必赢亚洲565.net-wwww.56net.com-必赢亚洲官网登录入口

www.56net.com揭秘!新年伊始为何法国重罚谷歌500

原标题:如何合规欧盟和加州隐私新规?苹果、谷歌将面临美国国会“大考”

www.56net.com 1

对于大型科技公司而言,在欧洲的日子怕是越来越难过了。在欧盟《通用数据保护条例》(GDPR)正式生效后,2019年当之无愧成为数据保护的执法元年:新年伊始,法国相关监管机构就依据GDPR向谷歌开出了5000万欧元(约合3.8亿元人民币)巨额罚单,理由是谷歌在向用户定向发送广告时缺乏透明度、信息不足,且未获得用户有效许可。值得注意的是,被称为GAFA(谷歌Google、苹果Apple、脸书Facebook和亚马逊Amazon)的科技巨头均源于美国,然而美国目前既没有专门的数据保护法律法规,也没有对应的职能部门对此进行监管。好消息是,监管科技巨头公司可能是这届分裂国会上,民主党和共和党寻求合作的少数几个领域之一。而对于GAFA巨头而言,他们是选择合作还是选择对抗?“如果像欧盟这样的美国重要贸易伙伴实行严格的隐私信息保护,这对于美国来说不可能没有任何影响。”德国汉堡Wen & Schomerus 律师事务所创使合伙人温天敏表示,这个信息肯定不会被美国的政治家及相关人员忽视。GDPR生效,先罚谷歌5000万欧元向来注重隐私的欧洲能孕育出GDPR并不令人意外。温天敏表示,普遍来说,德国民众是比较注重个人信息保护的,比如相当部分的民众都坚持在商店里使用现金购买商品,以便其个人信息不被除自己之外的人员和机构掌握。为此,GDPR的效力层级在欧盟是“条例”,编号为EU-DSGVO,其效力仅次于宪法。咨询公司埃森哲则在最近一份报告中直接将GDPR形容为“近二十年来数据隐私规则领域发生的最重要变化”。埃森哲在上述报告中指出,GDPR要求责任共担。在过去,收集和使用数据的数据拥有者需要对数据保护负责。如今,史无前例地,数据处理者(如提供数据处理服务的云服务提供商等)也需要直接承担合规风险和义务。在数据保护上,数据供应链自上而下的各方都会被问责。网络公司必须与合作伙伴们明确各自的责任和义务。如不遵守GDPR,后果很严重。埃森哲指出,GDPR大大增加了数据保护的强制性和责任性,对违规的处罚金额提高到2000万欧元或企业全球年营业额的4%(二者取较高值)。法国中文网了解到,目前在28个欧盟国家中,已有21个国家将GDPR融入了国内法,其余国家也纷纷于去年就GDPR的推行问题开展了公开讨论或提出修订草案,一些已经进入了立法程序。也就是在此背景之下,前述法国数据保护机构国家信息与自由委员会(CNIL)向谷歌开出了5000万欧元的罚单。此前,CNIL接到了来自NOYB和LQDN两家非营利性组织对谷歌的投诉。在调查中,CNIL发现,在透明度问题上,谷歌将数据处理目的、数据存储周期及用于个性化广告的个人数据分类等关键信息分布在不同的页面,这造成用户不得不额外进行5-6次的点击操作才能够看到相关的完整信息。在个性化广告处理上,根据CNIL的观察,谷歌也将相关信息分散在不同的文档中,这让用户无法了解到其使用程度;当用户创建账户时,不仅要通过点击“更多选择”的按钮才能够到配置页面,且其中展示个性化广告的按钮是默认已选的状态。此外,如果用户一旦勾选同意服务的选项即相当于同意谷歌进行所有处理操作,这有违GDPR要求须为每一个目的“具体”给出许可的规定。CNIL指出,谷歌这种对GDPR规定的违反是长期持续的,整体上违背了GDPR在透明度、信息披露和明示等三大要素的要求。目前谷歌对该案件提出了上诉。但监管方对其他科技公司发起的投诉远远没有结束。