2016年4月,《通用數據保護條例》(General Data Protection Regulation,GDPR)法案在歐盟通過,歐盟給各家公司兩年的時間調整運營方式以符合新規,該法案將在2018年5月25日正式生效,該條例將取代1995年發布的《歐盟數據保護指令》,并直接適用于歐盟成員國?!锻ㄓ脭祿Wo條例》是一套新的歐盟處理、存儲和管理個人數據的指導辦法,條例對數據的生命周期的每一環節都作出了相應的規定,引入了新的概念、擴大了適用范圍并增加了懲罰條款。根據《通用數據保護條例》第三條規定第二款規定:本法適用于對歐盟內的數據主體的個人數據處理,即使控制者和處理者沒有設立在歐盟內,其處理行為:(a)發生在向歐盟內的數據主體提供商品或服務的過程中,無論此項商品或服務是否需要數據主體支付對價;或(b)是對數據主體發生在歐盟內的行為進行的監控的。因此,無論企業是否處于歐盟境內,只要在該地區范圍內開展業務,提供產品或服務,都將會受到約束。此外,《通用數據保護條例》第五條詳細規定了與個人數據處理相關的原則,需要注意的是個人數據的控制者應對所有數據直接負責,并負有證明其起到合理保管的義務。根據條例規定,在個人數據泄露的情況下,控制者不得延誤,應在72小時之內向監管機構報告。同時,《通用數據保護條例》中規定力度較大的懲罰措施,對違反個人信息收集和使用的基本原則以及沒有保障數據主體權利的數據控制人或使用人,最高可處以20,000,000歐元或全球營業額的4%(以較高者為準)作為罰款。 |