正文

世界上最严数据法案(史上最严数据保护法)

秒到网
秒到网 V管理员 /26阅读/0评论
0118

欧盟根据《数字市场法案》(DMA)指定六家大型高科技企业为“看门人”,并公布受监管的核心平台服务清单,涉及中国字节跳动旗下TikTok等企业。

世界上最严数据法案(史上最严数据保护法)

9月6日,欧盟委员会依据《数字市场法案》,首次指定Alphabet(谷歌母公司)、亚马逊、苹果、字节跳动、Meta(脸书母公司)和微软六家企业为“看门人”。这些企业处于绝对垄断地位,需承担法案规定的义务。

涵盖的22项核心平台服务包括:Alphabet的谷歌搜索、苹果的App Store、亚马逊的Marketplace、字节跳动的TikTok、Meta的Facebook等。这些服务被纳入严格监管范围,要求企业不得滥用市场支配地位。

禁止滥用市场地位:企业不得通过打压或并购竞争对手巩固垄断,例如苹果和谷歌曾因强制应用内购买支付渠道被欧盟处罚。

用户权益保护:未经用户允许不得强行推送广告或安装软件,例如Meta曾因数据隐私问题被罚款12亿欧元。

开放生态竞争:要求企业与竞争对手建立链接,例如亚马逊需允许第三方卖家在平台外引流。

违规处罚:违反规定的企业将面临最高营业额10%的罚款,以2022年数据计算,谷歌最高可能被罚280亿美元。

合规调整期:TikTok和Facebook等需在六个月内遵守新规或向欧盟法院提出质疑。例如,TikTok已表示正在评估下一步行动。

特定服务调查:欧盟委员会需更多时间调查微软的必应、Edge、广告服务及苹果的iMessage是否应受约束,调查期间不罚款。

操作系统监管评估:欧盟已启动对苹果iPad操作系统的调查,可能扩大监管范围至更多硬件生态。

企业声明:微软称欢迎针对其“市场挑战者”服务的调查;苹果表达对隐私和数据安全风险的担忧;亚马逊强调适应欧洲监管环境。

立法目标:该法案是欧美规模最大的数字监管立法,旨在遏制科技巨头垄断,促进数字市场公平竞争。

历史处罚案例:欧盟此前已对谷歌、苹果等企业处以数十亿欧元罚款,例如谷歌因安卓系统捆绑搜索服务被罚43亿欧元。

运营调整压力:微软和苹果可能因新规被迫改变在欧洲的运营方式,例如苹果或需开放App Store支付系统。

生效时间:法案于2023年3月生效,监管机构已启动对企业的合规性审查。

企业评估期:被指定企业需在六个月内完成内部整改,否则将面临处罚。

长期影响:法案可能重塑全球数字市场竞争格局,为其他国家提供监管范本。

美国数据隐私保护新草案发布,引起企业进行自查调整

美国《美国数据隐私和保护法案》(ADPPA)草案发布后,企业需根据其数据保护新要求进行自查调整,包括最小化数据收集、加强保护措施、支持个人数据权利及准备应对儿童数据保护等。

涵盖实体与数据范围:ADPPA草案规定“涵盖实体”(受美国《联邦贸易委员会法案》约束的任何实体)不得收集、处理或传输超出合理必要、相称和法案规定的数据。其定义的“涵盖数据”包括识别、链接或关联到个人的信息及设备数据(如派生数据、唯一标识符),但排除去识别数据、雇员资料和公开信息。例如,政府ID号码、社会安全号码或未成年人相关信息均属“涵盖数据”。

忠诚义务与企业责任:草案要求企业最小化数据收集,实施严格保护措施,并在数据传输给第三方时附加选择退出和增强约束。企业需证明其数据收集的必要性,并确保数据安全。

数据保护力度升级:ADPPA与欧盟《通用数据保护条例》(GDPR)类似,均对企业施加严格的数据保护要求。例如,ADPPA要求企业保护“涵盖数据”不被未经授权访问,并设置高门槛的同意、目的限制和选择退出机制。

广泛的数据定义:ADPPA对“涵盖数据”的定义覆盖范围广泛,包括唯一标识符等可能被忽视的数据类型。企业需重新评估其数据收集实践,确保合规性。

企业协作与隐私权:ADPPA的颁布被视为全球最大数字生态中个人隐私权与企业协作的重要步骤。企业需调整政策以适应新要求,避免因数据保护不力而面临法律风险。

数据控制权:ADPPA授予个人更正、删除、访问和转移自身数据的权利。例如,个人可要求企业删除其敏感信息或将其数据转移至其他服务提供商。

民事诉讼权:个人有权对侵权行为提起民事诉讼,这增加了企业的合规压力。同时,美国联邦贸易委员会(FTC)将负责对不合规组织实施处罚。

数据收集最小化:企业需评估其数据收集实践,确保仅收集合理必要的数据。例如,通过匿名化技术减少个人数据存储,或限制数据收集频率。

针对性广告停用准备:ADPPA可能限制企业使用个人数据进行定向广告。企业需探索替代营销策略,如基于上下文的广告或用户主动选择的个性化服务。

儿童数据保护强化:企业需为未成年人提供更严格的数据保护,例如通过年龄验证机制限制儿童数据收集,或获得家长同意后再处理儿童数据。

流程与政策更新:企业需建立内部流程以支持数据最小化原则,并更新隐私政策以明确数据使用目的和用户权利。例如,提供清晰的选择退出机制或数据访问入口。

联邦层面数据保护框架:ADPPA是美国首个联邦级数据隐私法案,旨在统一各州分散的隐私法规,为企业提供明确的合规标准。此前,美国各州已出台多项数据隐私法律(如加州CCPA),但缺乏全国性框架。

全球数据保护趋势:ADPPA的出台反映了全球对数据隐私的重视。中国、欧盟等地区已通过《个人信息保护法》《GDPR》等法规强化数据保护,ADPPA为跨国企业提供了新的合规参考。

企业合规挑战与机遇:企业需投入资源以适应ADPPA要求,但合规性也将提升用户信任,增强市场竞争力。例如,通过透明化数据实践吸引隐私意识强的消费者。

结语:ADPPA草案的发布标志着美国在数据隐私保护领域迈出重要一步。其严格的数据收集限制、个人权利扩展和企业责任要求,将推动企业重新审视其数据实践。尽管法案尚未最终通过,但企业已需提前准备,以确保在落地时能够迅速合规。