前述将谷歌告上法国监管机构的NOYB在1月18日再次发布公告表示,已经以违反GDPR第15条“用户对数据的访问权”的名义将包括亚马逊、苹果等8家科技企业告上奥地利相关监管机构。而根据前述“2000万欧元或企业全球年营业额的4%(二者取较高值)”罚金的原则,外媒计算出这8家最高罚款的总额理论上可达到188亿欧元。美国追赶欧盟GDPR脚步美国立法者对于GDPR,可谓五味杂陈。实际上,不少美国数据政策专家认为,美国正在失去这一领域的领导者角色。美国联邦贸易委员会首席隐私官马克·格罗曼就指出,“GDPR正在推动全球对话,当别的国家想要打造自己的硅谷时,它们更多地关注欧洲模式。”在万豪酒店数据库遭黑客入侵事件以及剑桥分析公司(Cambridge Analytica)丑闻发酵之后,深受震动的美国参议员抛出了《社交媒体隐私和消费者权利法案》等立法,试图寻找在公司使用数据的方式与人的隐私权之间的平衡点。在州一级层面,已经有案例显示美国正在效仿GDPR:2018年6月29日,美国加利福尼亚州就签署了一项数据隐私法案,里面不少条款同GDPR中的核心条款相同。该法案将从2020年1月开始生效,并适用于加利福尼亚州用户(硅谷所在地)。该法案规定,对于掌握超过5万人信息的公司,用户有权查阅自己的哪些数据被收集,并要求公司删除自己的数据,以及拒绝将数据卖给第三方。单次违法将被处以7500美元的罚款。目前,新一届美国国会的注意力也转向了数据保护中的重点领域:公司必须告诉用户们持有的数据有多少,用户对该数据有何控制程度,以及公司在数据泄露时将面临怎样的处罚。GAFA等科技巨头在这一过程中的态度颇令人玩味。考虑到州立法恐怕更加严厉(譬如在加利福尼亚州出现的情况),GAFA巨头们反而倾向于接受在联邦政府一级设立隐私法的必要性。这是因为,根据美国宪法的至高条款(Supremacy Clause),当联邦法律与地方法律发生冲突时,联邦法优先于州法。谷歌首席执行官皮查伊(Sundar Pichai)在2018年12月中旬的一次听证会上说,“我认为我们最好为用户提供更多的整体数据保护框架。我认为这样做会很好。”苹果首席执行官库克(Tim Cook)今年早些时候也呼吁联邦隐私立法。微软首席执行官纳德拉在参加2019年世界经济论坛期间则表示,对欧盟去年推出新的GDPR数据隐私法表示赞赏,称这是“一个极好的开端”。他并指出,对数据保护立法的改革不应该停留在欧洲,美国和世界其他国家也应该效仿。“我希望在美国我们也会有类似的东西。”纳德拉称,“事实上,我希望世界各地都能达成共同标准。”华盛顿智库信息技术与创新基金会的政策分析师麦奎因(Alan McQueen)指出了科技巨头们倾向于合作的背后原因:统一的监管机制可以降低应对不同监管制度所产生的额外成本。在加州隐私法通过后,“科技行业现在正试图避免美国制定出四分五裂的隐私规则。”麦奎因表示,在更高的透明度、数据可移植性、消费者访问(consumer access)以及针对滥用私人数据的新执法机制的需求上,美方可能已形成了共识。对外经贸大学数字经济与法律创新研究中心执行主任许可在接受采访时表示,虽然美国会加强个人数据和个人隐私的保护,但美国走的是和欧盟完全不同的路,其原因有三。首先,最大的不同在于法律制度和双方立法传统的不同:欧盟想通过一种自上而下的立法,形成统一的执法,去调控、进行数据保护。而美国更倾向于利用分散的行业市场的力量,通过非成文法的方式去提供保护。其次,美国同欧盟的信念不同:二战以后,欧盟对个人的保护、对个人信息的保护是深入骨髓的,而美国人不可能像欧洲人那样去看待个人数据。第三,从经济层面来说,欧盟在全球的数字经济市场中并不占优势,缺乏大企业。许可指出,全球有三分之二的科技企业都是美国的互联网公司,因此从统计层面上来说,美方也不可能出台对企业严重不利的政策。

