如果你的「互联网生活」足够多,那么你的邮箱最近一定有被来自于像 Facebook、Twitter、Spotify 这种厂商发来的邮件所「轰炸」,邮件的主题多是关于隐私条例的更新,而正文中一定有一个词的出现频率很高:「GDPR」。
「GDPR」是 (The European)General Data Protection Regulation的缩写,翻译成中文是:「通用数据保护条例」,是欧盟议会和欧盟理事会在 2016 年 4 月通过,在 2018 年 5 月开始强制实施的规定。英国尽管在Brexit之后已经退出了欧盟,但是英国自己制定的《UK's Data Protection Act 2018》其实就是英国版本的 GDPR。
GDPR 本质上来说是一系列「打鸡血」版强制执行隐私条例,规定了企业了在对用户的数据收集、存储、保护和使用时新的标准;另一方面,对于自身的数据,也给予了用户更大处理权。
所以,如果你生活在欧洲(毕竟 GDRP 只在欧洲生效),你已经受到了新的条例保护,但是这不代表着如果你生活在欧洲之外那这件事就与你完全无关。因为考虑到「全球性」是写入互联网基因内的属性,几乎所有的服务都会受到影响,所以生活在欧洲之外的人其实也会从此条例中获益。此外,GDPR 的实施,也重新唤起了世界其他地方的人对隐私和数字生活中个人权利的重视。
GDPR 规定了什么?
GDPR 规定了所有欧盟的公民所享有的数字生活中的权利,其前身为 1995 年开始执行的《数据保护指令》(Data Protection Directive),大部分 GDPR 条款都从其继承而来,同时 GDPR 在生效后会取代旧的规定。
在欧盟的法律体系中,指令(directive)和条例(regulation)是两种不同的形式:
- 指令不直接适用于各成员国,还需要成员国自行转化成为其国内法,在转化过程中成员国有一定的自主裁量权;
- 条例则对各成员国有直接适用的效力。
在欧洲,事实上也是目前世界范围中,GDPR 是最完善、最严格的隐私保护规定,体现在下面几个方面。
企业部分
首先,企业在收集用户的个人信息之前,必须以「简洁、透明且易懂的形式,清晰和平白的语言」向用户说明:
- 将收集用户的哪些信息;
- 收集到的信息将如何进行存储;
- 存储的信息会如如何使用;
- 企业的联系方式。
也就是说,之前的那种通过使用模糊的、容易混淆的语句连哄带骗的使你同意被收集数据的做法是不再被允许的。在这个语境中,「个人信息」是指如你的 IP、你的邮箱地址、你的用户名等一切能确定你的身份的信息。
其次,GDPR 的处罚力度非常高,高到足够引起所有的公司重视。每次违反条例最高处罚金额为该公司年度营业额的 4%,或者 2000 万欧元,取决于哪个数值更大,Google 或 Facebook 或许能够承受起这种程度的罚款,但是对于规模小一些的公司,这种处罚是致命性的。
用户部分
我们作为消费者,随着 GDPR 的实施,享有的权利有:
- 数据访问权:首先,我们有权给予向企业问询个人信息是否正在被处理,如果正在被处理的话,可以继而了解:a.处理的目的; b.相关数据类型; c.数据接收方的信息 d.如果对象是数据接收方,可以问询其数据来源。
- 被遗忘权:其次我们有权要求企业删除掉个人数据,当数据已经披露给第三方时,用户可以继而要求他们删除相关数据。
- 限制处理权:我们有权禁止企业将信息用于特定的用途,像禁止企业用于垂直营销。假如最近在购物网站搜索了「精酿啤酒」为关键词的商品,网站的推荐信息流或者和该网站有合作的其他站点中可能就会向你推荐类似的「精酿啤酒」,我们现在可以要求该公司不能将这件事透露给其他公司,甚至特可以要求该公司本身也不能把这件事用于任何营销活动。
- 数据携带权:简单来说,当我们想离开某个平台时,可以要求该平台将我们在该平台产生的数据,以格式化的、机器可处理的格式提供给我们。
对用户来说有什么变化?
