一段時間以來,歐盟地區網民紛紛收到互聯網公司修改“用戶政策”的提示。從網絡巨頭到初創公司,都忙著趕在5月25日之前修改甚至重塑它們保護用戶數據的流程,使之符合將在25日生效的歐盟《通用數據保護條例》。

這項被廣泛認為是歐盟有史以來最為嚴格的網絡數據管理法規,在生效之前就早已“威震四方”。

首先罰得狠。條例規定,對未采取技術或管理措施來避免、降低隱私侵權損害風險的互聯網公司,最高可罰款1000萬歐元或全球營業額的2%(以較高者為準)；對違反個人信息收集和使用基本原則以及沒有保障數據主體權利的互聯網公司,最高可罰款2000萬歐元或全球營業額的4%(以較高者為準)。對于跨國網絡巨頭而言,一旦在歐盟違規,很可能將面臨“天價”處罰。

嚴格地說,受該條例管轄的不僅僅是傳統意義上的互聯網公司。也就是說,企業只要是處理或者留存了用戶數據,哪怕只是電子郵件地址這樣看似并不特別敏感的信息,哪怕其從事的業務并非單純的互聯網服務,但因為也涉及了用戶數據,所以也在新條例管轄范圍之內。

其次管得寬。歐盟這一新條例賦予了歐盟域外管轄權。具體而言,該條例不僅管轄注冊地或總部在歐盟內的企業,也完全可能管轄“地理上”位于歐盟外的企業:根據其規定,只要企業向歐盟內的用戶提供產品、服務,或持有、處理歐盟內用戶的數據,都在管轄范圍之內。

再次分得細。納入新規保護范圍的用戶數據種類全面細致。除了姓名、地址、證件號碼、網絡IP地址等通常意義上的個人信息,以及指紋、虹膜等生物識別數據、醫療記錄等十分隱私的個人信息,新規還涵蓋了例如用戶的種族、宗教信仰甚至性取向等多方面信息。

新規還確立了被遺忘權、刪除權、可攜帶權等一系列用戶權利。根據條例,用戶可以要求掌握其數據的企業刪除其個人數據、避免個人信息傳播。而可攜帶權將使用戶有權向企業索取本人數據,并自主決定用途,這意味著用戶將能夠像管理金融資產一樣對個人數據信息進行“搬家”。

近幾個月,臉書公司因為被揭發在用戶數據大規模泄露之后長時間隱瞞不報,遭到廣泛批評。而在歐盟新規下,企業一旦發現用戶數據泄露,必須在72小時內向監管機構報告。

在明確賦予用戶權利、大幅強化企業責任之外,這一條例還規范了監管安排機制。在歐盟層面,增設歐洲數據保護理事會這一新機構；在歐盟成員國層面,各國數據監管機構的檢查、執法、處罰以及司法機制安排也得到了明確界定。

歐盟新規還允許用戶有權要求監管機構在規定時限內對違規行為進行調查。如數據監管機構調查不力,用戶則有權向法院提起訴訟,以更好地保護用戶權利。