  据美国国会官网消息,9月26日,美国参议院商业、科技和交通委员会将召开主题为“考察消费者数据隐私保护措施”的听证会,意在考察苹果、谷歌、推特、亚马逊、AT&T、美国有线电视运营商Charter等六家企业的消费者隐私保护现状。

在隐私数据保护方面,微软决定做听话的好学生。事实上,今年以来,微软在隐私保护方面颇为高调,从放弃人脸识别开始,到近期的多次公开声明,桩桩件件都体现出微软在强监管来临之前的自我保护。不过,微软如此决绝地与用户数据划清界限,或许也是因为相较于以数据为生的互联网巨头们,微软受到的伤害并没有那么大。

参考4月Facebook创始人Mark Zuckerberg与40多位参议员、众议员的“鏖战”,这场听证会恐怕不是那么好应付,更何况谷歌最近本就陷入了多起负面事件。不过,这些美国乃至世界顶尖的技术通讯企业将如何影响消费者隐私保护的发展,是否能撼动《加州消费者隐私法案》(下称“CCPA”),朝他们希望的方向修订,都是值得关注的焦点。

当地时间周一,微软正式宣布将严格遵守加州的数据隐私法规,不仅如此,微软还将把这一法规的影响范围进一步扩大至全美。微软将自己定义为该法规的“坚定支持者”。

***

微软提到的这一法规即《加利福尼亚州消费者隐私法》(California Consumer Privacy Act,简称CCPA),CCPA将于2020年1月1日起生效。自去年6月28日通过以来,CCPA一直外界认为是“全美最严”的隐私法案,尤其对于以加州为大本营、分公司遍布全球的硅谷科技巨头们来说,CCPA无疑是欧盟《通用数据保护条例》(GDPR)之外的又一记重拳。

谷歌负面事件缠身 届时将派首席隐私官出席

根据CCPA的规定,加州居民可以获得对个人数据相关的很多权利,包括数据访问权、数据删除权、不被歧视的权利、在产品页面挂出明显的“不出售个人信息”选项、未成年人和监护人授权及私人诉讼权。CCPA 将对所有和美国加州居民有业务的数据商业行为进行监管,只要该公司服务的消费者群体有加州和纽约州居民,则公司必须遵守法律,否则会遭到罚款。

此前,有不少媒体报道,美国总统特朗普秘密约见了硅谷的科技巨头们,会议内容与隐私有关。有人猜测,全美网络隐私法案可能正在酝酿之中。事实上,在“史上最严”的欧盟《一般数据保护条例》(下称“GDPR”)刺激之下,美国民众对个人信息保护集中立法的呼声一直存在。

事实上,在CCPA之前,最令科技公司们忌惮的便是欧洲的GDPR.GDPR自去年5月25日正式生效以来,欧盟已经据此开出了无数张罚单。数据显示,一年之中,欧盟方面围绕该条例总计开展了20万起调查,对违反该条例行为的罚款总额达到5600万欧元。

“在数据隐私保护上,消费者理应获知清晰的答案和标准”,委员会会长John Thune强调,这次的听证会将给上述企业解释隐私保护策略的机会,阐述如何合规欧盟和加州新出台的隐私法规,以及国会怎样在不扼杀创新的前提下,让现有的消费者隐私保护更符合公众的期望。

科技巨头们的隐私问题在过去一两年内集中爆发,全球最大的两个网络广告企业Facebook和谷歌传出了多桩隐私丑闻,尤其是Facebook的“英国剑桥分析公司丑闻”,让Facebook跌入谷底,外界掀起了卸载Facebook的网络运动。

隐私护卫队了解到,刚过完20岁生日的谷歌正在为好几桩隐私事件烦恼。美联社8月的一项研究发现,即使安卓设备用户在活动记录中关闭“历史位置”的授权,谷歌依然可以追踪并存储用户的地理位置。此外,据华尔街日报报道,谷歌允许第三方邮件应用读取用户的邮件内容。这些都引起了消费者的强烈反弹。

在其他企业纷纷翻车的情况下,微软打算防患于未然。“根据加州消费者隐私法,公司必须在数据收集和使用上保持透明,并为人们提供防止他们个人信息被出售的选择权。目前,完全达到这一法规的目标要求的条件还在发展中。”微软首席隐私官Julie Brill在博文中这样写到。

就在上周,国会的另一场听证会本来要求Facebook、推特和谷歌的代表出席,讨论包括隐私在内的一系列话题,但最终只有Facebook的首席运营官Sheryl Sandberg和推特的首席执行官Jack Dorseymade到场,谷歌方面无人出席。不过,9月26日的这场听证会,首席隐私官Keith Enright将代表谷歌出席,足见其重视程度。

微软旗下可能会收集用户数据的产品包括Cortana和Microsoft Edge浏览器,必应搜索引擎,Windows10系统,Xbox游戏机和Skype网络电话。不过,听话的微软似乎也有自己的盘算。一位消息人士称,微软可能比其他科技公司都更容易遵守加州隐私法,因为微软的大部分业务都可以算作是“服务提供商”,加州隐私法为可以归类为“服务提供商”的公司提供了特殊待遇。

