互联网资料

GDPR对新闻传播机构的影响

2019-03-10 10:59:18 新闻与传播编辑

GDPR

GDPR(General Data Protection Regulation,通用数据保护条例) 是欧盟针对隐私保护实施的一项新立法,是有史以来规模最大、最具惩罚性的隐私保护法。该条例于 2012 年 11 月制订 ,2016年 4 月 14 日通过,2018 年 5 月 25日正式生效,以替代 1995 年出台的《欧盟数据保护指令》(简称 95指令)。GDPR 旨在使欧盟和泛欧盟经济区达到更广泛的法律一致性,同时推出更严格的规定来保护欧盟公民免受隐私和数据泄露的影响。受 GDPR 实施的影响,各国涉欧企业都开始改变或停止在欧盟地区的传统做法。 例如 ,谷歌和Facebook 都已经修改了用户政策条款,苹果公司已停止了在机器学习和人工智能系统开发中使用用户数据,美国多家新闻网站拒绝或暂时拒绝欧盟访客,韩国大型在线游戏《仙境传说》直接关停了欧盟地区服务器。鉴于 GDPR 实施的重要性,中国涉欧企业需在熟悉该条例相关内容的基础上,结合相应受到的影响,积极主动地采取有效的应对措施。

新闻与传播资料

GDPR 的主要内容:

1、制定了数据处理的规定和原则

GDPR 第四条对个人信息进行了宽泛地解释:不仅用户提供的交易信息如银行账号、地址和联系方式等属于个人信息,某些网络数据也可以被认为个人信息,例如 IP 地址。

2、数据主体的权利扩大

GDPR 对数据主体的权利有进一步扩大的新规,主要有以下几方面:

(1)增加了数据的可携权。数据可携权是指数据主体有权就其被收集处理的个人数据获得对应的副本,并可以在技术可行时直接要求控制者将这些个人数据传输给另一控制者。GDPR 要求数据控制者保障数据具有结构化、通用、机器可读以及操作性等技术可行性特点,该权利使得个人数据在不同的服务提供者之间转移更容易实现。

(2)创新性的设计了被遗忘和删除权。被遗忘和删除权是指数据主体有权要求数据控制者删除其数据,并不得有不合理的延迟。GDPR 详细构筑了被遗忘和删除权的构成要件,包括主体、客体、适用条件、例外情况及不遵守被遗忘和删除权的处罚措施。该权利意味着数据主体对数据的存留拥有更多的决定权。

(3)针对个人数据的同意增加了要件。数据主体的同意是指数据主体自愿做出的明确的、具体的同意其数据被处理的指示。
GDPR 扩大了同意的要件,要求同意必须以易于理解且与其他事项
显著区别的形式呈现,数据主体有权随时撤回。

(4)保障个人对其数据的访问权、限制处理权与拒绝权。数据主体有权获得其数据处理与否及其处理目的、分类、存储的方式,并有权要求纠正以及限制数据的处理行为,在营销以及部分科学研究与统计活动中,数据主体有权拒绝有关其个人的数据处理。
(5)规定了特殊数据处理。特殊数据指隐私数据或者称特殊类别的的个人数据,这些数据关系着个人身体健康、生命及财产安全,对其处理存在特定的风险。GDPR 专门规定了对这类数据的处理条件。

3、数据义务主体的义务增加。

数据的义务主体主要有数据的控制方和数据的处理方。GDPR 要求作为数据义务主体企业履行更多的义务。主要有以下几点:

(1)任命专门的数据保护专员(Data Protection Officer,DPO),DPO 负责创建访问控制,降低风险,确保数据控制者和数据 处理者符合 GDPR 的规定。数据主体也可以联系 DPO 来行使自己的权利,同时 DPO 也扮演着与监管机构间的联系人和合作者的角色。

(2)个人数据泄露报告
(Date Breach Notification)。GDPR 要求数据义务主体在数据泄露的 24 小时内报告监管机构和数据主体。如果数据泄露可能危及数据主体的安全时,应当及时通知数据主体,以便个人及时采取措施。
(3)建设“隐私内置”机制。要求产品或服务主体的整个生命周期贯穿隐私和数据保护。

(4)实施隐私
保护影响评估,即对于高风险的数据处理活动,需要事先评估,主要有系统性的评估、必要性评估和数据主体风险性评估等。

4、数据传输规则的完善

GDPR 明确规定,除非满足特定条件,欧盟公民的个人数据不得转移到不能达到与欧盟同等保护水平的国家。对此,GDPR 规定了数据
流合法路径:

(1)充分性要求,给出了具体满足充分性要求的方法和标准,并要求对各国是否满足要求进行持续监督。

(2)有约束力的公司规则。对跨国公司内部跨境数据流转移规则给予正式的法律地位,并详细规定了该规则的认可程序和内容标准。

(3)标准的合同条款。
规定数据控制方和数据处理方之间的合同应当至少包含哪些内容,如数据处理的目的、期限、个人数据的类型、数据主体的类别以及双方的权利义务等。

5、执法监管机制的加强
GDPR 加强了监管机构的执法权,包括行使各项调查权,督促企业采取纠正措施,保障公司司法救济,提起司法诉讼等。据此,欧盟实施“一站式”投诉服务来处理跨境投诉,并成立欧盟数据保护理事会,以便监督法案实施,提供合规与认证建议,协调处理投诉。


GDPR对社交媒体或者新闻媒体的影响:

1、增加媒体的盈利成本

多数新闻媒体都会采用以下两种主要收入模式:用户订阅和针对目标受众投放广告。这两种模式都将个人数据处理作为核心,定期自动处理,通常通过系统自动发送营销性质的电子邮件或是投送相应的广告来实现。在GDPR条例的作用下,这些因素使得媒体可能会需要花费高价来完成,比如设置数据保护的相关管理人员,记录媒体是如何处理用户数据等。

2、改变媒体的收益模式

在GDPR条例的作用下,网站的收入模式就变得重要起来,因为这关系到哪条条例会被诱发。如果网站通过对目标受众投放广告来获得收入,那么条例中的网络隐私规定会给予用户权利,使他们有权选择不用网站的某些cookie功能(如Google Analytics,DoubleClick,或Adsense)。

如果网站是采用基于用户订阅的模式,那么更多敏感的的用户个人数据会被收集。如泰晤士报和Der Spiegel(德国新闻杂志),用户在这两个网站注册账号时,就需要记录个人性别等信息。如果要利用这类信息那就涉及到了GDPR。GDPR的第22项条款中的第四点特别指出新闻媒体在收集用户个人数据时要征得用户“明确的同意”。这一条看似简单,但在GDPR的环境下其实很难实现,它可能需要媒体在实施的过程中运用一些小技巧。

3、需要新闻媒体达到更高标准的透明度

新闻媒体行业在未来发展过程中必然会受到GDPR的限制。随着新闻媒体逐渐摆脱对广告收入和第三方平台的依赖,个人化信息数据的收集会更大程度上被加重,这就意味着他们不得不加大信息数据的透明度。新闻媒体网络平台需要给予用户技术上的权限,如删除个人数据信息和Cookie,并提供相应的数据保护服务。