《通用数据保护条例》(General Data Protection Regulation,GDPR),是在欧盟法律中对所有欧盟成员国公民关于个人数据保护的规范,涉及欧盟个人数据向欧盟外的跨境传输。GDPR的主要目标是强化在数字经济时代公民对于其个人数据的控制,以及为了国际贸易而简化在欧盟内的统一数据管理规范。
GDPR取代了欧盟在1995年推出的欧盟《个人数据保护指令》(Individual Data Protection Directive),该指令包含有关处理欧盟内部数据主体的数据的条款和要求,适用于与欧洲做生意的所有企业,无论位置如何。其基本内容如下:
·处理个人数据的业务流程必须在设计和默认情况下构建数据保护,这意味着个人数据必须使用假名(pseudonmisation)或匿名(anonymisation)进行存储,并且默认使用最高的隐私设置,以避免公开数据未经明确授权,并且不能用于识别没有单独存储附加信息的主题。
·任何个人数据处理都必须在合法的基础上完成,数据控制者或处理者须从数据所有者那里获得明确的授权。数据所有者有权随时撤销此权限。
·个人数据处理者必须清楚地披露任何数据收集,声明数据处理的合法基础和目的,保留数据对应的时间以及表明是否与任何第三方或欧盟以外的国家共享数据。
·用户有权以通用格式请求获取处理器收集的数据的便携式副本,并有权在特定情况下删除其数据。
·公共主管部门和以核心活动为中心定期或系统地处理个人数据的企业需要雇用数据保护官(DPO)以负责管理GDPR的合规性。(www.xing528.com)
数据泄露通知制度(Data Breach Notification,DBN):如果数据泄露对用户隐私产生不利影响,那么企业必须在72小时内通知个人数据主体并向主管部门报告任何数据泄露。
根据GDPR,数据监管部门对违法企业的罚金最高可达2000万欧元(约合1.5亿元)或者其全球营业额的4%,以高者为准。网站经营者必须事先向客户说明会自动记录用户的搜索和购物记录,并获得用户的同意,否则按“未告知记录用户行为”做违法处理。企业不能使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。该条例明确规定了用户的“被遗忘权”(Right to Be Forgotten),即用户个人可以要求责任方删除关于自己的数据记录。
GDPR在全球产生很大影响,2019年7月8日,英国信息专员办公室发表声明称,英国航空公司因为违反GDPR被罚1.8339亿英镑(约合15.8亿元)。
GDPR对国内金融科技行业的影响:16 GDPR在2016年4月27日通过,经过两年的缓冲期,在2018年5月25日强制执行。GDPR是互联网时代全球数据治理的基石,推动了全球的数据监管。中国也先后出台《网络安全法》和《个人信息安全规范》,加强个人信息保护,对个人数据应用的监管趋严,给金融科技的发展带来一定冲击。GDPR的制定者认为在大数据时代,隐私权就是人权。根据这一条例,个人消费者将享有更多权利。通过赋予消费者前所未有的权利,以及对违规行为的严厉处罚,可以更好地保护消费者的数据资产和个人隐私。
GDPR在数据有效使用和隐私保护中有着很多的折中和平衡,一方面保护个人的数据权利,另一方面确保数据能够合法地自由流动。规定了用户拥有可携带权,会对数据的自由流动产生深远的影响。GDPR的理念有助于打破国内数据的垄断,对互联网科技公司,特别是金融科技公司会产生长远利好的影响。
有专家表示,GDPR将是一部重整全球数据秩序的法令。GDPR将成为未来全球网络空间规则的基石,对个人信息收集和隐私驱动的整个中国互联网产业主体的收入模式将产生重大影响。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。