标签: 欧盟

人脸识别 60 年:欧盟通用数据保护条例真的算“史上最严”吗

2018年5月,欧盟《通用数据保护条例》(GDPR)正式生效。此后,法国对Google开出了高达5千万欧元的罚单,认为其服务条款不够透明,违背了取得用户“有效同意”的原则。瑞典数据监管机构也依据该条例对一所高中开出罚单,认为使用人脸识别记录出勤违背了“必要性原则”。 据统计,截至2020年1月,欧盟各国数据监管机构接到的违规举报超过16万件,而各国开出的罚单总金额达1.14亿欧元。 GDPR被誉为“史上最严格数据保护法”,也影响了其后多国的数据立法,包括中国刚刚出台的《个人信息保护法(草案)》。但面对更为敏感的生物识别数据,比如人脸数据,GDPR仍存在局限性。比如,它未能覆盖“数据生命全周期”,原始数据采集过程中的风险性就被大大低估了。 本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics:Global Approaches and Urgent Questions”(生物识别技术监管:全球举措及关键问题)的第四章。为便于理解,我们对原文进行了必要的补充和修改。 2004年,欧盟颁布了一项法律,要求各成员国在公民的护照和旅行文件中存储面部图像和指纹信息。大约同时,欧盟建立了一个大型数据库,涵盖申根地区所有寻求庇护者和申请签证者的生物识别数据。 不久,生物识别的应用在公共部门和私人企业得到了进一步扩张,用于控制人流、公司的电子门禁,以及校园监控。技术的优越性得到了欧洲委员会的承认,但后者提醒,生物识别数据应被视为“敏感”信息,它包含个人的健康状况、种族等敏感信息,能识别人的身份,能轻易与其他信息扣连,且不可更改。 面对上述风险,法律层面的监管一度“缺位”,无论是一般意义上的数据保护法,还是大多数国家的立法,都未有专门针对生物识别数据使用和处理的具体规定。技术开发和应用的同时,法律相对滞后。 为弥补其间差距,一些国家的数据保护监管机构开始制定生物识别数据的使用框架。比如,强调数据的敏感性、数据库维护的风险性,以及 “功能潜变”(编者注:function creep,即出于某一特定目的采集的数据被用于其他目的)的可能性,还包括使用目的和手段之间是否相称(编者注:proportionality,相称性原则,即需考察为达成某一目的,是否有必要采用生物识别技术)。然而,这些法案在实际操作时留下了诸多不确定空间。 2016年,欧盟推出了《通用数据保护条例》(General Data Protection Regulation,下文简称GDPR),适用于各成员国,涵盖了生物识别数据在公共和私人领域的应用。此外,欧盟还通过了《数据保护执法指令》(Data Protection Law Enforcement Directive,下文简称DP LED),专门针对执法部门,当执法者需为预防、监控、调查或起诉犯罪行为使用个人数据时,需遵守该指令。 DLA Piper律师事务所统计了2018年5月至2020年1月期间,各国数据监管机构依据GDPR所做出的判罚,其中,荷兰、德国、英国位列数据泄露案件数的前三位。图片来源:DLA Piper统计报告。 欧盟如何监管生物识别数据? GDPR和DP LED首次对生物识别数据作出定义:“与自然人的身体、生理或行为特征相关、经特定技术处理而产生的个人数据,这些个人数据可用于确认该自然人的独特身份,如面部图像或皮肤(指纹)数据。” 值得注意的是,对“特定技术处理”(specific technical processing)的强调排除了那些存储和保留在数据库中的“原始”数据,如视频监控拍到的人脸或录音,以及用户发布在网站、社交媒体上的原始信息。 此外,GDPR提及,“照片处理不应被系统地视为处理特殊类别的个人数据……”私人的视频片段也不被视作生物识别数据,除非它经过特殊技术处理,可以识别出个人。 虽然GDPR规定,禁止“以唯一识别为目的进行生物特征数据处理”,但这项禁令仍存在许多例外。比如数据“明显公开”,或“出于重大公共利益的目的”。这些“例外情况”大量存在,模糊不清,实际上,GDPR允许了很多场景下生物识别数据的处理和技术应用。作为一个基础性框架,GDPR也提及,各个成员国可以引入进一步的法规或禁令。 而DP LED则对执法机关使用生物识别数据提出了限制,只有在以下三种情况下执法机关可以使用生物识别数据:获得了法律授权、保护关键利益,或处理已被数据主体公开的数据。 当新技术的应用“可能导致高风险”时,或大规模处理特定类型的个人数据时, GDPR和DP LED要求启动“数据保护影响评估”(Data Protection Impact Assessments, DPIA)。