2017年1月10日,欧盟委员会公布了新的电子隐私法规(ePR)草案,旨在取代现行的《电子隐私指令》(ePD),并补充《通用数据保护条例》(GDPR)。该草案如经采纳,将对在欧洲提供电子通信网络或服务的中国公司带来新的挑战,并对近年来在欧洲投资的中国公司具有普遍适用性。
核心内容:
-
适用范围:
- 扩展了电子通信服务的定义,包括IP声讯、短信服务、基于网络的电子邮件服务以及嵌入在约会软件和在线视频游戏中的短信服务等。
- 涵盖非成立于欧盟但向欧盟终端客户提供服务的电子通信服务提供商,需在欧盟国家委派代表。
-
电子通信数据机密性:
- 坚持电子通信数据的机密性原则,并规定了处理条件。
- 定义包括内容和元数据(如被叫号码、访问网站、地理位置等)。
- 将该原则适用于“物联网”下机器到机器之间的通信传输。
-
普遍适用的规则:
- Cookies:
- 修改了“cookie条款”,覆盖更广泛的类cookie应用程序(如“数字指纹”)。
- 终端用户的事先同意仍是关键基础,但用户可通过透明和人性化的浏览器设置表示同意。
- 要求所有允许电子通信的软件提供防止第三方存储或处理用户终端设备上信息的选项,包括使用隐私设置。
- 垃圾邮件:
- 扩大限制,禁止任何类型的未得到接收人事先同意的未经请求通信(包括通过SMS、MMS和蓝牙)。
- 继续涵盖直接电话营销,但现存客户的例外规则将进一步细化。
-
执法:
- 负责监督GDPR遵守情况的国家数据保护机关将负责监督ePR的适用。
- 授权处以高达全球年营业额4%的行政罚款。
-
后续步骤:
- 该草案尚在欧盟议会和理事会的审议中。
- 欧盟提议及时通过ePR,使其在2018年5月25日(GDPR生效日期)生效。
- 在已安装的软件中,要求在软件更新时提供隐私设置选项,但最迟不得晚于2018年8月25日。
