當遇上歐盟 GDPR ,亞馬遜不會是最後一個被罰的企業
亞馬遜“攤上”事兒了。
近日彭博社表示,因違反歐盟《通用資料保護條例》(GDPR),亞馬遜可能面臨 7.46 億歐元(約合 8.88 億美元)的天價罰款。這或將是歐盟有史以來最大的資料隱私洩露罰款。
7 月 30 日,亞馬遜在一份監管檔案中,披露了盧森堡的資料保護委員會 CNPD7 月 16 日的決定。
該決定表示,歐洲的資料保護監管機構有權對亞馬遜處以全球年銷售額 4% 的罰款。不過,這筆罰款金額並沒達到這個數。
堪稱史上最嚴的個人資訊保護法 GDPR,可以說讓歐洲各大企業“人人自危”。其中有一條規定就足以讓企業“聞風喪膽”:如發現嚴重違規,最高可罰 2000 萬歐元或企業上一財年全球營業總額的 4%,以較高者為準。
昂楷科技 CEO 劉永波曾表示,GDPR 除了天價罰單,最值得關注的點,應該是它作為一個專門保護個人資訊法案的出臺。普通的個體並不是這些資訊保護法案的主要針對者,而 GDPR 第一次把目標明確地指向了相對弱勢的個人。
普通使用者的資料一直被濫用
在過去十幾年網際網路的快速發展中,個人資訊正在大規模地被各類企事業組織所採用,無論是打車、外賣、網購,還是在公共服務領域,都會大規模採集公民個人資訊,近年來有關個人資訊洩露的案例更是數不勝數,所以這個問題是全球各個國家都正在面對的。
而 GDPR 的到來,讓人驚呼,從未有一部法案對個人資訊的保護規定的如此周詳。
例如,我們身邊經常出現過於精準的廣告推送,在淘寶上刷到了偶款心儀的產品,結果在微博也看到了相關的推送。從廣告匹配的實現原理上說,它是在使用者訪問網站時,在你的瀏覽器裡寫入一些 Cookies ,淘寶通過其廣告平臺來利用這些 Cookies 對應顯示更為精準的廣告。
雖說近年來我們已經對這種精準的廣告推送習以為常,但這背後的操作在 GDPR 這裡是違規的。
為什麼說 GDPR 堪稱最嚴?劉永波從授權、適用範圍和撤回這三個具有代表性的條例來分析。
1、從授權來講
資料的收集必須事先徵得資料主體的同意,而且 "同意" 必須是具體的、清晰的,是使用者在充分知情的前提下自由做出的,不能是以非常隱晦的手段。因為使用者在這種情況下是處於弱勢地位的,特別是一些常用的 App,為了生活的便捷,很多人不得不選擇同意。
比如國內企業常用的,以小字號淡顏色甚至預設方式獲取使用者的授權,通過冗長晦澀的隱私政策來獲取使用者同意,或者讓使用者在簽訂業務協議時通過 "打勾" 作出一攬子授權,都可能被認定為違規。
2、對於資料使用的範圍,更加嚴格
如果企業將資料使用的範圍擴大,無論是將資料提供給了第三方,還是把資料作為企業對外服務的一部分(比如提供給廣告企業作為營銷推廣物件,或者作為對外發布的報告中的案例),都必須重新獲取資料主體的授權和同意。
以我們剛剛提到的淘寶和微博為例,根據 GDPR 的要求,如果以後遇到類似微博要用淘寶資料的情況,必須明確告知使用者使用理由和範圍。並獲得明確同意。
3、GDPR 賦予資料主體可以隨時撤回同意的權利
如果這組資料已經傳播出去,或者給第三方使用了,企業還有責任通知資料的使用者刪除。
比如在知乎上發帖,如果牽扯上他人隱私,當事人要求刪除,如果按照 GDPR 的條例,該帖子必須刪除。
可以這樣說,GDPR 賦予了資料主體更為明確的同意權、訪問權、更正權、被遺忘權、限制處理權、拒絕權及自動化自決權等廣泛的權利和自由。
也許有人會認為,如此嚴格的 GDPR 會妨礙部分企業的發展,對於手握大量資料的公司而言,很難辦。
劉永波表示,對於在海外開設分公司的國內企業,只要為歐盟境內的資料主體提供了服務,即使其在歐盟境內沒有設立任何分支機構,也依然受到 GDPR 的管轄。
GDPR 的到來,對於企業而言,無論與通訊有關的廠商,還是為使用者提供服務的 App 公司,未來在資料的收集、駐留尤其是在雲上的資料流轉和使用,將會更為嚴格。比如為了達到更為明確的知情權,企業就要重新搭建一個新的系統,讓使用者選擇同意與否,這些都會增加企業的成本,而這些成本,未來還是要轉移到使用者身上的。
為了合規,也需要很多廠商一起拿解決方案,眾多產品和技術要重新規劃,不過整個歐盟用統一的規則也避免了企業根據各個國家的不同要求而進行調整。
從長遠來看,GDPR 對行業的發展是有好處的。
正如劉永波所言:“好比說開車,如果沒有交通的管制,車還少的時候,肯定是很舒服的,但如果到了早晚高峰,不制定相應的規則,是很可怕的,大家都說人工智慧需要演算法,但如果演算法的資料來源本身就是違規的,這樣的演算法你還敢用嗎?”
亞馬遜不會是最後一個被罰的企業
亞馬遜之前,在歐盟最大的中槍者是谷歌。
2019 年 1 月 22 日,谷歌被法國隱私監管機構國家資訊與自由委員會(CNIL)處以 5000 萬歐元(約合 5700 萬美元)的鉅額罰款。
CNIL 曾表示,使用者在訪問谷歌提供的資訊時,需要五、六個繁瑣的步驟,即便完成後,依然不能獲取完整的資訊。這違反了 GDPR 有關透明度和資訊的規定,並且谷歌也違法向用戶推送個性化廣告。
隨著資訊保安的發展,我國關於資料資源保護也採取了行動。
2020 年 4 月 9 日,中共中央、國務院首次公佈《關於構建更加完善的要素市場化配置體制機制的意見》,首次將資料列為除土地、勞動力、資本、技術之外的第五大生產要素。
2021 年 7 月 6 日,深圳市第七屆人民代表大會常務委員會公告(第十號)公佈《深圳經濟特區資料條例》,內容涵蓋了個人資料、公共資料、資料要素市場、資料安全等方面,是國內資料領域首部基礎性、綜合性立法。
其中有個方面值得關注,就是所有處理個人資料的都要基於告知同意的基本原則。例如,當我們登入手機 App 的時候,彈出的“要求 App 不跟蹤”和“允許”,就和上述條例有關。
如今,全球的科技巨頭們正在成為全球各國反壟斷的重點監管物件,而亞馬遜也不會是最後一個被罰的企業。