“史上最严”隐私保护法案生效！数据安全能做到吗？

扎克伯格接受质询（资料图）

　　5月25日，欧盟《通用数据保护条例》新规在28个欧盟成员国统一实施生效。与1995年实施的《个人数据保护指令》相比，这一版条例新增了不少对企业的要求，严格限制企业对个人数据的使用权，处罚力度更是空前加强，因而号称“史上最严”隐私保护法案。

　　欧盟希望，通过这种严厉而细致的规定，全方位地保护上网者的数据安全。换言之，未来大企业，尤其是互联网公司在使用用户数据前，必须先征得用户的同意。事实上，这部法律的影响范围不限于欧洲，它为未来 10 年的全球数据保护打下了基础。同时，它几乎对科技公司用个人数据赚钱的所有环节进行了规定和限制，因而会对未来全球数字经济产生深刻影响。

　　自从互联网诞生之日起，如何保护个人信息安全就一直是争议的焦点。近年来，随着大数据产业的发展，用户数据的深度分析与应用成为众多互联网企业的重点发展方向，随之而来的，是上网者数据泄露和滥用的急剧增加。大到个人银行账号被盗，小到每天接到骚扰电话、垃圾邮件，无不与个人数据泄露有关。

　　也许是因为有着切身感受，欧盟立法者在这一版条例中，对个人数据安全做了全方位的细致保护，其中不乏“釜底抽薪”的条款。例如，新条例要求，不管企业和组织位于哪里，只要它们向欧盟居民提供产品或者服务，甚至只是收集或监控欧盟居民的相关数据，也必须遵守条例的规定。而此前的旧指令只对欧盟境内的企业提出约束。所以，新规定能够有效堵住一些互联网企业借助离岸公司逃脱监管的漏洞，同时约束社会组织泄露个人信息。从这个意义上，《通用数据保护条例》新规几乎适用于所有公司和组织。

　　再比如，新条例还要求，各公司除了自身要遵守新规外，还必须对任何与其合作的供应商滥用相关数据负责，若后者违反规定，则实行“连坐制”。这一规定，就让所有相关企业都无处可逃，必须共同参与到个人数据安全的保护中来，从而改变过去互相推诿的现象。 

　　此外，包括基本身份信息、网络数据、医疗保健和遗传数据、生物识别数据、种族或民族数据等在内的众多类型隐私数据，都在新规的保护范围之内，从根本上杜绝了互联网企业模糊处理的可能性。对于生活中常见的问题，如垃圾邮件，新规更是详细规定如果没有得到客户明确同意，任何公司都不能向客户发送营销类邮件，还规定各公司需要为其电子邮件设置双重确认机制并加入发送系统，以清楚告知用户会收集哪些数据，并征得他们的同意。

　　从中不难看出，欧盟出台这部新规，基于对互联网的个人数据安全做的详细研究，基于对互联网企业的深刻了解。这一点，从欧洲议会近日对脸谱创始人扎克伯格的质询中就能看出来。要知道，扎克伯格此前在美国国会接受质询时，美国的议员们曾经闹了不少笑话，以至于美国媒体批评说：“在21世纪的技术领域，许多美国议员都是‘文盲’。”但欧洲议会提出的问题显然专业得多，也尖锐得多。比如，一位比利时议员讽刺扎克伯格针对数据泄露事件的道歉：“在过去的十年中，你一共道歉了15次或者16次，从2003年开始，每当你出现问题的时候，都会说对不起，会解决这个问题。这次你还会继续这么做吗？”令扎克伯格极为难堪。

　　当然，由于欧洲议会拟定这一条例是在三年以前，当时大数据、云计算、物联网等新技术的应用还没有现在这么广泛。同时，欧洲议会拟定条例时，主要是从保护个人数据安全以及保护个人隐私方面考虑，对产业发展、知情权、社会导向等方面考虑得不算太多。因此，新条例对互联网产业可能会产生一定的冲击。也许，在未来的实施过程中，欧盟还将对具体规定做出调整。另外，在各种新技术高速更新迭代的互联网时代，立法过程如何跟上技术更新的步伐，是欧洲议会面临的又一个问题。（文/宋涛）