自 2018 年 5 月 25 日起,个人数据的处理须遵守第 2016/679 号法规,即“一般数据保护法规»(GDPR)。这新法律它同样适用于欧盟所有国家,被所有利益相关者视为该领域的哥白尼革命。它大大加强了传输数据的公民的权利。反过来,它又增加了所有接收和处理这些数据的公司和组织的责任和法律风险,无论它们是否成立于欧盟。
因此,GDPR 迫使组织赋予个人对其数据处理更多的控制权和透明度。他们必须获得用户的明确同意(如果用户未满 16 岁,则必须获得其父母的明确同意),并指定处理哪些数据以及处理目的。特别是,他们必须表明此处理是否是自动化的并构成分析。他们必须允许人们访问、纠正和删除这些数据。 GDPR 还赋予数据可移植性的权利,也就是说能够在“结构化、常用且机器可读的格式”,并能够将它们传输到另一个组织“在技术上可行的情况下”。
如果出现问题,用户可以联系所在国家/地区的数据保护机构,无论处理数据的组织位于何处。为了捍卫自己面对互联网巨头的权利,他现在可以直接向 CNIL 求助,而不必联系爱尔兰同行。如果发生侵权行为,责任组织将面临高达其全球营业额4%的处罚,这是相当具有劝诫性的。
另一个潜在爆炸性的新功能:用户现在将能够发起集体行动来捍卫自己的权利并为可能遭受的伤害寻求赔偿。一些协会已经在收集投诉,以使其恢复正常运转。因此,Quadrature du net 今天推出五组动作针对谷歌、苹果、Facebook、亚马逊和微软。要加入不同的程序,只需在协会网站上注册并授予其代表权即可。有很多指控:谷歌的大规模监控、苹果的大型 cookie 跟踪、Facebook 的强制同意、微软非法使用私人存储来训练 Cortana 等等。
应该指出的是,这些程序纯粹是行政性的,将由 CNIL 启动。然而,该协会警告什么“如果到 9 月 3 日她还没有采取任何行动,我们将向司法、民事或刑事当局提起诉讼”。
法国互联网协会则不打算通过 CNIL 盒子。她计划于5月26日直接告上法庭,发起集体诉讼,要求赔偿,打着“« 巴士底狱电子版 »。“我们正在收集投诉,然后由中央机构进行验证。我们计划在学年开始时启动法律程序”负责这项倡议的律师兼“数字拯救委员会”成员 Maître Olivier Iteanu 解释道。考虑的途径包括监视、分析和文件交叉。
马克斯·施雷姆斯取消美欧数据共享协议“安全港”的奥地利人,也随着该协会的创建,发起了个人数据的保卫战“小白”(意思是“None Of Your Business”,可以翻译为“这不关你的事”)。该结构旨在执行欧洲法律,必要时通过法庭和集体诉讼。 Noyb 的创立是通过众筹超过 34 万欧元实现的。然而,诺伊布并不打算单独采取行动,而是希望在欧洲与消费者协会、大学和黑客建立联系。施雷姆斯还希望建立一个欧洲律师网络,能够帮助公民和协会完成诉讼程序。
所有这些协会都在磨砺自己的武器,这一事实不仅令人安心,而且也是残酷必要的。如果没有它们,即使有 GDPR 这样的限制性法律,互联网巨头和用户之间的不平衡也可能永远无法解决。“从理论上讲,这个案文是进步,但这必须在实践中得到证实。当然,CNIL会发挥作用,进行检查,但手段有限。她无法凭一己之力感动大人物。我们必须以强大的消费者协会的形式创造真正的对抗力量”南特商学院 Audencia 市场营销部研究经理 Caroline Lancelot-Miltgen 估计道。
这位教师兼研究员表示,互联网巨头无意向用户赠送任何礼物,并对法律采取极简立场。«他们改变了使用条款,但文本仍然无法饮用,也没有人阅读。这些不是通知用户的文本。它们是由一群律师为了保护企业而制定的。遗憾的是,这并没有走得更远”卡罗琳·兰斯洛特-米尔特根 (Caroline Lancelot-Miltgen) 继续说道,此外,对她来说,同意并不是那么自由。«当然,我们可以拒绝Facebook的同意,但用户还有什么选择呢?他们真正可以求助于哪些同等服务? »,她强调。
公司很容易利用的法律漏洞之一是合法利益条款。事实上,与人们的想法相反,处理个人数据并不总是必须征得同意。 GDPR 规定了其他五种合法情况(第 6 条):合同的执行、法律义务、个人切身利益的保护、公共利益使命的执行以及……公司的合法利益。行为者可能会试图将其纳入此类数据,而不是请求对某种类型的数据的同意,例如通过争论有必要使他们的在线服务正常运行。 Max Schrems 表示,谷歌、Facebook 和微软在新的使用条件下都会采用这一策略。
https://twitter.com/maxschrems/status/995201681959931905
迄今为止,显然无法知道新的使用条件是否符合欧洲法律。只有判例法才能让我们看得更清楚,这就需要走到法律的前沿。因此,从长远来看,我们将会有一些伟大的战斗。
