亚马逊“摊上”事儿了。
近日彭博社表示,因违反欧盟《通用数据保护条例》(GDPR),亚马逊可能面临 7.46 亿欧元(约合 8.88 亿美元)的天价罚款。这或将是欧盟有史以来最大的数据隐私泄露罚款。
7 月 30 日,亚马逊在一份监管文件中,披露了卢森堡的数据保护委员会 CNPD7 月 16 日的决定。
该决定表示,欧洲的数据保护监管机构有权对亚马逊处以全球年销售额 4% 的罚款。不过,这笔罚款金额并没达到这个数。
堪称史上最严的个人信息保护法 GDPR,可以说让欧洲各大企业“人人自危”。其中有一条规定就足以让企业“闻风丧胆”:如发现严重违规,最高可罚 2000 万欧元或企业上一财年全球营业总额的 4%,以较高者为准。
昂楷科技 CEO 刘永波曾表示,GDPR 除了天价罚单,最值得关注的点,应该是它作为一个专门保护个人信息法案的出台。普通的个体并不是这些信息保护法案的主要针对者,而 GDPR 第一次把目标明确地指向了相对弱势的个人。
在过去十几年互联网的快速发展中,个人信息正在大规模地被各类企事业组织所采用,无论是打车、外卖、网购,还是在公共服务领域,都会大规模采集公民个人信息,近年来有关个人信息泄露的案例更是数不胜数,所以这个问题是全球各个国家都正在面对的。
而 GDPR 的到来,让人惊呼,从未有一部法案对个人信息的保护规定的如此周详。
例如,我们身边经常出现过于精准的广告推送,在淘宝上刷到了偶款心仪的产品,结果在微博也看到了相关的推送。从广告匹配的实现原理上说,它是在用户访问网站时,在你的浏览器里写入一些 Cookies ,淘宝通过其广告平台来利用这些 Cookies 对应显示更为精准的广告。
虽说近年来我们已经对这种精准的广告推送习以为常,但这背后的操作在 GDPR 这里是违规的。
为什么说 GDPR 堪称最严?刘永波从授权、适用范围和撤回这三个具有代表性的条例来分析。
1、从授权来讲
数据的收集必须事先征得数据主体的同意,而且 "同意" 必须是具体的、清晰的,是用户在充分知情的前提下自由做出的,不能是以非常隐晦的手段。因为用户在这种情况下是处于弱势地位的,特别是一些常用的 App,为了生活的便捷,很多人不得不选择同意。
比如国内企业常用的,以小字号淡颜色甚至缺省方式获取用户的授权,通过冗长晦涩的隐私政策来获取用户同意,或者让用户在签订业务协议时通过 "打勾" 作出一揽子授权,都可能被认定为违规。
2、对于数据使用的范围,更加严格
如果企业将数据使用的范围扩大,无论是将数据提供给了第三方,还是把数据作为企业对外服务的一部分(比如提供给广告企业作为营销推广对象,或者作为对外发布的报告中的案例),都必须重新获取数据主体的授权和同意。
以我们刚刚提到的淘宝和微博为例,根据 GDPR 的要求,如果以后遇到类似微博要用淘宝数据的情况,必须明确告知用户使用理由和范围。并获得明确同意。
3、GDPR 赋予数据主体可以随时撤回同意的权利
如果这组数据已经传播出去,或者给第三方使用了,企业还有责任通知数据的使用者删除。
比如在知乎上发帖,如果牵扯上他人隐私,当事人要求删除,如果按照 GDPR 的条例,该帖子必须删除。
可以这样说,GDPR 赋予了数据主体更为明确的同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的权利和自由。
也许有人会认为,如此严格的 GDPR 会妨碍部分企业的发展,对于手握大量数据的公司而言,很难办。
刘永波表示,对于在海外开设分公司的国内企业,只要为欧盟境内的数据主体提供了服务,即使其在欧盟境内没有设立任何分支机构,也依然受到 GDPR 的管辖。
GDPR 的到来,对于企业而言,无论与通讯有关的厂商,还是为用户提供服务的 App 公司,未来在数据的收集、驻留尤其是在云上的数据流转和使用,将会更为严格。比如为了达到更为明确的知情权,企业就要重新搭建一个新的系统,让用户选择同意与否,这些都会增加企业的成本,而这些成本,未来还是要转移到用户身上的。
为了合规,也需要很多厂商一起拿解决方案,众多产品和技术要重新规划,不过整个欧盟用统一的规则也避免了企业根据各个国家的不同要求而进行调整。
从长远来看,GDPR 对行业的发展是有好处的。
正如刘永波所言:“好比说开车,如果没有交通的管制,车还少的时候,肯定是很舒服的,但如果到了早晚高峰,不制定相应的规则,是很可怕的,大家都说人工智能需要算法,但如果算法的数据来源本身就是违规的,这样的算法你还敢用吗?”
亚马逊之前,在欧盟最大的中枪者是谷歌。
2019 年 1 月 22 日,谷歌被法国隐私监管机构国家信息与自由委员会(CNIL)处以 5000 万欧元(约合 5700 万美元)的巨额罚款。
CNIL 曾表示,用户在访问谷歌提供的信息时,需要五、六个繁琐的步骤,即便完成后,依然不能获取完整的信息。这违反了 GDPR 有关透明度和信息的规定,并且谷歌也违法向用户推送个性化广告。
随着信息安全的发展,我国关于数据资源保护也采取了行动。
2020 年 4 月 9 日,中共中央、国务院首次公布《关于构建更加完善的要素市场化配置体制机制的意见》,首次将数据列为除土地、劳动力、资本、技术之外的第五大生产要素。
2021 年 7 月 6 日,深圳市第七届人民代表大会常务委员会公告(第十号)公布《深圳经济特区数据条例》,内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法。
其中有个方面值得关注,就是所有处理个人数据的都要基于告知同意的基本原则。例如,当我们登录手机 App 的时候,弹出的“要求 App 不跟踪”和“允许”,就和上述条例有关。
如今,全球的科技巨头们正在成为全球各国反垄断的重点监管对象,而亚马逊也不会是最后一个被罚的企业。