欧盟广告联盟(EDAA)正在实现一个AdChoices的项目,以保证基于兴趣的互联网广告的数据透明和用户可管理。

2

对于欧盟以外的国家,新条例树立了一个高标准的个人数据保护法律框架。鉴于欧盟对于数据跨境传输的严格要求,其他国家可能需要跟上欧盟的步伐,以免在数据利用方面受到限制。

新条例将于2018年在欧盟全面执行,让我们拭目以待,一起努力更好的保护用户的隐私。另外,它也帮助创建了一个新的O职务,数据保护官(DPO),你有兴趣么?

 

作者简介:

欧阳辰,互联网广告技术老兵,小米广告架构师主管,负责广告平台架构和大数据,曾负责微软移动Contexual Ads广告平台,参与Bing搜索引擎IndexServe的核心模块研发,有空也会在个人微信公众号“互联居”中,分享一些互联网技术心得,订阅“互联居”公众号,与作者直接交流

Leave a comment

随时欢迎您 联系我们