6月初的一次金融会议上,中国人民银行支付结算司副司长爽文谈到支付信息和数据安全时表示,“欧盟近期发布的《一般数据保护条例》对国内支付机构跨境业务合规性提出了严峻挑战,同时也给我国如何加强对数据安全监管提供了有益借鉴。”
他说,尽管在相关制度制定中,已经确立了市场机构采集、处理数据应当遵循合法性、透明性、最小化等基本原则,但实践中过度信息收集、滥用信息甚至买卖信息数据的情况依然严重。
《一般数据保护条例》是什么?
《一般数据保护条例》(General Data Protection Regulation),简称GDPR,,是欧盟今年5月25日出台的个人数据保护条例,前身是欧盟在1995年制定的《计算机数据保护法》,这项条例的制定已延续了好几年。
作为“史上最严数据保护法”,GDPR正式生效1个多月。该条例对个人数据的收集、组织、存储、改编、查询、使用、组合、限制、清除或销毁明确规定。其中,这几条特别关键:
第3条,管辖范围,详细明确了适用的地域范围不仅限于欧盟境内,其域外效力延及业务涉及欧盟境内个人的境外组织机构。第4条,对于个人数据和应用等定义,通过26项款明确个人数据、处理、剖析、整理汇集系统、控制者、第三方、基因数据、生物识别数据、有关健康的数据、监管机构、企业等。第7条,同意条件。
关于GDPR,有5点要特别记住:
1、GPDR的管辖范围并不局限在欧盟境内,只要一家企业向欧盟境内的个人提供了商品或服务、并收集或处理了个人数据,不管该企业是否在欧盟境内设有机构,都适用于GDPR。
2、企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。
3、服务经营者必须事先向个人说明会自动记录用户的数据,并获得用户的同意,否则按违法处理。
