新華社布魯塞爾５月２４日電  新聞分析：歐盟“最嚴”數據保護條例“嚴”在何處

　　新華社記者王子辰

　　一段時間以來，歐盟地區網民紛紛收到互聯網公司修改“用戶政策”的提示。從網絡巨頭到初創公司，都忙著趕在５月２５日之前修改甚至重塑它們保護用戶數據的流程，使之符合將在２５日生效的歐盟《通用數據保護條例》。

　　這項被廣泛認為是歐盟有史以來最為嚴格的網絡數據管理法規，在生效之前，就早已“威震四方”。

　　首先罰得狠。條例規定，對未採取技術或管理措施來避免、降低隱私侵權損害風險的互聯網公司，最高可罰款１０００萬歐元或全球營業額的２％（以較高者為準）；對違反個人資訊收集和使用基本原則以及沒有保障數據主體權利的互聯網公司，最高可罰款２０００萬歐元或全球營業額的４％（以較高者為準）。對于跨國網絡巨頭而言，一旦在歐盟違規，很可能將面臨“天價”處罰。

　　嚴格地説，受該條例管轄的不僅僅是傳統意義上的互聯網公司。記者長期保持電子郵件聯繫的一家國際信用評級機構，也發來郵件讓記者選擇“請繼續向我提供資訊”或“請把我從通訊錄中移除”。

　　也就是説，企業只要是處理或者留存了用戶數據，哪怕只是電子郵件地址這樣看似並不特別敏感的資訊，哪怕其從事的業務並非狹隘上的互聯網服務，但因為也涉及了用戶數據，所以也在新條例管轄范圍之內。

　　其次管得寬。歐盟這一新條例賦予了歐盟域外管轄權。具體而言，該條例不僅管轄注冊地或總部在歐盟內的企業，也完全可能管轄“地理上”位于歐盟外的企業：根據其規定，只要企業向歐盟內的用戶提供産品、服務，或持有、處理歐盟內用戶的數據，都在管轄范圍之內。

　　比如，對于臉書、推特這樣的美國社交網絡公司，由于它們在歐盟內有大批用戶，那麼至少在保存、處理歐盟用戶數據時，必須符合這一條例的規定。臉書公司首席執行官馬克·扎克伯格２２日出席歐洲議會聽證會時，就承諾一定會遵守這一新法規。

　　再次分得細。納入新規保護范圍的用戶數據種類全面細致。除了姓名、地址、證件號碼、網絡ＩＰ地址等通常意義上的個人資訊，以及指紋、虹膜等生物識別數據、醫療記錄等十分隱私的個人資訊，新規還涵蓋了例如用戶的種族、宗教信仰甚至性取向等多方面資訊。

　　新規還確立了被遺忘權、刪除權、可攜帶權等一係列用戶權利。根據條例，用戶可以要求掌握其數據的企業刪除其個人數據、避免個人資訊傳播。而可攜帶權將使用戶有權向企業索取本人數據，並自主決定用途，這意味著用戶將能夠像管理金融資産一樣對個人數據資訊進行“搬家”。

　　近幾個月，臉書公司因為被揭發在用戶數據大規模泄露之後長時間隱瞞不報，遭到廣泛批評。而在歐盟新規下，企業一旦發現用戶數據泄露，必須在７２小時內向監管機構報告。

　　在明確賦予用戶權利、大幅強化企業責任之外，這一條例還規范了監管安排機制。在歐盟層面，增設歐洲數據保護理事會這一新機構；在歐盟成員國層面，各國數據監管機構的檢查、執法、處罰以及司法機制安排也得到了明確界定。

　　對于用戶而言，歐盟新規還允許他們有權要求監管機構在規定時限內對違規行為進行調查。如數據監管機構調查不力，用戶則有權向法院提起訴訟，以更好地保護用戶權利。

【糾錯】

責任編輯： 王萌萌