成都申请专利代办_成都注册商标申请代办公司

主页 > 新闻中心 >

2018欧盟通用数据保护条例公开!

 

 
欧盟通用数据保护条例简称GDPR(General Data Protection Regulation)。旨在保护所有欧盟个人(条例中称为“数据主体”)的数据安全和隐私,欧盟于2016年四月通过了GDPR。所有收集或处理用户个人数据的企业有两年的时间来达到合规要求。GDPR着重于限制企业使用用户数据的权力以防止滥用,并使收集数据处理数据的过程对数据主体更加公开透明。GDPR还给予了数据主体更多控制自己的数据的权利。比如当一家公司拥有某数据主体的个人信息时,该数据主体可以要求公司修改错误的个人信息,可以要求公司提供一份包含自己所有个人数据的备份,甚至在某些情况下可以让公司彻底删除所有有关自己个人信息的数据(被遗忘权)。
 
GDPR并不仅仅适用于欧盟内的企业。对于欧盟以外的企业而言,只要业务涉及到处理欧盟内数据主体的个人信息,都需要满足GDPR的要求。并且根据法案中的定义,欧盟内数据主体并不单单指欧盟公民,任何身处欧盟的个人,比如游客,都受到GDPR的保护。所以这项法案的适用范围非常广泛。
 
除此之外,GDPR将严惩不合规的企业。这项法案设立了两个等级的行政罚款标准。较低的一级适用于类似未能及时公布数据泄露事故等违规行为。这个等级的罚金最高可达1000万欧元或者该违规企业全球年收益的2%,两者取最大值。较高一级的处罚适用于严重违反数据主体权利的行为。罚金最高可达2000万欧元或者全球年收益的4%,同样两者取最大值。对于很多企业来讲,年收益的4%可能占到了利润的很大一部分。法案中规定罚金的数额必须是“有效力的,均衡的,有警示性的”(effective, proportionate and dissuasive),因此一些分析师认为不太可能出现如此巨额的罚金。
 
处罚标准的设置方案导致了GDPR将对中小企业有更大影响。对于中小企业而言,1000万欧元可能远高于2%的年收益,所以相比于大企业,中小企业最终将损失更多利润率。此外,诸如Google和Facebook等大企业有更多技术资源来保护数据,也有更多法律资源来实现合规。根据安全研究公司Crowd Research Partners的调查,在被问及实现GDPR合规过程中最大的挑战时,有43%的企业表示缺乏相关的专业员工,有40%的企业表示缺乏资金来达到规定的每项要求。总之,很多企业将面临是选择投入大量资金来合规还是选择支付巨额罚金的困境。
 
GDPR才生效数月时间,关于企业如何合规以及法案如何被执行还有很多不确定性。但对于个人信息的保护而言,是一个好的开端。也许未来,类似Facebook-Cambridge Analytica的丑闻将不再重演。