「垃圾」邮件
对于文章开头提到的海啸飓风般的隐私条款更新说明邮件,大多数消费者、你我大众来说,根本不会想去阅读,也没有能力阅读,因为条款中大多数关键之处都隐藏在无谓的赘述与艰涩的法律术语之中了。
所以,放心删掉这些邮件好了,不用担心会漏掉了什么。特别是在新的条例之下,考虑到邮件本身只是无法进行交互的 HTML 文件,如果没有点击邮件内的链接,企业将来也只能发送协议变更、账号安全相关的邮件。但是因为 GDPR 涉及到的企业太多了,几乎每个人都不可避免的收到了大量的邮件,虽然 GDPR 本意是好的,这些邮件实际上都变成了一封封的垃圾邮件,逐渐的,GDPR 变成了一个亚文化,一个网络梗,Twitter 标签 #GDPRMemes 下有大量的以此为据的图片:
数据迁移
借着 GDPR 条例的实施和其中「数据携带权」的规定,现在可以把商业公司拥有的关于你的所有资料全部下下来:Slack已经开发了导入导出工具、删除个人资料工具。
之前在 Facebook 深陷通俄门时,有用户在删除 Facebook 账号前下载了其全部个人信息,惊讶的发现 Facebook 竟然记录了其手机上所有的通话记录和短信来往,参加相关报道。在此之前,部分公司可能并没有开放这种类似的下载数据渠道,借此机会可以查看其他的公司都做了些什么。
另一方面也是解绑、迁移出旧平台的好机会,如从 Twitter 迁移的到Mastodon。
网站的变化
因为 GDPR 已经在 2018 年 5 月 25 强制生效了,有些网站因为没有做好服从 GDPR 所需要的工作和准备,所幸直接关闭了其在欧洲的服务:
同时因为「信息、交流与模式的透明性」的规定,大量的网站未来会更频繁的、更显眼向你征询信息收集的许可:
Twitter 用户 Marcel Freinbichler发现:如果通过 CSS 隐藏掉这个大大的提示信息的话,the Verge 网站的 JavaScript 文件会从 61 个减少到了 2 个,网页体积也减少了一倍,(2MB -> 1MB ) 。
另外一个比较有代表性的例子是,因为 GDPR,USA Today针对欧洲用户上线了一个完全不同版本的网站,欧洲版本完全移除了追踪脚本和广告信息,继而网页体积从 5.2MB 缩减为 500KB,加载时间也缩减到只需 3 秒:
对我们(中国人)有什么影响?
条例虽然只直接保护了生活在欧洲的人的权益,但是有的(优秀的)公司意识到:与其把 GDPR 的标准仅实践在欧洲,在欧洲执行一套标准,在世界的其他地区执行另一套标准,倒不如把 GDPR 级别的隐私对待政策应用到所有地区。如微软,就决定把 GDPR 的标准应用到全球。
但是罗马不是一天建成的,GDPR 也不是一天就制定的,欧洲人一直就对隐私尤其重视,关于隐私保护的讨论早在上世纪便已开始。新世纪里,Google 和 Facebook 这种巨型商业公司提供的平台中,聚集了无数的用户和数据,也赋予了巨型商业公司无上的权利,GDPR 的制定是为了适应新的趋势。但是目前即使在美国也只有零碎的法律条文用于保护个人隐私信息,没有能与 GDPR 类比的条例,中国要走的路则更远。
关于大家(或许)比较关心的「微信」,对于微信本身的隐私条款,微信只会处理「位置数据、日志数据、非个人信息(无法直接或间接识别身份的信息)、共享信息」,对于聊天内容只会发送给信息接收方,与 GDPR 无冲突。但是 GDPR 第二章提到「因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反」,以及微信隐私条款 8.1.2.1 也规定了类似内容。所以生活在欧洲、使用欧区 App Store 或 Play Store 下载的微信,并不就能够规避 big brother 的某些行为,
另外与 Slack、Twitter 直接提供了导入导出工具、销毁账号渠道不同,「被遗忘权」和「数据迁移权」在微信中都是通过 Email 来实现的,所有的请求都需要在线填写表格,说明个人的要求以及具体的原因,微信随后会人工回复、处理,反馈到留下的邮箱。
尽管有来自欧洲内部批评的声音表示,欧盟对于隐私的极为严格的保护,在某种层面上限制了其数据产业以至于整个互联网产业的发展, 导致没有准(the)入(G)壁(F)垒(W)的欧洲几乎全部为美国互联网公司所占领。在中国,百度 CEO 李彦宏曾经讲过这样一段话:「中国人对隐私问题比较开放,或者说没那么敏感、如果愿意通过交换隐私而获得便捷、效率、安全,很多情况下他们是愿意这么做的。」这或许也是百度敢于 All in AI 的一个原因。
在古典经济学中,垄断的一个表现为生产者以想象的价格提供商品。垄断者长期生活在「想象」中,那些无知、弱小的人们相对于他们不过是沙子,是构成他们大厦的水泥中的一小部分而已。但是当垄断被打破时,这些看不到的沙子会逃走,看似牢不可破的商业帝国瞬间崩塌。对于居住在欧洲之外的人,尽管在预计的时间内不会有能比肩 GDPR 的条例出台,但是大量的提议已经在促使美国的立法者思考数据保护新的含义;对于我们来说,参与讨论、用脚投票,此刻前所未有的重要。
注:我本身并没有法律相关背景,文章是在一腔热诚之下写成的,内容之中拿不准和不确定之处的处理,多亏了Platy Hsu的帮助,特此感谢。
