欧盟数据保护新法意义重大.docVIP

PAGE  PAGE 10 欧盟数据保护新法意义重大 　　2015年8月24日，随着一声枪响，美国新奥尔良神学院的教授兼牧师约翰?吉布森倒在了血泊之中。他是全球最著名的“偷情网站” Ashley Madison的注册用户，也是在黑客公布了370万Ashley Madison用户账户信息后，第一个因检索到自己的信息而自杀的人。 　　Ashley Madison是一家专门为已婚人士提供交友、约会服务的社交网站，其口号是“人生短暂，偷情无限”。为了免除用户的后顾之忧，Ashley Madison承诺注册用户只要交纳19美元就能把个人信息在系统中完全删除。 　　不幸的是，Ashley Madison网站遭到黑客攻击，3750万注册用户的个人数据、公司财务记录和其他机密信息被盗。 　　黑客组织表示，之所以发动攻击，是因为Ashley Madison网站关于完全删除用户信息的承诺就是一个谎言。若Ashley Madison不立刻永久关闭网站，黑客组织将曝光所有用户的信息。随后，黑客逐步公布用户信息，并酿成了约翰?吉布森自杀的惨剧。 　　在大数据时代，每个人都通过各种各样的设备将自己的信息上传至互联网。无论是手机、汽车、可穿戴设备、家庭路由器，还是遍布城乡的监控网，都记录下你的活动、交往、健康和娱乐信息。对于充分占有这些信息的企业和组织来说，你就是无可遁形的透明人，在大数据时代里裸奔。 欧盟数据保护立法史 　　2015年12月15日，欧盟执委会（European Commission）通过了《一般数据保护条例》（General Data Protection Regulation，简称GDPR），以欧盟法规的形式确定了对个人数据的保护原则和监管方式，这将真正保护大众，令其避免陷入裸奔尴尬。 　　欧盟的数据保护历史可以追溯到上世纪90年代。欧盟1995年通过了《数据保护指令》（即“95指令”，全名为PROPOSAL FOR A COUNCIL DIRECTIVE CONCERNING THE PROTECTION OF INDIVIDUALS IN RELATION TO THE PROCESSING OF PERSONAL DATA），为欧盟成员国立法保护个人数据设立了最低标准。 　　在20年前制定“95指令”时，互联网还没有广泛被大众使用，个人数据的收集及处理只是限定在用户名、地址及相对简单的金融信息等。 　　但随着互联网飞速发展，24小时实时在线的移动互联网和社交应用，使人们每天的生活乃至地理位置信息都成为暴露的对象。“95指令”中包含的访问权（即用户有权访问他们的信息并且修改不当的地方，目的是确保信息的正确性）已经不能满足用户的需求，用户转而寻求对个人数据的控制权。 　　互联网新技术的发展和用户控制需求的变化，使“95指令”为代表的传统数据保护框架亟待重大更新。 　　欧盟第一次修正努力始于2002年。欧盟在当年7月12日发布的《隐私与电子通讯指令》（Directive on privacy and electronic communications，Directive 2002/58/EC）中，详细规定了通信和互联网服务商需要采取适当的措施，保证通信和互联网服务的安全性；禁止在未征得用户同意的情况下存储和使用用户的数据；服务提供商应该保障用户的知情权，如告知用户所收集的数据及进一步处理此类数据的意图和用户有权不同意等。 　　这一次个人数据保护修正的内容确定了未来互联网个人数据保护的基本原则，但是在具体操作层面还较为粗略，也缺乏明确的违规惩罚措施。 　　2009年11月25日，欧盟对个人数据保护措施又进行了一次重要修正，通过了《欧洲Cookie指令》（EU Cookie Directive，DIRECTIVE 2009/136/EC），并确定其于2011年5月25日在欧盟正式启用。 　　《欧洲Cookie指令》的核心内容，是对电子商务中Cookie的使用加以规范和必要的信息披露管理。 　　Cookie是互联网常用的用户跟踪和识别技术。用户在使用浏览器进行网站内容浏览时，网站可以在用户电脑本地存放Cookie以识别和记录用户的登录、浏览和购买信息。 　　尽管Cookie可以被用户手工操作关闭，但对于绝大多数非IT背景的用户来说，如果网站在未明确提示下使用Cookie记录相关信息，用户是毫无察觉的。 　　2002年的《隐私与电子通讯指令》要求网站告知用户启用Cookie及如何删除或作废Cookie，但绝大多数网站都会把这部分内容放置在用户注册时必须“同意”的用户协议中，而协议内容几乎没有用户真的会去完整阅读。 　　《欧洲Cookie指令》则要求网站在用户初始使用时网站必须关闭Cookie的