欧盟《通用数据保护条例》已于5月25日在欧盟全体成员国正式生效。这被广泛认为是欧盟有史以来最为严格的网络数据管理法规。这一条例全面加强了欧盟所有网络用户的数据隐私权利,明确提升了企业的数据保护责任,并显著完善了有关监管机制。

新条例拓展了有关网络用户数据的定义范围,除了姓名、证件号码、地址和网络IP地址等常规个人信息,还将反映种族、宗教信仰甚至性取向的信息都纳入了保护范围。条例赋予了用户“被遗忘权”、数据“可携带权”等权利,大幅增强了对个人数据的保护。

条例要求企业必须以合法、公平和透明的方式收集处理信息,必须用通俗的语言向用户解释收集数据的方式,且企业有义务采取一切合理措施删除或纠正不正确的个人数据。

条例将不仅对位于欧盟内的企业发生效力,对于欧盟域外企业,无论企业在欧盟境内有无分支机构,只要它们存储、处理、交换任何欧盟个人的数据,也在这一条例的管辖范围之内。

针对违规行为,新条例的处罚力度极大。理论上,违规企业最高可能受到2000万欧元或全球营业额4%(以较高者为准)的罚款。欧盟各成员国监管机构的检查权、执法权、处罚权以及司法诉讼权等内容,以及欧盟层面的监管机构等,都在条例中得以明确界定。

《通用数据保护条例》于2016年在欧洲完成立法程序,在两年的过渡期后将于5月25日正式生效,并将取代1995年的《数据保护指令》。近期,欧盟网络用户已纷纷收到各大互联网公司基于这一新条例修改后的用户协议。于5月25日生效的欧盟《通用数据保护条例》经过了漫长的酝酿,将对互联网等行业的发展带来重大影响。

时至今日,包括脸书在内的很多互联网公司的主要盈利业务仍然是广告,而获取、使用用户数据以使得广告投放更加精准,与保护用户数据、避免隐私泄露,似乎总是一对天然的矛盾。用户如果想要享受“量身定制”的精准互联网服务,则也必须“先予后取”,以出让个人数据信息为“代价”来换取网络时代的巨大便利。

这项被广泛认为是欧盟有史以来最为严格的网络数据管理法规,在生效之前,就早已“威震四方”。在该条例基本“定型”但尚未生效的这段时间里,有关企业已经付出了不小的合规成本。据调查显示绝大多数企业为达到法规要求已花费了100万美元以上。

近几个月,脸书公司因为被揭发在用户数据大规模泄露之后长时间隐瞒不报,遭到广泛批评。而在欧盟新规下,企业一旦发现用户数据泄露,必须在72小时内向监管机构报告。

在明确赋予用户权利、大幅强化企业责任之外,这一条例还规范了监管安排机制。在欧盟层面,增设欧洲数据保护理事会这一新机构;在欧盟成员国层面,各国数据监管机构的检查、执法、处罚以及司法机制安排也得到了明确界定。

对于用户而言,欧盟新规还允许他们有权要求监管机构在规定时限内对违规行为进行调查。如数据监管机构调查不力,用户则有权向法院提起诉讼,以更好地保护用户权利。因此,无论是欧盟境内的公司还是更多的在华跨国企业,都不应忽视这一涉及全球数据保护的重要法规。