（三）外圍IT廠商也將受到新規(guī)影響

新規(guī)建立了“隱私保護(hù)設(shè)計(jì)”制度（Privacy by design，PbD）。要求產(chǎn)品或服務(wù)的整個(gè)生命周期都貫穿隱私和數(shù)據(jù)保護(hù)，包括從最早的設(shè)計(jì)階段，到產(chǎn)品投放市場、使用直至最終停止使用，都將考慮數(shù)據(jù)保護(hù)合規(guī)因素。正是這一制度將IT廠商間接納入新規(guī)體系之下。

新規(guī)要求設(shè)備生產(chǎn)，IT廠商所提供的解決方案能夠使得其客戶符合用戶數(shù)據(jù)保護(hù)合規(guī)要求。在過去，IT廠商，包括軟件商，系統(tǒng)集成商，數(shù)據(jù)分析商，從未在服務(wù)合同中考慮過客戶的個(gè)人數(shù)據(jù)保護(hù)問題，但在新規(guī)生效后，這將是IT廠商面臨的新課題。落實(shí)隱私保護(hù)設(shè)計(jì)制度要求，意味著各類涉及用戶個(gè)人數(shù)據(jù)的產(chǎn)品或和業(yè)務(wù)線，在業(yè)務(wù)設(shè)計(jì)的最初階段，就需要與IT廠商充分協(xié)商，并通過技術(shù)、合同、管理等措施落實(shí)合規(guī)要求。

（四）全面引入新型權(quán)利，增強(qiáng)用戶對個(gè)人數(shù)據(jù)“控制力”

在技術(shù)發(fā)展造成現(xiàn)有立法滯后的情形下，新規(guī)對數(shù)據(jù)主體的權(quán)利進(jìn)行了補(bǔ)充、完善，其中最引入注目的是“數(shù)據(jù)可攜權(quán)”，“被遺忘權(quán)”。盡管這兩項(xiàng)權(quán)利備受爭議，但從歐委會(huì)公布的消息看，這兩項(xiàng)權(quán)利被保留在法規(guī)最終版本中。

“個(gè)人數(shù)據(jù)可攜權(quán)”，是指用戶可以無障礙的將其個(gè)人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個(gè)信息服務(wù)提供者處轉(zhuǎn)移至另外一個(gè)信息服務(wù)提供者。例如facebook的用戶可以將其帳號中的照片以及其他資料轉(zhuǎn)移到其他社交網(wǎng)絡(luò)服務(wù)提供商。該規(guī)定要求不僅限于社交網(wǎng)絡(luò)服務(wù)，還包括云計(jì)算、網(wǎng)絡(luò)服務(wù)以及智能手機(jī)應(yīng)用等自動(dòng)數(shù)據(jù)處理系統(tǒng)。信息控制者不僅無權(quán)干涉信息主體的此項(xiàng)權(quán)利，還需要配合用戶提供數(shù)據(jù)文本。數(shù)據(jù)可攜權(quán)的出現(xiàn)不僅強(qiáng)化了用戶對個(gè)人信息的管理、控制，更有利于用戶充分實(shí)現(xiàn)對信息服務(wù)的選擇權(quán)。

“被遺忘權(quán)”，當(dāng)用戶不再希望個(gè)人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒有合法理由保存該數(shù)據(jù)，用戶有權(quán)要求刪除數(shù)據(jù)。在歐洲法院裁決《歐盟數(shù)據(jù)指令》無效的大背景下，歐盟各國陸續(xù)通過立法縮短數(shù)據(jù)留存的時(shí)間，從過去的六個(gè)月甚至2年縮短到數(shù)周。這意味著用戶能夠?qū)崿F(xiàn)“遺忘權(quán)”的機(jī)會(huì)大大增加。

（五）“數(shù)據(jù)保護(hù)官”為法定標(biāo)配

為保證企業(yè)有效實(shí)施法規(guī)。歐盟要求數(shù)據(jù)控制者必須設(shè)立數(shù)據(jù)保護(hù)官“data protection officer”。事實(shí)上，歐美大型企業(yè)中設(shè)置專門隱私保護(hù)官已是普遍現(xiàn)象。這一崗位并不是虛職，歐盟成員國的立法，有的明確規(guī)定了數(shù)據(jù)保護(hù)官的法定職責(zé)，在企業(yè)違法情況下，數(shù)據(jù)保護(hù)官將被追究法律責(zé)任。

（六）“同意”必須是明示的，且用戶可撤銷

1995年指令第2條并沒有規(guī)定同意應(yīng)當(dāng)是“明示同意”還是“默認(rèn)同意”，此次新規(guī)對該問題予以回應(yīng)。 “同意”必須是明示的“同意”，而不得被推定為“同意”。一個(gè)有效合法的同意，其要件包括：用戶必須被告知充分的相關(guān)信息，自由地做出明確同意的意思表示，不得附帶任何條件。更重要的是，數(shù)據(jù)控制者必須告知用戶，用戶有權(quán)撤銷同意。

（七）違法處罰額度以企業(yè)的全球營業(yè)總額為基準(zhǔn)

新規(guī)大大提升了違法處罰力度：

第一類違規(guī)行為：沒有為用戶獲得個(gè)人數(shù)據(jù)提供相應(yīng)機(jī)制，沒有及時(shí)響應(yīng)用戶獲得個(gè)人數(shù)據(jù)的請求。最高將被處以全球營業(yè)總額的0.5%；

第二類違規(guī)行為：沒有合法理由，拒絕用戶刪除個(gè)人數(shù)據(jù)的請求；沒有建立本企業(yè)對用戶數(shù)據(jù)保護(hù)的文檔化管理，最高將被處以以全球營業(yè)總額的1%；

第三類違規(guī)行為：非法處理個(gè)人數(shù)據(jù)；沒有合法理由，拒絕用戶關(guān)于停止處理個(gè)人數(shù)據(jù)的請求；在數(shù)據(jù)泄露事故放生之后，沒有及時(shí)通知監(jiān)管機(jī)構(gòu)；沒有執(zhí)行隱私風(fēng)險(xiǎn)評估；沒有任命數(shù)據(jù)保護(hù)官，違法向第三國傳輸個(gè)人數(shù)據(jù)；最高將被處以全球營業(yè)總額的2%。

三、針對大數(shù)據(jù)分析、數(shù)據(jù)畫像的特別規(guī)范

歐盟對大數(shù)據(jù)帶來的個(gè)人數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)做出了全面深入分析，對大數(shù)據(jù)數(shù)據(jù)畫像（profiling）、數(shù)據(jù)分析活動(dòng)做出了更為系統(tǒng)嚴(yán)密的規(guī)范。

根據(jù)草案，“數(shù)據(jù)畫像”被定義成一個(gè)內(nèi)涵豐富的概念，它是指：“任何通過自動(dòng)化方式處理個(gè)人數(shù)據(jù)的活動(dòng)，該活動(dòng)服務(wù)于評估個(gè)人的特定方面，或者專門分析及預(yù)測個(gè)人的特定方面，包括工作表現(xiàn)，經(jīng)濟(jì)狀況、位置、健康狀況、個(gè)人偏好，可信賴度或者行為表現(xiàn)等。這一概念被普遍認(rèn)為能夠覆蓋目前大多數(shù)利用個(gè)人數(shù)據(jù)的大數(shù)據(jù)分析活動(dòng)。例如對個(gè)人偏好的分析，可涵蓋市場中最普遍的大數(shù)據(jù)分析市場營銷活動(dòng)。

 2/4   首頁 上一頁 1 2 3 4 下一頁 尾頁