详解欧盟新数据保护法:如果Facebook现在犯错会被罚多少 - Facebook,欧盟,隐私 - IT之家

 新浦京科技     |      2020-05-01

图片 1

据CNET报道,欧盟为保护数据隐私而制定了一部新法,也就是《通用数据保护条例》。今天,这部新法在欧盟28个成员国生效。这部法律改变了那些收集、存储或处理大量欧盟居民信息的公司遵循的规则,要求他们对自己拥有的数据和用于共享的数据更加开放。

科学期刊和资助机构通常要求研究人员从研究资料库中研究个体遗传数据,以增加数据共享,以便实现新发现的可重复性,并促进新发现。然而,根据今天(星期一)在欧洲人类遗传学会年会上提交的研究结果,引入欧盟通用数据保护条例(GDPR)等新法规可能会使这一问题复杂化。

这意味着,任何在欧盟拥有数字业务的公司将不得不遵守这部法律,否则将面临巨额罚款处罚。自欧洲议会于2016年4月通过该法案以来,其将在2年内生效的最后期限已经到期。今年3月份,当剑桥分析公司滥用数据丑闻曝光时,隐私权倡导者将其作为最典型例证,说明为什么互联网用户可能想要更多个人数据控制权,包括谁可以访问他们的数据。

研究人员收集了研究人员面临的实际挑战的经验。他们试图遵守资助者和期刊存放数据的要求经常与GDPR发生冲突,瑞典乌普萨拉大学和意大利博尔扎诺EURAC Research高级研究员Deborah Mascalzoni博士说。如果我们能够遵守法律和资助者的要求,我们需要遵循开放科学的道路,同时考虑道德和法律规则。

今年4月份,Facebook首席执行官马克·扎克伯格在美国国会发表的证词中,GDPR字眼儿曾出现过好几次。不久前,欧洲议会议员在布鲁塞尔对扎克伯格提出质询时,这部法案也是其中一个主要焦点。欧盟官员表示,他们对扎克伯格有关GDPR问题的答复并不满意,后者已经承诺将继续以书面形式给出回答。

根据GDPR,研究人员有权撤销对进一步使用其数据的同意。为了行使这一权利,必须告知他们在研究资料库中处理他们的数据,但是一些资料库的建立方式可能使研究人员难以遵守法律。另一个挑战在于GDPR要求数据处理仅限于实现研究目标所需的内容,因此排除了长期保留未指定用途的数据。销毁此类数据会消除将来可能有用的资源,从而降低研究效率。

扎克伯格对美国国会议员们说:“我认为,总的来说,GDPR对于互联网来说将是个积极的促进力量。”他接着讨论了Facebook收紧数据政策的计划,保护用户不受进一步数据泄露事件的影响,并使在其网站上打广告变得更加透明。不仅仅是像Facebook这样的家喻户晓的互联网巨头必须遵守新法,医疗保健提供者、保险公司、银行和其他处理敏感个人数据的公司也将面临严格的监管。

但是,Mascalzoni博士和她的研究员Heidi Beate Bentzen博士(挪威奥斯陆大学法学硕士)说,这个问题的解决方案很容易获得。目前的困难源于这样一个事实,即法律和道德设计并不总是从一开始就嵌入到系统的规划中。这意味着这通常是作为事后补充添加的,这是一种修复一个案例但不是长期解决方案的补丁。虽然GDPR需要与研究人员的日常工作交织在一起,但它仍然是一个相当新的规则。

GDPR将对我们的网络足迹产生重大影响,以及我们使用的应用程序和服务如何保护或利用这些数据。下面,我们就与GDPR有关的重点问题进行解读:

如果你在实验室中引入一种新技术,你需要考虑它并使其适用于你现有的系统,例如IT和其他实验室设备。它与GDPR相同,本质上是一个很好的部分我们现在面临的储存库是,他们通常不在欧盟之外或在一个欧盟成员国(作为英国模式),而不考虑所有欧盟成员国的法规,Mascalzoni博士说。

何为GDPR?

由于法律限制阻止他们在期刊库中共享个人级别的遗传数据,研究人员目前可能会面临将问题提交给某些期刊的问题。他们可能能够与审阅者和编辑人员共享数据,在某些情况下还可以与其他研究人员共享数据,这些研究人员为特定目的请求数据,但不是更广泛。在这些案件中,期刊需要重新考虑他们的政策,Mascalzoni博士说。由于参与者的信任对研究的未来至关重要,我们惊讶地发现,研究资料库尚未改变他们的运作方式,而且期刊和资助者没有修改他们的政策来解释GDPR。

《通用数据保护条例》是一项全面的法律,赋予欧盟居民更多的个人数据控制权,并试图澄清在线服务对欧洲用户数据收集、存储以及使用的规则和责任。GDPR取代了1995年通过的欧盟数据保护法律,并对现有的公约进行了大幅修改。新法扩大了企业必须考虑的个人数据范围,并要求它们密切跟踪存储的欧盟居民个人数据。如果欧盟某个人想要某家公司删除他或她的数据、发送数据拷贝或者更正数据中的错误,这些公司都必须照做。

研究人员说,另一种方法是承认相互对等的政策。如果法律禁止某种做法,则很难要求个别科学家不服从或被排除在外,因此应适用例外和豁免。

不仅如此,欧盟居民现在可以反对公司使用他们数据的具体方式。但只要公司停止使用这些数据,他们不会介意这些数据的特定用途。更重要的是,新法要求公司在数据泄露的72小时内通知用户,目前很少有公司这么做。例如,美国个人信用评估机构Equifax遭到黑客袭击,美国和其他地区数百万用户个人信息被泄露,该公司先花了数周时间来阻止攻击,然后在告知公众之前制定好如何处理损害的计划。

我们希望我们的工作能够展示建立符合GDPR标准的研究资料库的紧迫性,并使资助机构和期刊的要求适应GDPR。如果我们要在一个开放,高效的科学环境中运作,我们需要建立一个安全的地方Mascalzoni博士总结说,研究人员和患者可以参与,知道人权和研究同时得到认真对待。

欧盟如何实施GDPR?

ESHG会议主席,英国泰恩河畔纽卡斯尔纽卡斯尔大学遗传医学研究所所长Joris Veltman教授说:数据共享对于科学进步至关重要,特别是在我们需要结合的人类遗传学领域临床和遗传数据,以了解每个人的基因组中存在的数百万种遗传变异的临床影响。本研究调查了新的欧盟数据保护法规如何影响数据共享,以及应该采取哪些措施来实现这一目标。负责任的态度。

欧盟的每个成员国都有自己的执行机制,每个国家都有自己的GDPR主管。居民可以向各自国家的管理机构投诉,违反法律的公司将面临可能非常严重的处罚。违反GDPR法律的最高罚款金额为2000万欧元,或相当于该公司年度全球收入的4%,届时哪个数额更高,就会按照哪个标准计算。

GDPR只适用于欧盟的公司吗?

并非如此,这也是它为何引发国际关注的原因之一。GDPR适用于任何收集、处理、管理或存储欧洲公民数据的组织。这包括大多数主要的在线服务和企业,它们靠收集、处理、管理或存储数据为生。正因为如此,GDPR实际上为数据保护设定了一个新的全球标准。

GDPR保护哪些数据?

该条例适用于广泛的个人数据,包括个人姓名、身份证号码。它也保护可以显示某人在线和现实世界活动的信息,包括位置信息、IP地址、cookie以及其他数据,这些数据可以让公司在用户浏览互联网时跟踪他们。