(三)外围IT厂商也将受到新规影响
新规建立了“隐私保护设计”制度(Privacy by design,PbD)。要求产品或服务的整个生命周期都贯穿隐私和数据保护,包括从最早的设计阶段,到产品投放市场、使用直至最终停止使用,都将考虑数据保护合规因素。正是这一制度将IT厂商间接纳入新规体系之下。
新规要求设备生产,IT厂商所提供的解决方案能够使得其客户符合用户数据保护合规要求。在过去,IT厂商,包括软件商,系统集成商,数据分析商,从未在服务合同中考虑过客户的个人数据保护问题,但在新规生效后,这将是IT厂商面临的新课题。落实隐私保护设计制度要求,意味着各类涉及用户个人数据的产品或和业务线,在业务设计的最初阶段,就需要与IT厂商充分协商,并通过技术、合同、管理等措施落实合规要求。
(四)全面引入新型权利,增强用户对个人数据“控制力”
在技术发展造成现有立法滞后的情形下,新规对数据主体的权利进行了补充、完善,其中最引入注目的是“数据可携权”,“被遗忘权”。尽管这两项权利备受争议,但从欧委会公布的消息看,这两项权利被保留在法规最终版本中。
“个人数据可携权”,是指用户可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者。例如facebook的用户可以将其帐号中的照片以及其他资料转移到其他社交网络服务提供商。该规定要求不仅限于社交网络服务,还包括云计算、网络服务以及智能手机应用等自动数据处理系统。信息控制者不仅无权干涉信息主体的此项权利,还需要配合用户提供数据文本。数据可携权的出现不仅强化了用户对个人信息的管理、控制,更有利于用户充分实现对信息服务的选择权。
“被遗忘权”,当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据,用户有权要求删除数据。在欧洲法院裁决《欧盟数据指令》无效的大背景下,欧盟各国陆续通过立法缩短数据留存的时间,从过去的六个月甚至2年缩短到数周。这意味着用户能够实现“遗忘权”的机会大大增加。
(五)“数据保护官”为法定标配
为保证企业有效实施法规。欧盟要求数据控制者必须设立数据保护官“data protection officer”。事实上,欧美大型企业中设置专门隐私保护官已是普遍现象。这一岗位并不是虚职,欧盟成员国的立法,有的明确规定了数据保护官的法定职责,在企业违法情况下,数据保护官将被追究法律责任。
(六)“同意”必须是明示的,且用户可撤销
1995年指令第2条并没有规定同意应当是“明示同意”还是“默认同意”,此次新规对该问题予以回应。 “同意”必须是明示的“同意”,而不得被推定为“同意”。一个有效合法的同意,其要件包括:用户必须被告知充分的相关信息,自由地做出明确同意的意思表示,不得附带任何条件。更重要的是,数据控制者必须告知用户,用户有权撤销同意。
(七)违法处罚额度以企业的全球营业总额为基准
新规大大提升了违法处罚力度:
第一类违规行为:没有为用户获得个人数据提供相应机制,没有及时响应用户获得个人数据的请求。最高将被处以全球营业总额的0.5%;
第二类违规行为:没有合法理由,拒绝用户删除个人数据的请求;没有建立本企业对用户数据保护的文档化管理,最高将被处以以全球营业总额的1%;
第三类违规行为:非法处理个人数据;没有合法理由,拒绝用户关于停止处理个人数据的请求;在数据泄露事故放生之后,没有及时通知监管机构;没有执行隐私风险评估;没有任命数据保护官,违法向第三国传输个人数据;最高将被处以全球营业总额的2%。
三、针对大数据分析、数据画像的特别规范
欧盟对大数据带来的个人数据保护风险做出了全面深入分析,对大数据数据画像(profiling)、数据分析活动做出了更为系统严密的规范。
根据草案,“数据画像”被定义成一个内涵丰富的概念,它是指:“任何通过自动化方式处理个人数据的活动,该活动服务于评估个人的特定方面,或者专门分析及预测个人的特定方面,包括工作表现,经济状况、位置、健康状况、个人偏好,可信赖度或者行为表现等。这一概念被普遍认为能够覆盖目前大多数利用个人数据的大数据分析活动。例如对个人偏好的分析,可涵盖市场中最普遍的大数据分析市场营销活动。