欧盟《通用数据保护规章》(GDPR) 个人解读系列 - 【1】GDPR介绍

前言

近些年来，随着对于用户数据及个人隐私保护的重视，世界各国相继出台了各式各样针对这方面的法律条例。这些条例的目的就是为了保护用户/消费者的数据及隐私的安全，通过足够多的罚款来制约违反条例的企业。

而这些法律条规中，欧盟的通用数据保护规章（也有叫条例的，GDPR）的实施尤其出名。GDPR规定并建立了保护与互联网中、现实世界里行为相关的数字个人数据的新标准。该标准适用于任何产品中涉及到欧盟互联网用户私人数据的公司，无论这个公司在哪。

注：本系列文章纯属个人观点，是自己在学习了解欧盟GDPR各项条款过程中的一些理解与感悟。若有任何不对的地方，欢迎指正~

什么是GDPR？

GDPR，全称是GENERAL DATA PROTECTION REGULATION，即通用数据保护规章。

The General Data Protection Regulation (GDPR), the Data Protection Law Enforcement Directive and other rules concerning the protection of personal data.
Simply put, if you have customers in an EU country and collect data about those customers as a result of your business transactions, you are subject to the provisions of the GDPR. This is because the size and scope of a company mean that any company with an internet presence can potentially be the subject of this law. They will be a business that does business with EU citizens, regardless of location or business.

官方的解释就是，GDPR 是欧盟有关个人数据保护的数据保护法律执行指令和规则。由于GDPR是一项法规（regulation），因此具有直接的约束力和适用性。它规定了公司如何使用欧盟公民的个人数据（无论公司是否处于欧盟内）以及该如何合法处理这些数据。

也就是说，如果你的公司在某个欧盟国家拥有客户并且公司业务会涉及到收集客户数据，那么你的公司就必须遵守GDPR的规定（无论是否盈利，无论是否只是“试探性出海”）。这是因为任何需要互联网网络存在的公司具有的规模和业务范围，只要这些公司将会与欧盟公民有商业上的往来（无论公司地点在哪或者是什么业务），都意味着可能会成为该法律的遵守者。

GDPR的发展历史

《通用数据保护规章》(GDPR)是欧洲议会在2016年4月14日以392票赞成，0票弃权，0票弃权通过的；并且于2018年5月25日开始强制执行。

其前身有1981年的《个人数据保护公约》以及1995年的《个人数据保护指令》 （Data Protection Directive 95/46/EC）。

GDPR的“威力”

总体可以概括为：

1. 扩大了域外适用效力。只要实体机构与数据控制者/处理者之间存在“无可摆脱的联系”，那么数据处理行为无论是否发生在欧盟境内，都会受到GDPR的拘束。
2. 扩张了数据主体权利。以数据主体“知情，同意”为基本框架，规定了数据主体5方面的权利，包括透明度与模式、知情权与对数据的访问、更正与删除、反对权与自动化决策、权利限制等。
3. 强化了数据控制者/处理者的问责。更多地以企业内部合规性义务规定推进 GDPR 的实施落地。
4. 丰富了数据跨境流动机制。
5. 优化了数据保护监管体制。

真实案例

因为GDPR规定了“任何违反GDPR的违法行为将导致最高2000万美金或母公司全球上一财年所有营业额4%的罚金，二者取金额大者”，因此可以说惩罚力度是非常之大（当然，如果被欧盟当局评估为非故意的安全漏洞，可能比系统性或公然违反规则的处罚要低）。

下面是一些真实的处罚案例：

1. 2021 年7月，亚马逊因为其“cookie同意协议”，收到了€7.46亿欧元 (约$8.7亿美金)的罚款
2. 爱尔兰对WhatsApp 处以2.25亿欧元（约2.55亿美金）的GDPR罚款，原因是其通讯服务未能在隐私通知中合理解释公司关于数据处理的做法
3. 法国数据保护机构(CNIL)于2022年1月，因为谷歌欧洲分部在YouTube上实施的cookie同意协议不合规，对谷歌爱尔兰分部和位于加州的谷歌总部处以9千万欧元（约1.02亿美金）的巨额罚款
4. 2022年1月，Facebook的母公司Meta收到了法国数据保护机构国家数据保护委员会(CNIL)关于GDPR约6千万欧元（约6800万美元）的罚款
5. 2020年1月，意大利电信运营商TIM(也称为意大利电信)被意大利数据保护局加兰特(Garante)处以2780万欧元（约3150万美元）的GDPR罚款
6. 2020年10月，英国航空公司(British Airways) 因2018年未能保护40多万名客户的个人和财务信息的违规行为，被英国信息专员办公室(ICO)处以2200万欧元（约2600万美元）的罚款
7. 2020年10月，英国信息委员办公室（ICO）表示，万豪国际被处于2040万欧元（约合2380万美元）罚款，因为其“未能按照GDPR的要求，采取适当的技术或组织措施，保护其系统上正在处理的个人数据”
8. 2022年2月，意大利数据保护局加兰特(Garante)因为Clearview AI面部识别产品问题，对其处以2000万欧元（约2050万美元）的罚款

“威力”总结

总结一下，哪些企业会是欧盟重点的监管对象呢？

1. 巨型互联网企业，例如Meta（脸书）, Google, Amazon等
2. 收到举报的企业，举报可能来自于竞争对手
3. 可能存在数据泄露或已发生数据泄露的企业

GDPR的大概章节

GDPR分为总共11个章节，99个条款：

1. 通用条款
2. 准则
3. 数据主体的权利
4. 数据控制者和数据处理者
5. 专业个人数据到第三方国家或则国际组织
6. 独立的监管机构
7. 合作和一致性
8. 补救措施，责任和处罚
9. 有关具体处理情况的规定
10. 授权行为和实施行为
11. 最终条款

后面系列的文章，我们会针对一个个条款进行学习和理解。