2015年8月24日,随着一声响,美国新奥尔良神学院的教授兼牧师约翰·吉布森倒在了血泊之中。他是全球最著名的“偷情网站” Ashley Madison的注册用户,也是在黑客公布了370万Ashley Madison用户账户信息后,第一个因检索到自己的信息而自杀的人。Ashley Madison是一家专门为已婚人士提供交友、约会服务的社交网站,其口号是“人生短暂,偷情无限”。为了免除用户的后顾之忧,Ashley Madison承诺注册用户只要交纳19美元就能把个人信息在系统中完全删除。 不幸的是,AshleyMadison网站遭到黑客攻击,3750万注册用户的个人数据、公司财务记录和其他机密信息被盗。黑客组织表示,之所以发动攻击,是因为Ashley Madison网站关于完全删除用户信息的承诺就是一个谎言。若AshleyMadison不立刻永久关闭网站,黑客组织将曝光所有用户的信息。随后,黑客逐步公布用户信息,并酿成了约翰·吉布森自杀的惨剧。
在大数据时代,每个人都通过各种各样的设备将自己的信息上传至互联网。无论是手机、汽车、可穿戴设备、家庭路由器,还是遍布城乡的监控网,都记录下你的活动、交往、健康和娱乐信息。对于充分占有这些信息的企业和组织来说,你就是无可遁形的透明人,在大数据时代里裸奔。
安全刀具
欧盟数据保护立法二十年
2015年12月15日,欧盟执委会(European Commission)通过了《一般数据保护条例》(GeneralData Protection Regulation,简称GDPR),以欧盟法规的形式确定了对个人数据的保护原则和监管方式,这将真正保护大众,令其避免陷入裸奔尴尬。
欧盟的数据保护历史可以追溯到上世纪九十年代。欧盟1995年通过了《数据保护指令》(即“95指令”,全名为PROPOSAL FOR A COUNCIL DIRECTIVECONCERNING THE PROTECTION OF INDIVIDUALS IN RELATION TO THE PROCESSING OFPERSONAL DATA),为欧盟成员国立法保护个人数据设立了最低标准。
在二十年前制定95指令时,互联网还没有广泛被大众使用,个人数据的收集及处理只是限定在用户名、地址及相对简单的金融信息等。但随着互联网飞速发展,24小时实时在线的移动互联网和社交应用,使人们每天的生活乃至地理位置信息都成为暴露的对象。95指令中包含的访问权(即用户有权访问他们的信息并且修改不当的地方,目的是确保信息的正确性)已经不能满足用户的需求,用户转而寻求对个人数据的控制权。互联网新技术的发展和用户控制需求的变化,使95指令为代表的传统数据保护框架亟待重大更新。
欧盟第一次修正努力始于2002年。欧盟在当年7月12日发布的《隐私与电子通讯指令》(Directive on privacy and electronic communications,Directive 2002/58/EC)中,详细规定了通信和互联网服务商需要采取适当的措施,保证通信和互联网服务的安全性;禁止
在未征得用户同意的情况下存储和使用用户的数据;服务提供商应该保障用户的知情权,如告知用户所收集的数据及进一步处理此类数据的意图和用户有权不同意等。这一次个人数据保护修正的内容确定了未来互联网个人数据保护的基本原则,但是在具体操作层面还较为粗略,也缺乏明确的违规惩罚措施。
2009年11月25日,欧盟对个人数据保护措施又进行了一次重要修正,通过了《欧洲Cookie指令》(EU Cookie Directive,DIRECTIVE 2009/136/EC),并确定其于2011年5月25日在欧盟正式启用。《欧洲Cookie指令》的核心内容,是对电子商务中Cookie的使用加以规范和必要的信息披露管理。Cookie是互联网常用的用户跟踪和识别技术。用户在使用浏览器进行网站内容浏览时,网站可以在用户电脑本地存放Cookie以识别和记录用户的登陆、浏览和购买信息。尽管Cookie可以被用户手工操作关闭,但对于绝大多数非IT背景的用户来说,如果网站在未明确提示下使用Cookie记录相关信息,用户是毫无察觉的。
lnbf2002年的《隐私与电子通讯指令》要求网站告知用户启用cookie及如何删除或作废Cookie,但绝大多数网站都会把这部分内容放置在用户注册时必须“同意”的用户协议中,而协议内容几乎没有用户真的会去完整阅读。《欧洲Cookie指令》则要求网站在用户初始使用时网站必须关闭Cookie的使用,直到用户明确同意启用Cookie时才能开启此功能。
《欧洲Cookie指令》是《隐私与电子通讯指令》的重要补充,它一方面强化了用户的知情权,让用户对网站收集、存储和跟踪用户信息有了清晰明确的了解;另一方面,指令也对网站生成、使用和管理以Cookie为核心的用户个人数据提出了完整规范的管控要求,以避免网站滥用或以不够安全的方式操作与存储用户个人数据。
最重要的是,在互联网世界中有着除Cookie以外的众多不规范甚至非法收集跟踪用户数据的技术手段。《欧洲Cookie指令》划清了对用户个人数据合法操作与非法操作的界限,让欧盟管控互联网并进行个人数据保护有了明确的依据。欧盟内各国信息化主管部门也以此为标准对本国的网站以及移动应用进行审查。
以英国为例,在cookie合规性检查之前,英国排名前50的网站只有12%遵照《欧洲Cookie指令》的要求,在网站上弹出窗口或在指定的页眉页脚提供Cookie信息确认提示或信息说明。而法国和德国的前50大网站则全部不合规。(TRUSTe2012年10月的统计报告)
尽管欧盟在不同阶段通过了不同的数据保护修正指令,但是这些修正内容还是架构在1995年颁布的《数据保护指令》基本框架之上。欧盟希望能够有一个全新的完整框架用来代替二十年前构建的、已经不能适应移动互联网时代需求的陈旧框架。
绝对式角度编码器严厉的新法规
新的个人数据保护框架终于诞生了。2012年1月25日,欧洲议会公布了《一般数据保护条例》草案并希望在欧盟内部尽读通过。这个条例草案的内容预示着个人数据保护管理提到了前所未有的高度。
条例甚至通过制定详细的管理规范,使其具备了在企业内控和合规管理方面的可操作性,适用对象也从欧盟内的企业扩展到向欧盟用户提供互联网和商业服务的所有企业。
氨基丙醇在《一般数据保护条例》长达206页的文件中,我们可以看到一些关键的变化:
★从地域/国家划分转向基于数据内容划分
传统的立法管辖权通常是按照国家/地域进行划分的。但在本条例中,数据保护约束同样适用于向欧盟居民提供产品或者服务,甚至只是收集或监控相关数据的非欧盟企业和组织,而与这些企业和组织所在位置无关。换句话说,非欧盟的企业和组织向欧盟用户提供服务,哪怕是免费的服务,也需要严格遵从欧盟这份数据保护条例的要求。
这就开了一个独特的先例:法律管辖范围不是严格按照地域/国家划分,而是按照数据的分布来认定。由于互联网上数据分布本身也是在动态变化的,这还意味着法律管辖范围也有可能按照数据的迁移而不断变化。所以,虽然是欧盟的数据保护条例,但却有可能应用到全球任何企业身上。
★进一步严格的内控和监管
水带
企业和组织在对个人数据进行操作时,必须记录所有的操作流程和步骤。换句话说,企业必须建立个人数据操作监控记录机制,以备政府和相关监管机构检查。由于条例是全欧盟内部统一的,所以大型跨国公司可以使用一套标准的监控记录机制对欧盟内所有国家的分公司进行监控和管理。水平面
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议