此外,当公共部门系统性监控某个可公开进入的区域时,同样需要启用这种评估。 “数据保护影响评估”是一个综合性评估,包括数据处理的风险性、必要性,以及目的与手段是否相符。某些情况下,当私人机构或公共部门想要使用生物识别技术时,他们需要事先向当地或本国的数据监管部门咨询,获得许可。 英国信息委员会办公室(Information Commission Office)列出的“数据保护影响评估”的基本步骤,其中包括向有关部门咨询、评估必要性、评估手段与目的是否相符、风险评估、考虑降低风险的手段等。ICO表示,该评估应先于技术的应用。图片来源:ICO官网 此外,生物识别数据的处理和技术应用需尊重公民的基本人权和自由,当隐私权或个人数据保护权受到侵害时,与人权相关的法律框架也会被启用。 以下各节概述从这些监管尝试中获得的主要经验教训,讨论了它们的有效性,并重点介绍了未来监管应吸取的经验。 模糊的定义:原始数据在采集阶段的风险性被大大低估 GDPR和DP LED中,生物识别数据被定义为“经过特定技术处理”的数据,(编者注:由于过多强调数据的处理环节)。在采集和存储环节,除了获得用户同意、满足必要性等原则之外,相较于其他一般意义上的个人数据,生物识别数据并不享有更高级别的保护。 正因如此,生物识别数据在采集环节的风险性被大大低估了。一些理应受到保护的敏感数据由于尚未被处理编者注:即尚不符合GDPR对生物识别数据的定义),而无法被保护。这一点尤为关键,特别在执法部门使用时,透明度受限,数据可能在不通知有关个人或公众的情况下使用。这是GDPR和DP LED法律文本中的漏洞,公司和政府可以收集大型图像数据库,这些数据以后可能用于执法目的。 2020年,Clearview AI公司引发了巨大争议,通过一张人脸信息就可以识别出其身份和电子足迹,这也让更多人意识到现有法律框架的局限。图片来源:Clearview AI官网。 这也与欧洲人权法院的判例法相违背,后者一再强调,从数据库中捕获、收集和储存人类特征信息的做法妨碍了个人私生活被尊重的权利。此前,英国人Gaughran就将英国政府告上欧洲人权法庭,(编者注:2008年Gaughran因酒驾被捕,在警局留下了照片、指纹和DNA信息。其DNA样本在2015年被销毁,但其DNA资料、指纹信息和照片仍被无限期保留在警方记录中。Gaughran将英国告上法庭,要求警方销毁个人数据或退还给自己。)欧洲人权法院将人脸识别和面部特征比对等技术考虑在内,最终判决“保留申请人的DNA档案、指纹和照片等构成了对他私生活的干扰。” 更恰当的定义应能为人类特征数据提供法律保护,这些数据可用于身份识别目的,或可供自动化识别过程, 法规还应对数据的存储提出限制 。我们尝试提出另一种生物识别数据的定义:所有满足以下条件的个人数据:(a)直接或间接与人类独特的生物或行为特征有关的数据;(b)可使用或可通过自动化手段使用的数据;(c)可用于身份识别、身份验证或验证自然人主张的数据。” 生物识别“禁令”的模糊性 现有的法律未能对不同的生物识别系统进行区分,也未能对不同的数据处理方式设置针对性规范。例如,虽然GDPR的第9.1条列出了一些禁止使用和处理的规定,但它并没有区分“一对一” 的“验证”(编者注:1:1,比如通过电子门禁时,确认进入者身份)和“一对多”的“识别”。 目前,欧洲委员会和许多国家的数据监管部门表示,验证比识别的风险性小,因为验证不需要数据库。 一对多的身份识别存在额外的风险,包括在数据库中大规模收集和存储生物识别信息、基于概率的匹配(这引起了人们对准确性和误报的担忧),以及对隐私监视的担忧。但GDPR和DP LED并未区分这两种功能,这也造成了技术开发者的顾虑,对于希望投资生物识别验证技术和隐私增强方法的公司来说,这些操作存在法律上的不确定性。 恰当的监管应该更积极地区分不同处理方式的风险性差异,禁止那些构成真正风险的技术,鼓励那些有可能提供真正隐私和安全保护的功能。 什么是“例外情况”? 最后,法律中含糊的“例外情况”也存在漏洞,为一些高风险的技术使用方式打开了大门。 GDPR对“例外”的定义极为宽泛,允许基于“重大公共利益”进行生物识别数据处理(编者注:由于未对“重大公共利益”进行具体界定,它会成为一个宽泛的“筐”)。 由于对“例外”情况的界定笼统宽泛,目前尚不清楚其是否可作为授权公共部门或私人机构部署人脸识别技术的法律依据(例如,在大型体育场活动中)。GDPR和DP LED无法回答这些问题的,还需要制定更针对性的法律。         (消息来源:cnBeta;封面来自网络)

