銀行數據里有錢，隱私數據里有命，20個你不知道的GDPR知識點？!-西安汽車展

您所在的位置：主頁 > 西安汽車展 > 企業 > 正文

銀行數據里有錢，隱私數據里有命，20個你不知道的GDPR知識點？!

2021-03-05 05:01:49 來源：閱讀：-

出品：《親愛的數據》

原創：譚婧

2015年 8月24日，一聲槍響，一位時年56歲的美國牧師倒在了血泊之中，太陽穴四周被灼傷。他每天勤懇工作，待人和善。應該沒有人會知道他是“偷情社交網站” Ashley Madison的老用戶。然而，這件不匹配神職人員身份的事，終究沒有藏住。

黑客攻入網站，曝光了370萬該網站賬戶信息。此事之后，他在互聯網上搜到了自己的偷情“史”。失業、非議、眼光……可能是壓垮了，他舉起了槍。

他叫約翰·吉布森，一個因為網絡隱私泄露而自殺的現代人。

吉布森的妻子失去丈夫，女兒失去父親……越來越多的網民們也在失去隱私。互聯網隱私問題就好比，全世界都在流血，從前也一直在流血，血像瀑布樣奔騰直瀉，像倒香檳一樣汩汩流淌。

在中國，個人行蹤軌跡已經成為法定公民個人信息（《刑法》第253條）。但是，敢問又有幾個人在意隱私數據，不如現在打開iPhone手機，復查一下“定位”、“廣告追蹤功能”吧。

為了生動說明什么是“個人數據保護”，歐盟委員會“不賣悲，不賣慘，不催淚”。請了一位帥哥在公益廣告里，上演一名男子“一絲不掛”城市一日游。不惜“辣眼睛”來博取關注度。這個視頻掛在歐盟委員官網，數據保護專題里。

出品：《親愛的數據》

很清楚，歐盟將“公共場合裸奔”與“個人數據保護不足”劃等號。

是時候出臺一項強制性法律，保護自然人的“個人數據”了——《一般數據保護條例》英文名General Data Protection Regulation（GDPR）。它是在“七大洲四大洋”巡邏的警察，一股沖向四海八荒的力量。

據Gartner說，全球智能手機銷量2020年將達到15.7億部，預計2023年全球智能手機連接數將達65.7億。僅這種貼身使用的電子設備，每天產生的“個人數據”的規模就在不停增長、軟硬件迭代快、科技發展變數大……這一切都將提高“個人維權，企業守法”的難度系數。

出品：《親愛的數據》

想要保護得好，又不能穿太重的防彈衣。這時候就需要平衡這門“藝術”。立法者在隱私保護和科技創新之間取得一個平衡，以免妨礙科技發展。

你以為歐盟的法太嚴，那就放棄這個5億發達人口的市場，這事干脆就結束了。恐怕想錯了。《一般數據保護條例》被譽為“歐盟數據憲章”，有很多知識點，也有很多“但書（proviso）”，即很多例外，也就是“對特別情形和例外情況進行了十分細致的規定”。Van Quathem律師認為：“與其說《一般數據保護條例》是一場革命，不如說是一次進化”。通讀整個條例，非常痛苦，一些知識點可能會有用。

需要注意的是，以下假設性舉例，都需要加上一句前提——“大多數情況下”。

1. 美國互聯網企業求生欲最強，《一般數據保護條例》出臺前，收到修正意見的數量高得罕見，超過4400份，而其中大部分意見來自于美國。歐盟高管說：“我們歐盟委員會（的人），并不反對來自大西洋彼岸的科技巨頭。但是前提是，他們必須守規矩。”

出品：《親愛的數據》

2. 假如一個歐洲人在新浪微博注冊了賬號，當想刪除賬號時，新浪微博應該無條件刪除，不得保留其它備份。2020年春節前，碾壓故宮地面的女奔馳車主默默地擦了擦眼淚，她的微博內容是她一條一條手動刪除的，但是賬號還在，印記擦不掉。

因為《一般數據保護條例》規定：“中國企業和向歐盟用戶提供服務”，也在其管轄范圍內。

出品：《親愛的數據》

3. 數據存的時間過長也可能被罰。2019年6月，在柏林，對德國最大的私人房地產所有者德國Deutsche Wohnen SE罰款1450萬歐元，原因圍繞在一些租戶的敏感數據上，公司缺少刪除這些數據的時間周期。

《一般數據保護條例》規定：“身份數據的保存期限不得超過實現及處理目的所需要的時間。”

