欧盟《通用数据保护条例》生效 针对数字经济企业 史上最严格的数据保护立法

【记者刘洋编译报导】欧盟的《通用数据保护条例（GDPR）》于2018年5月25日生效，其管辖范围覆盖任何一家与28个欧盟成员国有相关贸易往来的数字经济企业。GDPR被认为是迄今为止世界上最严格的数据保护立法，它取代了欧盟数据保护指令95/46/EC，旨在协调整个欧洲的数据隐私法律，保护所有欧盟公民的数据隐私，并重塑整个欧盟地区的组织处理隐私数据的方式。


扎克伯格因脸书泄漏用户隐私事件，前往欧洲参加听证会。（AFP/Getty Images）

 

对个人基本信息的保护
 

GDPR将公民个人信息保护提到前所未有的高度，为信息的收集、管理和利用流程划出明确界限，其主要内容如下：
 

一、民族、信仰、健康状况、性取向、政治立场、工会会员资格、遗传数据、用于唯一识别自然人的生物特征……这些都属于被保护的个人信息，一般情况下，这些信息被禁止收集。
 

不过，在一些特定的情况下，企业或政府可以处理这些信息数据，比如当事人自己主动公开；当事人同意授权；由法律管辖，并与公共利益或健康有关的特定目的的数据处理活动，例如人口普查；提供足够保障措施的公共卫生、就业和社会保障等领域。
 

二、信息授权的请求须要以清楚简明的方式、易于理解的语言呈现给用户，并与其它条款加以明确区分。用户必须在得到具体、明确的请求后，在知情、自愿的情况下做出的同意授权才有效。因此信息授权请求至少要包括以下内容：
 

处理数据组织的身份和联系方式；数据处理的目的用途；数据的类型；是否可能撤销许可；数据的分析方式；发生国际数据转移时，数据转移给欧盟以外国家可能存在的风险。
 

三、未成年的孩子将会得到特别的保护，因为他们不太了解共享数据的风险和后果以及其个人权利，任何专门针对未成年人的信息都应该容易被看到，并且语言清晰明了。
 

对于大多数在线服务（包括社交网站、下载音乐和购买在线游戏的平台等），需要父母或监护人的同意才能处理孩子的个人信息。
 

同时，企业必须作出合理的努力来检查许可是否真正符合法律，这可能涉及年龄验证的测试，例如询问一个普通孩子无法回答的问题，或者要求孩子提供其父母的电子邮件以获得书面同意。直接向儿童免费提供预防或咨询服务可以无需经过父母的同意，因为他们是为了保护儿童的最大利益。
 

对于受保护的未成年人的年龄段可以由每个成员国自己决定。
 

四、雇主和雇员一般被认为是非平等关系，也就是雇主比雇员有更大的权力。通常在雇佣关系建立时，雇员已经同意雇主使用其数据。因此，雇主在使用员工个人信息时，大多不会再要求员工同意。在某些情况下，这是合法的，特别是在符合员工利益时。
 

例如，如果公司要给员工或员工家属增加福利，雇主使用员工的数据是被允许的，也是合法的。
 

五、当个人数据被非法破坏、被访问、丢失、更改、未经授权曝光，都属于个人数据泄露。
 

如果发生以上情况，持有个人数据的组织必须立即通知监督机构，不得无故拖延；如果个人数据泄露对当事人的权利和自由造成高风险，并且风险无法解除，那么当事人必须得知有关情况。