关于欧盟《通用数据保护条例》生效的五大问题

图片来源： Oscilloscope

欧盟隐私监管机构周五将开始执行名为《通用数据保护条例》(General Data Protection Regulation, 简称GDPR)的新隐私保护法。以下是关于新法实施的一些常见问题。

周五将有哪些实质性变化？

该条例在2016年颁布，两年的宽限期结束后，欧盟成员国的数据保护部门将开始执行新的法律。隐私律师预计，监管机构将首先审查最严重的违法者，向最容易证明的违规行为下手，来展示法律的威力。而那些持有少量数据的家庭式小商店（可能上个月才发现他们也是执法对象）可能会有更多时间。爱尔兰数据保护副专员Dale Sunderland称，该部门也将严查风险最大的领域。

欧盟现行隐私法律还不够严格吗？

新法以1995年的旧版欧盟隐私条例为基础，新增了许多具体内容，包括个人可享有的新权利和企业需履行的新责任。新法大幅提高了罚款额，最高罚款可达企业全球年收入的4%或2,000万欧元（合2,340万美元），以金额大者为准。另一个新内容是：新法明确，即便企业在欧盟没有实体存在，但只要其业务目标是欧盟的用户，新法即对此类企业适用。

企业需要做什么？

新法规定，企业只能收集完成相应任务所需的数据，且一旦不再需要，所收集的数据必须立即删除。在很多情况下，企业需要评估新产品或服务对隐私构成的影响，这被称为“从设计着手保护隐私”。此外，企业需就如何及为何使用个人数据向个人用户做出清晰易懂的说明。

现在每家企业都需要征得每个个人的同意吗？

并不需要。新法要求公司就他们如何收集和使用每项个人信息做出说明，而获得个人同意是为数不多的被允许理由之一，在欧盟隐私术语中被称为“法律基础”。但也存在适用于企业的一些例外情况。例如，一家披萨店可以在送披萨时收集顾客地址，这从法律上讲叫“合约必要性”，因为商店需要顾客地址来履行送披萨的合同。公司也可以藉助自己的“合法权益”，但有责任显示他们的权益不会凌驾于个人隐私权之上。这涉及给予个人停止提供数据和其他保护的选项，否则可能面临罚款。

根据新法，个人享有什么权利？

该法覆盖的个人可以要求查看被公司持有的所有其个人信息，还可以要求更正或删除信息，但也有一些例外情况，比如出于新闻目的查看。个人还可以要求在涉及金融或法律等重大事项时不接受自动决策。公司有责任表明他们对个人行使此类权利的要求做出了回应，否则将面临罚款。

SAM SCHECHNER

（本文版权归道琼斯公司所有，未经许可不得翻译或转载。）

道琼斯公司创建于1882年，拥有道琼斯指数、Factiva、巴伦周刊、华尔街日报等众多品牌。“道琼斯风险合规”是道琼斯公司旗下专业的全球风险合规资讯服务品牌。获取更多信息，欢迎关注微信公众号或联系咨询：Julia.zhu@dowjones.com