欧洲打算破解 WhatsApp 等通讯服务的数据加密方式

据报道,在巴黎、维也纳、尼斯发生一连串恐怖袭击之后,欧盟(EU)似乎正在为打击已接受端到端加密数据的行动做准备。在本月早些时候发表的一份联合声明中,欧盟成员国内政部长呼吁各国元首“慎重思考数据加密问题,以便主管部门能够合法收集和使用数字证据。” 在这份声明发表之前,有几份关于加密数据的欧盟内部文件遭遇泄露。最开始是由Politico发布的一份声明,提出了反对端到端加密的一些措施,并以此作为打击虐待儿童内容的一种方式。声明中说道:“对于此类非法内容的打击是争议最小的。” 端到端加密(End-to-end encryption)是一些应用程序和服务(包括WhatsApp、Signal和Facebook Messenger)使用的一种安全工具,旨在提供更高级别的隐私保护服务。 使用端到端加密工具发送的信息在离开发送者的手机或电脑之前会被加密,使用的密钥是交换双方设备的唯一密钥。即使这些信息在传输过程中被黑客或政府机构截获,这些信息也是不可读的,因为只有来自发送方和接收方的设备才能解码这些信息。 这种保密形式给试图监控犯罪团伙通信情况的国家带来了一个问题:只有当你真正能够读取非法信息内容时,拦截非法信息的能力才是有用的。 欧盟的一名发言人表示,长期以来,欧盟立法者一直在公民隐私权和警察机构工作范围之间寻求更妥善的平衡。 欧盟成员国已经在多个场合“呼吁采取解决方案,允许执法部门和其他主管部门在不禁止或削弱加密的情况下合法获取数字证据。” 正如7月安全联盟策略(Security Union Strategy)所述,欧盟选择支持这样一种方式:“既保持加密在保护隐私和通信安全方面的有效性,又能对严重犯罪和恐怖主义做出有效回应。” 欧盟反恐协调员吉尔斯·德克尔乔夫(Gilles de Kerchove)试图通过避开“后门(back-door)”的方式来达到这一目的,他认为这是与“前门(front-door)”相对应的方法,即与第三方加密提供商展开正式合作,而不是在尚未获得其同意的情况下擅自行动。 而隐私教育评论网站ProPrivacy的研究员雷·沃尔什(Ray Walsh)却表示,这种方法时不可能的。他在接受媒体采访时表示:“无论你是选择将一个专门开发的辅助接入点称为‘前门’还是‘后门’,其结果都是消除了数据所有权和访问控制,这将会不可避免地会导致一个根本性的漏洞。” 他补充说:“部长们想要鱼与熊掌兼得,但他们似乎不明白,也不想承认,这是不可能的,而且这种行为会有意识地造成数据加密系统的脆弱。如果这类立法获得通过,那么普通公众将会受到极大损害。” 伦敦国王学院(King’s College London)的德语区、欧洲与国际研究讲师亚历克斯•克拉克森(Alex Clarkson)指出,类似这种正在讨论中的措施“已经成为政府议程中持续进行的一部分。” 但他和沃尔什都强调,目前还只是讨论而已。 克拉克森将这些提议简单地描述为“官僚机构正在做什么”,是由一系列决策组成的政治“愿望清单”中的一部分。他表示:“这些系统中的某些部分会催生一种冲动,而系统的另一部分会对这种冲动进行制衡。但这并不一定意味着,他们会选择这些决策。” 尽管如此,沃尔什还是担心这种所谓“后门”的方式会引起争论。他说:“这将给国家安全和数据隐私带来问题,但实际上却并不会降低犯罪分子找到秘密通信方式的可能性,比如通过暗网或其他加密方式。” 他表示:“在任何自由开放的社会中,能够进行私下的自由交流是一项基本人权。剥夺公民在不被观察的情况下分享信息的能力,将导致更大程度的自我审查,使人们无法行使言论自由的权力。”       (消息来源:cnBeta;封面来自网络)

