欧盟《通用数据保护条例》生效 针对数字经济企业 史上最严格的数据保护立法

【记者刘洋编译报导】欧盟的《通用数据保护条例(GDPR)》于2018年5月25日生效,其管辖范围覆盖任何一家与28个欧盟成员国有相关贸易往来的数字经济企业。GDPR被认为是迄今为止世界上最严格的数据保护立法,它取代了欧盟数据保护指令95/46/EC,旨在协调整个欧洲的数据隐私法律,保护所有欧盟公民的数据隐私,并重塑整个欧盟地区的组织处理隐私数据的方式。

扎克伯格因脸书泄漏用户隐私事件,前往欧洲参加听证会。(AFP/Getty Images)
扎克伯格因脸书泄漏用户隐私事件,前往欧洲参加听证会。(AFP/Getty Images)

 
对个人基本信息的保护
 
GDPR将公民个人信息保护提到前所未有的高度,为信息的收集、管理和利用流程划出明确界限,其主要内容如下:
 
一、民族、信仰、健康状况、性取向、政治立场、工会会员资格、遗传数据、用于唯一识别自然人的生物特征……这些都属于被保护的个人信息,一般情况下,这些信息被禁止收集。
 
不过,在一些特定的情况下,企业或政府可以处理这些信息数据,比如当事人自己主动公开;当事人同意授权;由法律管辖,并与公共利益或健康有关的特定目的的数据处理活动,例如人口普查;提供足够保障措施的公共卫生、就业和社会保障等领域。
 
二、信息授权的请求须要以清楚简明的方式、易于理解的语言呈现给用户,并与其它条款加以明确区分。用户必须在得到具体、明确的请求后,在知情、自愿的情况下做出的同意授权才有效。因此信息授权请求至少要包括以下内容:
 
处理数据组织的身份和联系方式;数据处理的目的用途;数据的类型;是否可能撤销许可;数据的分析方式;发生国际数据转移时,数据转移给欧盟以外国家可能存在的风险。
 
三、未成年的孩子将会得到特别的保护,因为他们不太了解共享数据的风险和后果以及其个人权利,任何专门针对未成年人的信息都应该容易被看到,并且语言清晰明了。
 
对于大多数在线服务(包括社交网站、下载音乐和购买在线游戏的平台等),需要父母或监护人的同意才能处理孩子的个人信息。
 
同时,企业必须作出合理的努力来检查许可是否真正符合法律,这可能涉及年龄验证的测试,例如询问一个普通孩子无法回答的问题,或者要求孩子提供其父母的电子邮件以获得书面同意。直接向儿童免费提供预防或咨询服务可以无需经过父母的同意,因为他们是为了保护儿童的最大利益。
 
对于受保护的未成年人的年龄段可以由每个成员国自己决定。
 
四、雇主和雇员一般被认为是非平等关系,也就是雇主比雇员有更大的权力。通常在雇佣关系建立时,雇员已经同意雇主使用其数据。因此,雇主在使用员工个人信息时,大多不会再要求员工同意。在某些情况下,这是合法的,特别是在符合员工利益时。
 
例如,如果公司要给员工或员工家属增加福利,雇主使用员工的数据是被允许的,也是合法的。
 
五、当个人数据被非法破坏、被访问、丢失、更改、未经授权曝光,都属于个人数据泄露。
 
如果发生以上情况,持有个人数据的组织必须立即通知监督机构,不得无故拖延;如果个人数据泄露对当事人的权利和自由造成高风险,并且风险无法解除,那么当事人必须得知有关情况。