苹果方面也有大动作。9月1日,苹果宣布,从10月3日起,所有在App Store上架的应用都必须包含隐私政策,并对隐私政策内容提出了具体要求。可以预想的是,这一举措将大大推动企业,尤其是中小企业在用户隐私保护上的进步。

“个人隐私的保护对于整个世界来说已经到了刻不容缓的地步。”微软总裁布拉德·史密斯曾这样强调微软对于隐私保护的重视程度。今年早些时候,微软就曾悄然删除其最大的公开人脸识别数据库——MS Celeb,该数据库拥有超过1000万张图像,将近10万人的面部信息。

值得注意的是,年初被曝8700万用户数据泄露的Facebook此次不在被邀请之列。这或许是因为早在4月,Zuckerberg就已经连续被参议院、众议院轮番“轰炸”过。在加起来长达十几个小时的两场听证会上,Zuckerberg承认Facebook没能防止用户信息被滥用,称之为“巨大的错误”。Facebook也因此对隐私设置功能做了一系列改进。

虽然做了一些努力,但并不意味着微软就没有在这方面栽过。今年8月,微软被曝出通过承包商监听Skype通话内容。在Skype的条款和条件中,微软表示,公司可能会分析翻译电话的音频,以提高服务质量,但并未说明这是由人工还是算法来完成。

***

之后,微软回应称公司仅在用户选择参与的基础上收集和使用语音数据,并指出在隐私面板的语音部分,用户可以删除公司获得的关于用户本人的语音数据。就微软对于隐私保护所采取的具体措施及是否会对公司业务产生影响,北京商报记者联系了微软媒体联络中心,但截至发稿尚未收到回复。

GDPR天价罚单频出 加州隐私法案仍在修订

作为本次听证会的内容之一,企业阐述将如何合规5月25日正式实施的GDPR,以及6月28日通过的CCPA,毫无疑问将成为重头戏。以加州为大本营、分公司遍布全球的硅谷科技巨头们夹在两个隐私新规中,仿佛突然间陷入了“腹背受敌”的境地。

GDPR实施之后,欧盟多个国家的执法机构都应用户投诉开展了针对美国科技巨头企业的调查,虽然还没有定论,但动辄上千万欧元的高额罚款却时刻牵动着这些企业的神经。GDPR生效的第一天,谷歌和Facebook就被奥地利非盈利机构NOYB起诉,称它们采用了“强迫同意”策略,即仅让用户在给定的框内打勾,没有提供“自由选择权”,并要求谷歌和Facebook分别赔偿37亿欧元和39亿欧元。据悉,谷歌未经安卓用户同意擅自收集地理位置一事,目前也已被亚利桑那州的一名律师盯上,正在调查中。

相较经过多年斟酌才出台、已经被监管机构实际应用的GDPR,仓促写就的CCPA还在不断修改中,并刚刚于8月31日通过了新一轮修订。此前,法案相关的核心人士曾向隐私护卫队表示,CCPA在正式实施前“不会被撤销或有重大修改”,但并不排除会随着科技的不断创新,对部分条款作出应有的调整。法案起草议员之一Bob Hertzberg也称,将继续出台解释性文件。

隐私护卫队对比修订前后的CCPA文本发现,有几处较大的变化。比如现有法案规定,消费者有权要求企业删除与他相关的个人信息;在此基础上,最新修订版进一步提出,企业必须向消费者披露他拥有删除权,并应遵循特定的操作流程予以删除。另外,最新修订版还免除了消费者在就隐私问题提起私人诉讼时,在30天内通知州总检察长的义务,而只需将检测到的违规行为通知相关企业。

另外,最新修订版对CCPA可能与州内其它法案产生的冲突作了补充说明。某些企业受联邦Gramm-Leach-Bliley法案、联邦健康保险流通与责任法案、加州财务信息隐私法案、医疗信息保密法以及其他特定行业法律的约束,可能与CCPA的要求相悖。因此最新修订的版本明确规定,企业根据某些特定法律实施的数据处理行为无需遵守CCPA。

有观点认为,虽然新修订的CCPA澄清了一些模糊之处,但依然还有不少地方需要补充说明。或许,9月下旬的这场听证会能为CCPA的修订提供更加明确的方向。

采写:南都记者蒋琳

作者:蒋琳返回搜狐,查看更多

责任编辑:

本文由必赢亚洲565.net发布于www.56net.com,转载请注明出处:www.56net.com揭秘!新年伊始为何法国重罚谷歌500

您可能还会对下面的文章感兴趣: