问题与帮助 [史上最严] 让人爱恨交错的数据保护法案

Tony · 发布于 2018年06月19日 · 最后由 q10555910 回复于 2018年11月28日 · 93 次阅读

【史上最严】让人爱恨交错的数据保护法案【上】

本文主要针对上个月欧盟通过的《通用数据保护法(General Data Protection Regulation)》法案进行政策解读以及应对措施分析。根据目前内容,我会通过本篇文章给大家介绍GDPR法案以及其对于传统行业和区块链行业造成的影响。最重要的是,法令颁布后,区块链行业的应对方式和措施。

一、GDPR法案正式生效-什么是GDPR?

欧盟通过的《通用数据保护法(General Data Protection Regulation)》法案在历经 4 年的探讨和2年的试行后,于2018年5月25日全面施行。每一单GDPR违规行为将受到高达2000万欧元的严重处罚,或者最高可面临全球营业额 4% 的罚款(以较高者为准),因此被冠以“史上最严数据保护条例”的称号。管理咨询公司奥利弗·怀曼(Oliver Wyman)预测,欧盟在通过这项法案的第一年可能会收到高达60亿美元的罚款金额。作为隐私与数据保护领域20年来最引入瞩目的立法变革,GDPR提出了大数据时代个人数据保护的新秩序愿景。

GDPR 的内容主要有以下三个特点:

(一)适用范围广。在地域上GDPR 虽然是欧洲的立法,但其规定的适用范围却不仅限于欧洲。

根据GDPR第3.1条的规定,对于欧盟境内设立机构(establishment)的数据控制者或是数据处理者,如果其通过该机构开展业务的过程中涉及对个人数据的处理(in the context of the activities of an establishment),无论该处理行为是否发生在欧盟境内,GDPR都适用。而对于非欧盟成员国企业,未在欧盟境内设立业务机构,但却处理欧盟境内的个人数据,为欧盟境内的数据主体提供货物或服务,无论数据主体是否被要求付费也均适用 GDPR[1]。

这意味着只要公司的数据处理行为涉及到欧洲公民,都需要遵守 GDPR 的规定。因此,许多拥有国际业务的大企业都需要谨慎对待。

(二)受保护者权利多。GDPR 所保护的个人数据范围非常广泛,包括IP地址、政府身份证号码、邮箱、浏览习惯、个人爱好、Cookie 等,这不仅涵盖公民的在真实世界的信息,也涵盖了其在网络上的信息。

除了常规的保护权利,GDPR 新增的几个重要数据主体权利[2]:信息泄露通知、被遗忘权、可携带权等。信息泄露通知主要指企业必须在发现数据泄露的72小时内通知相关部门,包括用户和数据控制者。被遗忘权规定“信息主体有权要求数据控制者删除与其个人相关的资料信息,数据控制者除有合理正当理由外,必须进行删除[3]。”

GDPR第20.1条例说明了可携带权:个人有权获得其提供给数据控制者的相关个人数据,且其获得的个人数据应当是结构化的、普遍可使用的和机器可读的。可携带权的精神主要体现在第20.2条:如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。这些被GDPR 所保护的对象均称为数据主体。

(三)对数据处理要求更严格。GDPR 规定在数据处理过程中,必须以清楚、独立、清晰的方式向数据主体表达其用户条款,以获得数据主体的同意;同意许可必须容易撤回;同意许可必须基于主体自由意志做出,且同意处理的数据范围不可超过必要限度[1]。

欧洲数据监管机构表示,他们将认真对待合规问题。欧洲最高司法官员维拉·朱罗瓦(Vera Jourova)表示:“从我们的数据中赚钱的公司,也将承担起更多的责任”。咨询公司Capgemini的研究显示,85%的公司表示,他们还没有准备好应对新法律的生效。1/4的公司宣称,可能要在2018年底前才会准备好。数据领域专业人士Veeam中国区总经理施勤针对GDPR给企业提出针对:所有企业都应持有“全面戒备”的心态。哪怕没有任命数据保护专员的打算,也要有GDPR条例的实施关系到每一个人的意识。

