自 2018 年 5 月 25 日起,個人資料的處理須遵守第 2016/679 號法規,即“一般資料保護法規»(GDPR)。這新法律它同樣適用於歐盟所有國家,被所有利益相關者視為該領域的哥白尼革命。它大大加強了傳輸資料的公民的權利。反過來,它又增加了所有接收和處理這些資料的公司和組織的責任和法律風險,無論它們是否成立於歐盟。
因此,GDPR 迫使組織賦予個人對其資料處理更多的控制權和透明度。他們必須獲得用戶的明確同意(如果用戶未滿 16 歲,則必須獲得其父母的明確同意),並指定處理哪些數據以及處理目的。特別是,他們必須表明此處理是否是自動化的並構成分析。他們必須允許人們存取、修正和刪除這些數據。 GDPR 也賦予資料可攜性的權利,也就是說能夠在“結構化、常用且機器可讀的格式”,並能夠將它們傳輸到另一個組織“在技術上可行的情況下”。
如果出現問題,使用者可以聯絡所在國家/地區的資料保護機構,無論處理資料的組織位於何處。為了捍衛自己面對網路巨頭的權利,他現在可以直接向 CNIL 求助,而不必聯繫愛爾蘭同行。如果發生侵權行為,責任組織將面臨高達其全球營業額4%的處罰,這是相當具有勸誡性的。
另一個潛在爆炸性的新功能:使用者現在可以發起集體行動來捍衛自己的權利,並為可能遭受的傷害尋求賠償。一些協會已經在收集投訴,以使其恢復正常運作。因此,Quadrature du net 今天推出五組動作針對谷歌、蘋果、Facebook、亞馬遜和微軟。要加入不同的程序,只需在協會網站上註冊並授予其代表權即可。有許多指控:Google的大規模監控、蘋果的大型 cookie 追蹤、Facebook 的強制同意、微軟非法使用私人儲存來訓練 Cortana 等等。
應該指出的是,這些程序純粹是行政性的,將由 CNIL 啟動。然而,該協會警告什麼“如果到 9 月 3 日她還沒有採取任何行動,我們將向司法、民事或刑事當局提起訴訟”。
法國互聯網協會則不打算通過 CNIL 盒子。她計劃於5月26日直接告上法庭,發起集體訴訟,要求賠償,打著“« 巴士底獄電子版 »。「我們正在收集投訴,然後由中央機構進行驗證。我們計劃在學年開始時啟動法律程序”負責這項倡議的律師兼「數位拯救委員會」成員 Maître Olivier Iteanu 解釋道。考慮的途徑包括監視、分析和文件交叉。
馬克斯·施雷姆斯取消美歐資料共享協議「安全港」的奧地利人,也隨著該協會的成立,發動了個人資料的保衛戰“小白”(意思是“None Of Your Business”,可以翻譯為“這不關你的事”)。該結構旨在執行歐洲法律,必要時透過法庭和集體訴訟。 Noyb 的創立是透過眾籌超過 34 萬歐元實現的。然而,諾伊布並不打算單獨採取行動,而是希望在歐洲與消費者協會、大學和駭客建立聯繫。施雷姆斯也希望建立一個能夠幫助公民和協會努力的歐洲律師網絡。
所有這些協會都在磨礪自己的武器,這一事實不僅令人安心,而且也是殘酷必要的。如果沒有它們,即使有像 GDPR 這樣的限制性法律,網路巨頭和用戶之間的不平衡也可能永遠無法解決。「從理論上講,這個案文是進步,但這必須在實踐中得到證實。當然,CNIL會發揮作用,進行檢查,但手段有限。她無法憑一己之力感動大人物。我們必須以強大的消費者協會的形式創造真正的反制力量”南特商學院 Audencia 行銷部研究經理 Caroline Lancelot-Miltgen 估計。
這位教師兼研究員表示,網路巨頭並不打算向用戶贈送任何禮物,並且對法律採取極簡立場。«他們改變了使用條款,但文本仍然無法飲用,也沒有人閱讀。這些不是通知使用者的文字。它們是由一群律師為了保護企業而製定的。遺憾的是,這並沒有走得更遠”卡羅琳·蘭斯洛特-米爾特根 (Caroline Lancelot-Miltgen) 繼續說道,此外,對她來說,同意並不是那麼自由。«當然,我們可以拒絕Facebook的同意,但用戶還有什麼選擇呢?他們真正可以求助於哪些同等服務? »,她強調。
公司很容易利用的法律漏洞之一是合法利益條款。事實上,與人們的想法相反,處理個人資料並不總是必須徵得同意。 GDPR 規定了其他五種合法情況(第 6 條):合約的執行、法律義務、個人切身利益的保護、公共利益使命的執行以及…公司的合法利益。行為者可能會試圖將其納入此類數據,而不是徵求對某種類型數據的同意,例如透過爭論有必要使他們的線上服務正常運作。 Max Schrems 表示,Google、Facebook 和微軟在新的使用條件下都會採用這項策略。
https://twitter.com/maxschrems/status/995201681959931905
迄今為止,顯然無法知道新的使用條件是否符合歐洲法律。只有判例法才能讓我們看得更清楚,這就需要走到法律的前端。因此,從長遠來看,我們將會有一些偉大的戰鬥。
