数据隐私:新标准确保消费者隐私的每一步
在欧盟GDPR新法规实施前夕,在最近数据隐私违规事件大规模爆发之后,一个新的ISO委员会正通过制定导则使消费者重回掌控。新的ISO项目委员会,ISO / PC 317(消费者保护:通过设计保护消费品和服务的隐私权),是由ISO / COPPOLCO开发,专门处理消费者相关的标准化问题。它的目的是制定一个既符合法规,又可在最需要的时候产生更大消费者信任的标准。
隐私大事件
近期,在Facebook将8700万多个用户的个人信息分享给私人公司的消息被暴露以后,整个互联网驱动的世界都被震惊了。震惊之余,我们也清楚地认识到了Facebook事件并非单纯的一次性事件。
标准发声
新的欧盟法规GDPR在本月25日生效,该法规要求企业保护个人数据,限制其收集和使用的方式。ISO近期也已成立隐私专家小组,来制定第一套预防性国际准则,以确保消费者隐私被使用到产品或服务的设计中,并为其在整个隐私生命周期提供保护。
本周,国际知名的加拿大隐私专家Ann Cavoukian博士在印度尼西亚巴厘岛举行的ISO国际研讨会上通过视频发表讲话,说:“目前大多数隐私泄露仍然是未受到重视、不规范的和未知的。”“仅仅遵守法规这一确保未来隐私的唯一模式是不可持续的,更重要的是预防。”以“数字经济中的消费者保护”为主题的ISO研讨会,汇集了来自34个国家的150多名消费者和标准化专家,为新委员会提供了各种想法和项目推进的机会。主要涵盖了数据保护、人工智能、共享经济和在线消费者体验的立法等领域。
ISO / COPCOCO的数据保护和隐私负责人Pete Eisenegger和ISO / PC 317的成员表示,实施该标准将有助于敦促公司遵守规定,避免潜在的数据破坏,削弱消费者对数字世界的信心。“它将把消费者置于设计过程的中心。”他说:“它将允许商品和服务提供商通过设计来解决隐私的所有生命周期问题,从而使消费者可以对购买有更大的信心,并重新掌握对数据使用的控制权。”“此外,它也将比欧盟新的数据保护条例更广泛,也解决了网络问题,即产品在家里的安全性。”该标准将用于那些提供数字连接的消费产品,如家用电器和设备、可穿戴设备、移动应用开发商、在线服务提供商等。
关联阅读
欧盟新法规GDPR“通用数据保护条例”
2018年5月25日,“通用数据保护条例”(简称GDPR)将生效。该法规规定:未能达到GDPR要求的对象,需缴纳2000万欧元或公司全球年度收入的4%作为罚款,数目以较高者为准。
这套隐私法规将影响全世界,为欧盟居民提供服务,并在此过程中收集数据的组织(从软件生产商到服务提供者),将从根本上改变收集数据的组织之间的关系和数据所涉及群体之间的关系。同时,GDPR可能对数字平台和广告公司的运营造成重大影响,而借助技术平台发布广告并利用平台数据的媒体也将承担相应的责任。
GDPR的颁布,延续了欧盟在“个人数据治理”上的优良传统。首先数据收集模式和要求上,GDPR并没有禁止公司收集或使用个人数据,“知情同意”是其要求的数据收集模式。它详细地说明了如何 (以及何时)需要获得用户同意,并限制了存储和传输个人数据的方式。GDPR要求某些公司指定数据保护人员 (DPOs),负责确保和证明企业运作是否合规。此外,它还为个人提供了数据滥用的投诉途径,并概述了这些投诉将被评估和解决的程序。GDPR不仅扩充了《个人数据保护指令》的许多条款,也增加了许多新的规则和概念,包括管理个人数据处理的原则、数据主体的新权利、数据控制和处理的更多义务,以及关于补救的规定。
其次,GDPR还建立了“首席监管机构”。尽管数据主体可以在自己的成员国(以及他们工作的国家或怀疑发生侵权事件的国家)提出投诉,但首席监督机构始终具有裁决权,也有权将投诉委托给诉讼发生地的其它监督机构。DPAs也可以自行处理侵权行为,但受GDPR约束的组织,必须有欧盟机构来处理任何成员国监管当局的投诉。