近日彭博社表示,因違反歐盟《一般資料保護規範》(GDPR),亞馬遜可能面臨7.46億歐元(約合8.88億美元)的天價罰款。這可能將是歐盟有史以來最大的數據隱私洩露罰款。
7月30日,亞馬遜在一份監管文件中,披露了盧森堡的數據保護委員會CNPD,於7月16日的決定。
該決定表示,歐洲的數據保護監管機構有權對亞馬遜處以全球年銷售額4%的罰款。不過,這筆罰款金額並沒達到這個數字。
堪稱史上最嚴格的個人資訊保護法GDPR,可以說讓歐洲各大企業「人人自危」。其中有一條規定就足以讓企業「聞風喪膽」:如發現嚴重違規,最高可罰2000萬歐元或企業上一財年全球營業總額的4%,以較高者為準。
昂楷科技CEO劉永波曾表示,GDPR除了天價罰單,最值得關注的點,應該是它作為一個專門保護個人資訊法案的祭出。普通的個體並不是這些資訊保護法案的主要針對者,而GDPR第一次把目標明確地指向了相對弱勢的個人。
普通用戶的數據一直被濫用
在過去十幾年互聯網的快速發展中,個人資訊正在大規模地被各類企事業組織所採用,無論是叫車、外送、網購,還是在公共服務領域,都會大規模採集公民個人資訊,近年來有關個人資訊洩露的案例更是數不勝數,所以這個問題是全球各個國家都正在面對的。
而GDPR的到來,讓人驚呼,從未有一部法案對個人資訊的保護規定的如此周詳。
例如,我們身邊經常出現過於精準的廣告推送,在淘寶上刷到了某款心儀的產品,結果在微博也看到了相關的推送。從廣告匹配的實現原理上說,它是在用戶訪問網站時,在你的瀏覽器裡寫入一些 Cookies,淘寶通過其廣告平台來利用這些Cookies對應顯示更為精準的廣告。
雖說近年來我們已經對這種精準的廣告推送習以為常,但這背後的操作在GDPR這裡是違規的。
為什麼說GDPR堪稱最嚴?劉永波從授權、適用範圍和撤回這三個具有代表性的條例來分析。
1、從授權來講
數據的收集必須事先徵得數據主體的同意,而且「同意」必須是具體的、清晰的,是用戶在充分知情的前提下自由做出的,不能是以非常隱晦的手段。因為用戶在這種情況下是處於弱勢地位的,特別是一些常用的App,為了生活的便捷,很多人不得不選擇同意。
比如常見的方式是以小字號淡顏色甚至缺省方式獲取用戶的授權,通過冗長晦澀的隱私政策來獲取用戶同意,或者讓用戶在簽訂業務協議時通過「打勾」作出一籃子授權,都可能被認定為違規。
2、對於數據使用的範圍,更加嚴格
如果企業將數據使用的範圍擴大,無論是將數據提供給了第三方,還是把數據作為企業對外服務的一部分(比如提供給廣告企業作為營銷推廣對象,或者作為對外發布的報告中的案例),都必須重新獲取數據主體的授權和同意。
以我們剛剛提到的淘寶和微博為例,根據GDPR的要求,如果以後遇到類似微博要用淘寶數據的情況,必須明確告知用戶使用理由和範圍,並獲得明確同意。
3、GDPR賦予數據主體可以隨時撤回同意的權利
如果這組數據已經傳播出去,或者給第三方使用了,企業還有責任通知數據的使用者刪除。
比如在線上發文,如果牽扯上他人隱私,當事人要求刪除,如果按照GDPR的條例,該貼文就必須刪除。
可以這樣說,GDPR賦予了數據主體更為明確的同意權、訪問權、更正權、被遺忘權、限制處理權、拒絕權及自動化自決權等廣泛的權利和自由。
也許有人會認為,如此嚴格的GDPR會妨礙部分企業的發展,對於手握大量數據的公司而言,很難辦。
劉永波表示,對於在海外開設分公司的國內企業,只要為歐盟境內的數據主體提供了服務,即使其在歐盟境內沒有設立任何分支機構,也依然受到GDPR的管轄。
GDPR的到來,對於企業而言,無論與通訊有關的廠商,還是為用戶提供服務的App公司,未來在數據的收集、駐留尤其是在雲端上的數據流轉和使用,將會更為嚴格。比如為了達到更為明確的知情權,企業就要重新搭建一個新的系統,讓用戶選擇同意與否,這些都會增加企業的成本,而這些成本,未來還是要轉移到用戶身上的。
為了合規,也需要很多廠商一起拿解決方案,眾多產品和技術要重新規劃,不過整個歐盟用統一的規則,也避免了企業根據各個國家的不同要求而進行調整。
從長遠來看,GDPR對行業的發展是有好處的。
正如劉永波所言:「好比說開車,如果沒有交通的管制,車還少的時候,肯定是很舒服的,但如果到了早晚高峰期,不制定相應的規則,是很可怕的,大家都說人工智慧需要算法,但如果算法的數據來源本身就是違規的,這樣的算法你還敢用嗎?」
亞馬遜不會是最後一個被罰的企業
亞馬遜之前,在歐盟最大的中槍者是谷歌。
2019年1月22日,谷歌被法國隱私監管機構國家資訊與自由委員會(CNIL),處以5000萬歐元(約合5700萬美元)的巨額罰款。
CNIL曾表示,用戶在訪問谷歌提供的資訊時,需要五、六個繁瑣的步驟,即便完成後,依然不能獲取完整的資訊。這違反了GDPR有關透明度和資訊的規定,並且谷歌也違法向用戶推送個人化廣告。
如今,全球的科技巨頭們正在成為全球各國反壟斷的重點監管對象,而亞馬遜也不會是最後一個被罰的企業。
本文為雷鋒網授權刊登,原文標題為「當亞馬遜遇上了GDPR」