《欧盟通用数据保护条例》正式生效

May 27, 2018

| No Comments

经过近四年的讨论修改和长达两年的过渡期，2018年5月25日，《欧盟通用数据保护条例》（General Data Protection Regulation, GDPR）在欧盟成员国正式生效。

该数据以欧盟法规的形式确定了个人数据保护原则和监管方式，正式取代了1995年公布的个人数据保护条例，具有更强的法律效力和处罚力度。被业界认为是迄今最严格的个人数据保护条例，在数码化的今天有着历史性的意义。

欧盟委员会希望借此加强对公民对其个人数据的控制，同时为在欧盟范围运营的公司提供一个公平的竞争环境。

我的数据我做主—-用户的权利

近日，欧盟地区用户的个人和公司信箱、电子邮箱收到众多关于用户政策和数据保护选项的信件和通知，各种网络提示也纷纷而至，让人应接不暇。

数据保护是欧盟的一项基本权利。数据只能按照预先确定的目的并经有关人士同意才能进行分析处理。GDPR则具体化了这一点。简单说来就是公民拥有对个人数据的信息权，更正权，删除权、可携带转移权以及信息被泄露后的知情权。

公民有一定的了解被收集数据详细信息以及如何处理的权利，如他们在超市积分卡中被收集的详细信息。同时，在需要的情况下，用户有更正和完善其个人数据的权利。如果用户不希望他们的数据被存储，而且储存该数据没有必要合法的理由，用户可以要求删除它们。这也被理解为被遗忘的权利。可携带转移数据的权利则表现在用户更换服务商可以将自己的个人数据搬家。

据德国Welt杂志的问卷调查，约有四分之三用户并不能真正理解这一详细而复杂的条例。71% 的问卷参与者表示他们并不明白新条例给他们的个人数据带来的变化。很多人对收到的邮件置之不理或随便点击接受键或默认选项。

处罚力度大管理范围宽

早在正式生效之前，新法规就因为其处罚力度和管理范围备受关注。首先是罚金为历史新高：条例规定，对对违反个人信息收集和使用基本原则以及没有保障数据主体权利的互联网公司，最高可罚款２０００万欧元或全球营业额的４％（以较高者为准）。企业若发现用户数据泄露，须在72小时内项监管机构报告。

另外，欧盟新条例还具有欧盟域外管辖权。除了注册地或总部在欧盟的企业，只要企业项欧盟用户提供产品服务，或持有并处理其个人数据，都在该条例的管辖范围。

在德国的监管机构在联邦和州政府的数据保护专员，对于跨国公司，将会成立欧盟范围的监管部门。具体负责部门将有该公司的在欧洲总部所在地决定。

过渡期之后的宽容期?——在困惑和不安中观望

与国际大公司的长期准备和积极应对相比，很多小型企业和组织对这一复杂的新规定表示非常困惑，部分小团体在不确定是否有能力保证全面实施法规的情况下，甚至选择关闭其网页和公共账户。

对于这些小型企业、自主经营者、俱乐部及社区组织来说，如何调整他们的数据保护政策，是一个涉及法律、经济、人力、技术各个层面的艰巨挑战。

据德国第二电视台报道，两百多万的德国企业中，有一半没有及时准备好应对这一复杂且严格的法规。虽然该法规对如何保护、使用、管理个人数据以及监管部门的职责有着详细的规定，但在多达99篇规定的文件中，必然有不少模糊的定义需要进一步的解释和法院裁定，从而产生一个巨大的灰色地带。许多业主和个人在不安中观望和等待。

据德国媒体Tagesschau 网页版报道，在对法规不甚了解的情况下，由于担心受到罚款，已有社区公益协会在5月24日号宣布关闭。

德国内务部部长Seehofer 在内部信函中建议数据保护机构对志愿者团体和协会和小公司在初始阶段应该警告为主，宽大处理。