欧盟就 2015 年入侵德国议会网络事件对俄罗斯实施制裁

据外媒报道,当地时间周四欧盟宣布对俄罗斯实施制裁,因为认为后者参与了2015年入侵德国议会网络事件。欧盟对俄罗斯陆军下属的军事情报机构GRU及其两名军官进行了制裁。这两名GRU军官被确认为Dmitry Badin和Igor Kostyukov。 欧盟官员表示,Badin是2015年4月至5月期间入侵联邦议院IT网络的俄罗斯军事情报人员团队的一员。 “这次网络攻击的目标是议会的信息系统,并影响了议会数天的运作,”欧盟周四说。“大量数据被窃取,多名议员以及总理默克尔的电子邮件账户受到影响。” Kostyukov因担任GRU第一副负责人而受到制裁。欧盟官员表示,Kostyukov指挥着第85特种服务主中心(GTsSS),该中心也被称为军事单位26165,但在网络安全行业更常见的黑客代号为APT28、Fancy Bear、Sofacy或Strontium。 德国当局自今年早些时候对Badin提出正式指控后,一直在推动欧盟就2015年黑客事件对俄罗斯进行正式制裁。俄罗斯当局表示,德国从未就2015年联邦议院黑客事件和Badin的指控提供任何证据,指责柏林政府追逐制裁,而不是真的想把这位GRU官员送上法庭。 Badin在美国也被指控在APT28期间进行了一长串的黑客攻击,如针对世界反兴奋剂机构(WADA)、禁止化学武器组织(OPCW)的网络攻击,以及参与美国的政治虚假信息工作。 周四天的公告是欧盟今年对俄罗斯黑客实施的第二波制裁。布鲁塞尔官员在7月底制裁了四名GRU官员,因为他们试图入侵禁化武组织的WiFi网络。制裁内容包括旅行禁令和资产冻结。欧盟公民和企业被禁止与任何受制裁实体进行交易。     (消息及图片来源:cnBeta)

欧盟起草“打击名单” 大型科技公司将面临更严格的监管

欧盟希望进一步打击科技巨头已经不是秘密,他们可能会用一份简单的短名单来决定哪些公司面临新的限制。《金融时报》消息称,欧盟正在起草一份涉及多达20家大型科技公司的 “打击名单”,这些公司将面临比小型竞争对手更严厉的监管,比如强制数据共享和提高透明度的要求。该名单的制定基于市场份额、用户数以及他人对其平台的依赖性等标准。 不过目前谁在名单上还暂不清楚。不过,据信它非常以美国为中心,很可能包括亚马逊、苹果、Facebook和谷歌等知名重量级企业。这很可能无助于缓解欧盟与美国现任领导层的紧张关系,但事实上这又与美国众议院小组委员会的调查相吻合,该调查指责这些公司同样掌握着需要监管的垄断权力。 全面改革欧盟互联网监管的《数字服务法案》提案将于12月初提交,但目前还不能确定名单是否会同时准备好。 无论时间如何,目标都将保持不变。据报道,欧盟希望不仅仅是打算对科技公司进行罚款,而是想办法让这些公司迅速改变自己的行为,无论是开放竞争的通道,甚至是强迫它们拆分。理论上,这将会给当事企业施加压力,让它们在原本会推脱惩罚的地方改过自新。       (稿件及图片来源:cnbeta)

