最严数据保护法案GDPR正式生效
卡利希先生在办公室介绍其公司系统升级经验。记者 毛黎 摄
欧盟于2016年通过的《一般数据保护法案》(GDPR)5月25日正式生效。GDPR堪称史上最严格的数据保护法案,它的实施代表着欧盟对个人信息保护及其监管达到了前所未有的高度。以色列法律专家杰伊·卡利希先生日前接受科技日报记者采访时表示,面对欧盟的新规,相关机构或公司必须迅速行动起来,采取有效措施加强其个人数据系统的保护,避免因数据处理不当违反GDPR规定而造成巨大损失。
基本内容
个人数据是与个人相关的信息,覆盖面相当广泛,涉及个人隐私、职业和正常生活,它可以是任何名称、照片、电子邮件地址、银行详细信息、社交网站上的帖子、医疗信息,甚至计算机的IP地址。通常,个人数据在全球的公司和国家间传输和交换,作为个人却无法控制自己的数据。
新出台的GDPR旨在加强和保护个人在数据保护方面的基本权利,包括访问数据和删除数据的权利,让人们重新控制其数据。另外,GDPR规定任何机构不能无故收集个人数据,如合法收集个人数据,则必须证明自己在尽全力保护所收集的数据。
任何机构应尊重GDPR中规定的数据管理原则并协助数据当事人实现其权利,同时应接受隐私设计、进行隐私影响评估、指定数据保护人员或代表,并遵守个人数据违规和通知责任,以减少隐私侵权风险。
处罚细则
按照GDPR的规定,欧盟监督机构可以自行决定调查数据掌握机构,也可以在收到数据当事人的投诉后,决定是否实施行政处罚,并根据具体情况核定处罚金额。
GDPR中为不同的违规行为设定了不同的标准。例如,未采取适当的技术或管理措施来避免或降低隐私侵权风险的个人数据掌握机构,将被罚款1000万欧元或全球营业额的2%(以较高者为准);违反处理个人数据的基本原则或不保护数据主体权利的,将被罚款2000万欧元或全球营业额的4%(以较高者为准)。
卡利希表示,仅仅看一眼违规可能带来的高额处罚,任何掌握有欧盟国家个人数据的机构就应该明白问题的严重性,且不能存有幻想或侥幸心理。他相信,欧盟对GDPR的执行是认真的,预计在未来数月内,人们将目睹有机构因违规被处罚,而且极有可能是最高限额。他的推断让人感觉欧盟似乎有意通过处理首起案件收到杀一儆百的效果。
涉及范围
虽然GDPR针对的是欧盟国家的个人数据掌握机构,但是其涉及范围扩展到所有欧盟以外掌握有欧盟国家个人数据的机构。卡利希说,无论你在欧盟之外的哪个国家,只要你与欧盟国家打交道,管理或处理有欧盟国家的个人数据,那么GDPR就适用你,也就是说你必须遵守GDPR的规则。
不久前,卡利希参加与GDPR相关的国际会议。他说,在那次会议上,有学者根据调查分析推断,在5月25日GDPR生效时,从全球范围内看,只有30%至35%的机构在个人数据的管理和处理方面能够达到欧盟的要求。
作为以色列著名的股权众筹公司——OurCrowd的法律总顾问,卡利希十分自豪——5月25日前的数周,公司已完成了全部系统的升级,完全符合GDPR的规定。他同时表示,以色列的个人数据保护规定与欧盟的类似,公司个人数据管理达到欧盟标准,也就符合以色列法律的要求。
采取行动
卡利希表示,按GDPR要求对机构系统升级并非轻而易举的事情,它需要周密的计划和各部门的大力配合。他说,为实现升级目标,OurCrowd公司聘请专业法律事务所,制定了升级实施细则,成立了以公司法律人员和IT人员为核心的升级专项组。在长达6个月的升级过程中,IT人员不仅要对公司内部人员培训以提高他们对升级重要性的认识,而且还协助各部门人员完成具体的升级操作。卡利希认为,IT人员在系统升级中发挥了关键作用。
对于至今仍没有与GDPR并轨的非欧盟国家机构或组织,卡利希建议,如果其业务涉及欧盟国家个人的数据,那么必须迅速采取积极的行动,尽快升级自己的数据系统,采取满足欧盟要求的数据保护措施,避免受罚。(来源:科技日报 记者 毛黎)