出品：《親愛的數據》

數據能存多久？這個問題需要企業合理解釋存儲的目的。解釋不了，企業就沒有權超期存這些個數據。

4. 云計算服務商被“盯上”了，以前是哪個公司的數據，哪個公司負責到底，對于云計算廠商這種“基礎設備提供者”，大部分情況下，提出了同等要求。

5. 眼鏡、手套、手表、手環、服飾及鞋襪等穿戴式智能設備或者健康監測類產品的公司也被“盯上”，都屬于管理范圍內。

出品：《親愛的數據》

6. 不僅只約束企業，還約束公共管理機構。在很多國家，如果政府管理部門泄露數據，只是行政處罰，而政府部門管理的數據越來越多，潛在風險也越來越高。

《一般數據保護條例》的臺詞：“不要惹我，我兇起來，兄弟部門都不放過”。

7. 光有結果不行，把過程也得記清楚。公司必須建立個人數據操作監控記錄機制，以備檢查。因為《一般數據保護條例》規定：“企業和組織在對個人數據進行操作時，必須記錄所有的操作流程和步驟。”

8. 數據保護官的上任臺詞：“不要亂來，CEO我都不放過。” 因為數據保護官任期至少兩年，企業發生個人數據操作違規時，承擔相應的法律責任。

9. 在數據的自動化處理中，《一般數據保護條例》的約束非常細致，細到對“數據畫像（profiling）”這一類別進行了專門的規定，引言部分有十余條條款涉及或者提及。

10. 假想臺詞：“夠不上罰錢的，拉出去辱罵五分鐘。”監管機構的矯正能力并不僅限于罰金，包括：警告，申誡，要求數據控制者、處理者改正、要求對個人數據予以更正或擦除等。

11. 美國互聯網巨頭谷歌，亞馬遜和臉書，在《一般數據保護條例》出臺前，空前團結，組成了龐大的游說團，曾經在比利時的首都布魯塞爾歐洲議會總部所在地，展開了曠日持久的游說活動。

出品：《親愛的數據》

12. 假想臺詞：“屁股擦不干凈，還有可能會面臨無窮無盡的訴訟。”如果對個人數據進行了公開傳播，那么需要刪除時，不僅自己掌控的數據需要刪除，而且需要負責讓其他復制的人也刪除。以前，本來自己管好自己，現在，還得管副本，欲哭無淚。

13. 假設，一個房東想把從“貝殼找房APP”換成“自如租房APP”，就可以把關于房屋、家具的介紹直接導入另一個平臺。因為“數據可攜帶權”將使得個人可以在同類或相似服務的不同服務商之間輕松轉換。比如，要求銀行把自己支付數據轉移到另一家支付機構，從而促進服務競爭。這使得用戶要想棄用更容易了。

假想，羅斯柴爾德家族（美國最古老的富豪家族）打電話：“喂，你好啊，最近服務變差了，麻煩把我家族200年來所有生意相關賬戶的交易信息，轉移到中國建設銀行。要快！”

羅斯柴爾德家族（美國最古老的富豪家族）

14. 互聯網高利貸公司，就是P2P公司，一些追債的人會在個人用戶信息中收集了貸款人父母甚至朋友的信息。這類做法，明顯違反“數據最小化原則”。

因為，“企業所收集、處理的個人數據對其處理目的，應該準確、相關和必要。”

15. 手機通話記錄，除了你自己的手機號碼之外，還會有你和其他通過話的人的號碼。也就是說，個人數據可能同時關涉其他個人的數據，例如：通訊錄信息、電話記錄信息、聊天信息、郵件往來信息、轉賬記錄信息等等。行使“數據可攜帶權”時，則往往可能對其他第三方個人的基本權利帶來侵害。因為這些其他人根本沒有機會得知自己的數據被他人提交給了別人。

出品：《親愛的數據》

假如，歐洲也有一款微信app，為了實現 “數據可攜權”，同時，也得開發一個功能用于用戶數據的導出以及剔除涉及其他人數據，不允許“拔蘿卜帶出泥”。

16. 1995年，《一般數據保護條例》的親大哥《95指令》出生，親二哥《歐洲Cookie指令》2009年出生，歐洲在隱私保護方面已經有很長時間的積累。你以為《一般數據保護條例》是一個人在戰斗嗎?，他們是一家子在戰斗。（Cookie是互聯網常用的用戶跟蹤和識別技術。）

2019年6月，西班牙數據保護機構對低成本航空公司Vueling處以30000歐元罰款，因其違反有關cookie條款。

出品：《親愛的數據》

17. 事前知情不報也會被“清算”。因為《一般數據保護條例》規定，如果評估表明數據處理工作將會是高風險的，就應該向監管機構報備。

18. “發通知”不是讓公司方便，而是要群眾方便。如果公司想對數據進行處理，就必須要得到用戶的同意，是告知義務。Bisnode是歐洲最大的智能數據和分析供應商，1989年成立，在19個國家運營。公司以賺錢為目的，處理用戶數據的通知僅在公司網站上發布，2019年5月，在波蘭，它收到220000歐元罰單。