Twitter 怕再遭调查 主动向欧盟报备黑客攻击事件

新浪科技讯 北京时间7月22晚间消息,据国外媒体报道,在遭遇公司历史上最严重的安全破坏事件数日后,Twitter主动向欧盟数据保护机构报备该事件。 欧盟数据保护机构“爱尔兰数据保护委员会”(DPC)发言人格雷厄姆·多伊尔(Graham Doyle)今日称,该监管机构已收到关于这一事件的通报。DPC是Twitter和其他美国科技公司在欧盟的主要监管机构,因为这些公司的欧洲总部都设在爱尔兰。 当前,Twitter正在努力应对这一最严重的安全事故。Twitter上周三晚间宣布,黑客通过获得Twitter员工凭证的控制权,劫持了包括民主党总统候选人乔·拜登(Joe Biden)、前总统巴拉克·奥巴马(Barack Obama)、真人秀明星金·卡戴珊(Kim Kardashian)和科技亿万富豪兼特斯拉创始人埃隆·马斯克(Elon Musk)在内的账户。 Twitter随后又表示,黑客此次共锁定130个帐号,通过重置密码控制了其中的45个账号,并通过它们发布了“推文”(Twitter消息)。另外,Twitter还证实,攻击者成功地操纵了一小部分内部员工,并利用他们的凭证访问Twitter的内部系统。 2018年5月,欧盟新的数据隐私法规《通用数据保护条例》(GDPR)正式生效。同年10月,Twitter就在欧洲遭到了有关用户数据跟踪的调查。这也是GDPR生效之后,Twitter首次遭遇调查。(李明)     (稿源:新浪科技,封面源自网络。)

欧盟监管机构对谷歌发起数据隐私相关调查

北京时间5月23日凌晨消息,总部设在爱尔兰的欧盟数据保护委员会(Data Protection Commission)周三宣布将对谷歌展开调查,内容涉及这家科技巨头收集网络广告相关数据的行为。 在欧洲地区,欧盟数据保护委员会是对谷歌进行监管的主要机构,该委员会称其将会调查谷歌在广告交易中的数据处理方式是否违反了欧盟的隐私权规定。 “根据2018年数据保护法(Data Protection Act 2018)第110条的规定,我们已经开始对谷歌爱尔兰有限公司(Google Ireland Limited)在线上广告交易中处理个人数据的行为展开法定调查。”欧盟数据保护委员会在周三发布的一份声明中说道。 去年欧盟推出了全面的最新隐私权改革措施,也就是所谓的“一般数据保护条例”(GDPR),在控制个人数据的问题上向欧洲公民赋予了新的权利,包括他们拥有了解公司如何使用其数据以及强迫公司销毁其数据的权利等。 欧盟数据保护委员会宣布对谷歌展开调查的背景是,科技公司正在全球范围内面临着从内容到数据保护等各个方面的监管审查。去年,Facebook尤其遭到了诸多批评,原因是该公司允许颇受争议的政治咨询公司剑桥分析(Cambridge Analytica)获取了8700万名用户的个人数据。 与此同时,今年早些时候法国隐私监管机构决定对谷歌处以5000万欧元(约合5600万美元)的罚款,这是自“一般数据保护条例”出台以来,欧盟首次对一家美国科技巨头处以罚款。 “一般数据保护条例”是在2018年5月25日生效的,即将迎来一周年纪念日。(唐风)   (稿源:,稿件以及封面源自网络。)