二、传统企业针对GDPR的应对措施

各大传统网络巨头公司纷纷表示已针对GDPR的全面实施提出改善方案, 如Facebook [4]在5月中旬时向欧洲用户说明数据使用要求并请求用户授权面部识别许可,以便为用户提供更多选择。微软表示将按照 GDPR 的要求,面向全球用户推出隐私保护服务。其新举措包括:在账户面板中添加新的控件、更新所有用户隐私声明、在 microsoft.com/gdpr 上发布门户,列出与 GDPR 兼容的措施[5]。中国在欧洲有较大市场份额的海尔、华为等公司,也早已雇请专门团队应对GDPR。

然而对有些公司来说,似乎在面对GDPR的生效表现的无法适应,目前有几家公司已经宣布,将削减甚至放弃企业在欧洲的客户源,如国内社交通信巨头微信上周刚刚更新了国际版微信的隐私条款。更新后的条款详细说明了信息的使用规则、存储地点、适用法规等。对欧盟、澳大利亚和美国的用户有不同的适用法规,条款争议或争端会提交至香港国际仲裁中心仲裁解决。以此可见,GDPR的颁布确实对不少企业造成了巨大压力。

三、GDPR对区块链技术行业的冲击

不论是已经沿用了20年的《1995数据保护指令》,还是改革之后的GDPR, 依然是一种中心化的规范范式[7],前文所提到的“数据可携权”带来的新问题也许会远比想象中更多,数据可携权作为用户的基本权利,可以被要求适用于任何一个机构,包括新兴企业在内。

这对现目前正火热的区块链技术行业也有很大的影响。区块链技术是基于去中心化的对等网络,用开源软件把密码学原理、时序数据和共识机制相结合,无需借助任何第三方中心的介入就可以使参与者达成共识,以极低成本解决了信任与价值的可靠传递难题。简而言之,区块链技术即意味着隐私保证,数据透明且不可篡改。理论来看GDPR与区块链技术似乎是不可调和的。按照GDPR对个人数据的宽泛定义,以及对匿名化数据的高门槛要求[8],区块链中以文本格式显示的个人数据,乃至被加密,或者哈希之后的与个人相关的数据,包括公钥、交易数据,在相当大程度上仍然属于个人数据。那么参与此类数据处理的,在区块链上任何节点的矿工,都可以被认定为数据控制者,同时也是数据的处理者[9],从而被要求遵从GDPR的各项要求。

GDPR是在一个中心化数据的前区块链世界中形成的,而区块链技术以尽可能多的去中心化性质而闻名。据GDPR第17条所述,被遗忘权要求个人数据必须被新定义下的“数据控制器”删除。这些数据也限制被进一步传播给第三方实体。然而区块链的数据,尤其是在公共或未经许可的链上的数据,并不容易被删除。因此目前出现的问题是企业如何应用一个法律框架,为这些中心化数据设置设计一个去中心化的基础。

从上我们可以看出,GDPR是一个被欧盟颁布用来保护个人数据隐私的法令。它适用范围广,受众多,要求严--从线上到线下,只要数据存在就受到监控;从欧洲到全球,只要有欧洲人参与的地方都是其监管范围;从义务变责任,管治过程全程操控,需要专业人士参与。

GDPR对于传统网络公司来说冲击巨大。传统网络公司权衡利弊之后,有的选择积极适应欧盟新政策,有的也做出了让步选择适当放弃欧盟市场。无论是何种选择,都不免压力。

而对于新兴的区块链公司来说,甜蜜又痛苦。一方面,GDPR迎合了区块链技术保护数据隐私、透明和不可篡改性。而另一方面,矿工有链上数据处理的责任,这就要求他们严格遵守GDPR法规,保护数据安全。另外,对于GDPR要求的数据删除一事,于区块链而言也是难以调和之事。

GDPR如何造福区块链,还看下篇。

共收到 4 条回复

0x35492867e36Dcd6dfA7CA1003f9BB850595d3C93

演员的诞生

0xdc45e7c50bee8c50ab6011447528a298b608e6b4

0x92373b35428f935413759Bd574A3cAc68Dd152D7

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册