欧洲最严“数据保护条例”正式生效 到底狠在哪里?


5月25日,对于不少拥有欧盟公民数据的企业来说,是个会瑟瑟发抖的日子,被称为欧洲“史上最严”的个人数据保护法案 (GDPR) 从这天起开始正式实施。

欧盟地区5月25日天亮不久,为 GDPR“庆生”的话题就冲上了社交网站推特的热搜榜。GDPR 不是什么偶像或是明星,而是一部保护普通人隐私数据的法案。但带着这个话题的推特绝大部分用户发推表达的热情不亚于粉丝见到偶像,有的用户甚至专门做了蛋糕庆祝这天的到来。


欧盟一般数据保护法案(General Data Protection Regulation, 679/2016, 下简称“GDPR”)通过于2016年,是欧盟为解决互联网时代用户数据的收集、使用问题而制定的。2016年GDPR获批通过后,为给科技公司一定缓冲时间,将生效时间定于今年5月25日。

与此前欧洲地区颁布的其他个人信息保护法规不同,GDPR具有强制力,直接对所有的欧盟成员国生效,也就是法规一旦生效自动对所有国家生效(部分国家如有其它规定,可协调处理)。

GDPR 规定欧盟所有成员国都必须在国内设立监管机构,且该机构有权调查各科技公司的产品或服务可能存在的违法情形,并进行相应的处罚。

GDPR 就像一张巨大的筛子,所有在欧洲有产品或服务(无论公司是否在欧盟地区),会收集用户数据,或与欧盟企业发生业务往来,或涉及存储、处理、交换任何欧盟公民数据的公司都要经过这把筛子筛选。

事实上,今年以来,风声鹤唳的微软、Facebook、谷歌已经开始为遵守这项法规调整自己的产品设置。这些公司之所以如此小心翼翼,是因为根据 GDPR 规定,任何企业违反信息跨境流动要求和未经信息主体许可的收集、处理等行为,最大处罚额可达到2000万欧元或者当年全球收营业额的4%,且二者取较高值。

近日,苹果就修改了隐私政策,允许用户彻底注销 Apple ID;谷歌则于本月月初更新了文档的语言和导航等用户协议,使用户更清楚其收集和存储用户数据的方式,以及允许用户访问并删除这些数据;腾讯也宣布将对 QQ 国际版进行更新,以符合 GDPR 规定;Twitter、WhatsApp等社交应用软件更新用户条款,表示将禁止16岁以下青少年使用这些应用;连 Steam 也宣布,欧洲地区 16 岁以下用户如需使用旗下产品,必须经过家长允许。

同时,留给那些逃避欧洲市场的公司的时间不多了。欧盟立法机构除了自己落实GDPR之外,还在联合包括中、美、日、韩等互联网市场大国实施类似法规。肆无忌惮地收集用户数据,贩卖滥用数据的商业模式行将逝去,一道生死题正浮现在此前滥用用户数据的公司面前。