谷歌 Facebook 等公司被曝在政府网站上追踪欧盟用户

讯 北京时间3月19日凌晨消息,丹麦浏览器分析公司Cookiebot公布研究报告称,欧盟各国政府将允许包括谷歌和Facebook在内的100多家广告公司在敏感的公共部门网站上秘密跟踪公民,而这显然是违反欧盟数据保护规则的。 Cookiebot在欧盟25个成员国的官方政府网站上发现了可记录用户位置、设备和广告主浏览行为的广告追踪工具,其中法国政府网站上的广告追踪工具数量最多,共有25家不同公司在其网站上跟踪用户行为。 在22个主要政府网站的前五大追踪域名中,谷歌、YouTube和谷歌旗下DoubleClick广告平台占据了三席。 研究人员还对欧盟公共卫生服务机构的网站进行了研究,结果发现在接受分析的网站中,就堕胎、艾滋病毒和精神疾病等敏感话题寻求健康建议的人而言,他们在超过一半的网站上都遇到了商业广告追踪工具。 Cookiebot对爱尔兰卫生服务网站的15个页面进行了扫描,发现其中近四分之三页面都含有广告追踪工具;而就法国政府有关流产服务的一个页面而言,有21家不同的公司正在对这个页面进行监控。一个有关产假的德国网页遭到了63个追踪工具的监控,而在提供艾滋病病毒症状、精神分裂症和酒精中毒相关信息的卫生服务网页上则发现了谷歌DoubleClick追踪工具。 研究人员还发现,虽然很多政府都在隐私政策中提到了谷歌用于运行网站的分析cookie,但该公司并未披露任何广告相关cookie。 “任何网站都有责任将其网站上发生的任何数据收集和处理行为告知用户。”非营利组织“隐私国际”(Privacy International)的技术专家埃利奥特·本迪内利(Eliot Bendinelli)说道。“这些网站没有遵循这项基本要求,这个事实表明当前的追踪生态系统已经失控。” 许多商业追踪工具应该是通过后门访问这些公共网站的,其中包括通过ShareThis等社交共享插件进行访问。 “我们发现,在未经用户本人同意或政府不知情的情况下,很多广告技术追踪工具都通过这些插件从其他第三方渠道访问网站。”Cookiebot CEO丹尼尔·约翰森(Daniel Johannsen)说道。“虽然政府应该并没有控制或是受益于有文件证明的数据收集行为,但其仍旧允许公民的隐私权受到损害,这违反了各国政府自己制定的法律。” 行业专家称,广告技术公司正在获取访问欧盟政府网站的访客的个人数据,并将这些数据与其他来源的数据结合起来,组合成每名独立用户的详细信息,并可能将其出售给数据掮客。 “浏览历史是非常私密的信息,能表明我们担心些什么,有什么计划,对什么感兴趣,日常生活是怎样的,工作的重点是什么。”本迪内利说道。“政府网站(的问题)是特别令人关注的案例,因为这些网站提供至关重要的信息和服务,人们依赖这些信息和服务,而且往往无法选择不使用这些信息和服务。” 布鲁塞尔民权组织“欧洲数字权利”(European Digital Rights)高级政策顾问迭戈·纳兰乔(Diego Naranjo)表示,Cookiebot的调查结果引发了人们的疑问,令人质疑这些公共网站是否违反了去年刚刚生效的欧盟“通用数据保护条例”(General Data Protection Regulations)。 “我们需要欧盟数据保护官员对这一行为是否符合‘通用数据保护条例’的问题进行分析。”他说道。“在我看来,这种行为没有任何明显的法理基础,并表明在线广告追踪的问题已经变得多么普遍,需要尽快加以解决。” 谷歌表示:“我们的政策很明确:如果网站出版商选择使用谷歌网站或广告产品,那就必须获许使用与这些产品相关的cookie才行。”此外谷歌还补充称,该公司不允许出版商“根据怀孕或艾滋病毒等健康状况相关的用户敏感信息来建立目标选择清单”。 Facebook发言人称,这项调查“让那些选择使用Facebook商业工具——如‘喜欢’和‘共享’按钮或Facebook像素等——的网站凸显了出来”。 “我们的商业工具能帮助网站和应用程序扩大社区,或是使其更好地了解人们如何使用它们的服务。”Facebook补充道。“Facebook认为,网站所有者有责任就哪些公司可能正在追踪用户的问题向后者发出通知。”     (稿源:,稿件以及封面源自网络。)

英国隐私保护组织投诉甲骨文等企业违反欧盟 GDPR 政策

讯 11月14日下午消息,据中国台湾地区iThome.com.tw报道,英国非营利隐私保护组织Privacy International(PI)上周投诉包括甲骨文(Oracle)在内的7家企业违反《欧盟通用数据保护条例》(EU General Data Protection Regulation,GDPR),并督促法国、英国及爱尔兰的数据保护组织展开调查。 据报道,受到投诉的7家企业全都握有大量消费者资料,包括从事数据分析的甲骨文与Acxiom,提供广告服务的Criteo、Quantcast、Tapad,以及信用报告企业Equifax与Experian。 该隐私保护组织认为,这些企业虽然都握有数百万名消费者资料,但并非是家喻户晓的品牌,因此极少受到挑战。然而,根据企业所公开的宣传文件或隐私政策,它们在利用这些个人数据时并未取得用户同意,也没有处理这些个人机密数据的依据,还缺乏GDPR所明列的透明、合法、目的限制、数据最小化及准确性等要求。 换句话说,该隐私保护组织挑战的是相关企业处理个人数据的深度,而且是GDPR对业者的基本要求。 该隐私保护组织指出,GDPR上线迄今已超过5个月了,该法令强化了个人保护自己数据的能力,对个人资料的处理有更严格的规定,理论上也提供更强大的执法权力,但GDPR真正的考验就在于执行,例如这些握有大量用户数据的企业即未曾被质疑。 GDPR祭出了高额罚金,让不少企业情愿选择撤出欧盟市场也不愿冒着触犯法律的风险,其最高罚款为2000万欧元或企业全球营收的4% ,且两者取其高者。 不过,尽管GDPR听起来非常吓人,但迄今尚未有业者受到处罚,这可能是因为每一家企业都受到了有效的指导,而在规定之内安全地运作,不过也有人认为只是还没有企业被逮到而已。   稿源:,稿件以及封面源自网络;

欧洲议会要求全面审计 Facebook:评估个人数据安全性

讯 北京时间10月26日上午消息,据美国科技媒体TechCrunch报道,在Facebook出现一系列数据泄露丑闻之后(包括此前“剑桥分析”事件),欧洲议会提出要对Facebook进行全面审计。 之前Facebook有870万用户的数据被不正当获取及滥用,为此欧洲议会成员正在敦促该公司允许欧盟机构进行全面审计,以评估数据保护和用户个人数据的安全性。 在决议中,他们还建议Facebook调整其应对选举干预问题的做法——并坚称该公司不但辜负了欧洲用户的信任,还“违反了欧盟法律”。 本月早些时候,欧盟议会的民权委员会通过了一项类似的决议,要求对Facebook进行全面且独立的审计,并要求该公司进一步调整其平台。 民权委员会还要求欧盟竞争法进行更新以反映它所称的“数字现实”,并调查大型科技社交媒体平台“可能出现的垄断行为”。 在议会投票之后,民权委员会主席克劳德·莫拉斯(Claude Moraes)在声明中表示:“这是一个全球性的问题,已经影响了我们的公民公投和选举。这一决议规定了一些需要落实的措施,包括对Facebook进行独立审计、更新我们的竞争法以及采取额外的措施保护我们的选举。我们必须立刻采取行动,这么做不仅是要恢复公民对于在线平台的信任,也是要保护公民的隐私,恢复他们对于我们民主体系的信任和信心。” 在该决议通过之前,Facebook的创始人马克·扎克伯格(Mark Zuckerberg)曾出席欧盟议会的党团主席联席会议。此前,欧盟议会委员会也举办了一系列的听证会,Facebook工作人员参与出席。 欧盟新出台的数据保护框架《一般数据保护条例》(GDPR)在今年五月才生效——因此,Cambridge Analytica数据泄密事件的处理依然是依据先前的数据保护网络,即由成员国法东拼西凑而得的一个规定。 今天早些时候,英国数据监管机构表示对于Facebook的违规行为进行罚款的决定维持原判。根据英国之前的数据保护制度,罚款金额最高可达50万英镑。 在新的决议中,欧洲议会成员表示Cambridge Analytica获取的数据也许被用于政治用途,包括英国脱欧的公投以及2016年的美国总统大选——并称选举法将数字竞选因素考虑在内一事刻不容缓。 为了应对社交媒体干预选举一事,欧洲议会成员提议: – 在网络上采用传统的“离线”选举保障措施:制定关于花费透明度以及限制的规定、尊重静默期、平等对待候选人; – 便于识别线上付费政治广告以及活动背后的组织; – 严禁出于选举目的进行介绍,包括利用线上行为来揭露政治偏好; – 社交媒体应当标记机器人分享的内容,加快删除虚假账号,并与独立的事实核查人及学术界合作,以解决虚假信息的问题; – 成员国在欧洲检察官组织的支持下对于境外势力滥用在线政治空间的问题进行调查。 最近,英国的一个议会委员会敦促政府优先考虑民主流程面临的数字风险并据以调整选举法。不过至今为止,政府对此的态度依旧是较为谨慎,称还在通过审查该问题的不同方面以收集证据。 与此同时,Facebook也在一些地区推出了针对政治广告商的监测系统——包括英国。但是议会成员国显然认为这家公司需要采取更多措施。 英国DPA此前曾呼吁从道德角度认真考虑在线平台出现的政治微目标定位问题,并表示对于数据的使用方式以及可能被滥用一事有诸多担忧。   稿源:,稿件以及封面源自网络;

欧盟隐私部门主管:首轮涉数据违规罚款或在年底实施

讯 北京时间10月10日早间消息,据路透社报道,欧盟隐私部门主管表示,监管机构将依据新隐私法行使权力,对违规行为处以罚款甚至临时禁令,预计今年年底将实施第一轮制裁。 《欧盟通用数据保护条例》(GDPR)于5月25日生效,被外界认定为欧盟二十多年来最大的数据隐私法规改革。新规允许消费者更好地控制他们的个人数据,并赋予监管机构权力,对违反规定的企业处以罚款,金额可高达其全球收入4%或2000万欧元(约合2300万美元)。 欧洲数据保护监督官员乔瓦尼·布塔雷利(Giovanni Buttarelli)说,从新法规公布之日起,执法人员收到大量有关违规行为的投诉,并被要求对此加以澄清,仅在法国和意大利,报告数量就与去年相比增长了53%。 布塔雷利在接受路透社采访时透露,“我预计到今年年底,第一批GDPR处罚情况将会对外公布。不一定是罚款,还包括废除控制方、实施初步禁令、临时禁令或给予他们最后通牒。” 数据控制方可以包括收集和处理个人数据的社交网络、搜索引擎和在线零售商,而数据处理方只代表控制方处理数据。 罚金由欧盟各成员国的国有隐私监管机构征收。虽然布塔雷利本人不从事罚款工作,但他负责协调整个欧盟的隐私代理机构。 罚款针对任何在欧洲经营的公司,无论总部设在哪里,都会受到GDPR的监管。 “罚金与企业直接挂钩,对公众舆论、消费者信任至为重要。但从行政角度来看,这只是全球执法的一个因素,”布塔雷利说。 制裁将在许多欧盟国家实施,许多公司和公共管理机构将受到冲击,但他拒绝提供细节,因为调查仍在进行中。 他指出,在GDPR规则实施当天,谷歌、Facebook、Instagram和WhatsApp均遭到奥地利隐私活动家麦克斯·施雷姆斯(Max Schrems)投诉,因为调查尚处于初期阶段,结果不会在近期公布。 布塔雷利还敦促欧盟各国和立法者弥合在修改电子隐私指令方面的分歧,该指令旨在为电信运营商和在线消息和电子邮件服务(如WhatsApp和Microsoft子公司Skype等)之间创造一个公平的竞争环境。 这项电子隐私提案受到隐私保护人士的赞扬,但被科技公司和一些欧盟国家指责为过于苛刻,因为它将严格的电信隐私规则扩展到科技巨头。 “电子隐私是必不可少的。这是必要的,它是数据保护和隐私的拼图中缺失的一部分。如果欧盟不能在(欧洲议会)选举前尽快更新其通信保密规则,那将是一种失职,”布塔雷利说。 欧洲议会选举将在2019年5月举行。 “我认为有机会找到可持续性策略,尽管有些问题是无法谈判的,例如OTT(Over-the-top,即互联网公司越过运营商,发展基于开放互联网的各种视频及数据服务业务),”他说。 消费者游说集团BEUC正在呼吁欧盟国家应该停止拖延。 BEUC发言人约翰内斯·克雷斯(Johannes Kleis)说:“这项法律将进一步保护消费者上网或使用移动应用程序时的隐私,以及保护他们在线通信的私密性,更为必要。”   稿源:,稿件以及封面源自网络;