全球知名网上零售商亚马逊在7月30日公开的监管备案文件显示,2021年7月16日,卢森堡国家数据保护委员会裁定亚马逊对其用户数据保护不力,违反了欧盟《一般数据保护条例》(GeneralDataProtectionRegulation,以下简称“GDPR”),由此对亚马逊处以7.46亿欧元的罚款。这也是迄今为止欧盟依据GDPR创下的最高罚款记录。
GDPR自颁布以来一直被称为“史上最严格的个人数据保护法”,此次互联网巨头亚马逊遭受巨额罚款再次证明了这一点。
首先是因为GDPR适用范围很广,根据GDPR第2条和第3条的规定,GDPR适用于所有对于个人数据的使用及处理行为,包括人工的处理以及自动化的处理。在地域上GDPR可以规制所有的营业地设立在欧盟境内的数据控制者或数据处理者,而且无论这些数据的处理行为是否在欧盟境内发生。综上,无论企业所在地在哪里,只要其向欧盟数据主体提供产品、服务或监控相关行为,或处理和持有居住在欧盟的数据主体的个人数据,那么就受到GDPR监管。
瑞银:美国超过35%的家办计划投资加密货币:金色财经报道,瑞银最近的全球家族办公室报告指出,美国超过35%的家族办公室计划增加对加密资产的敞口。这一投资者类别正在见证几年来战略资产配置的最大转变。此外,27%的家族办公室计划今年专门投资于加密货币。报告称,大约四分之一的人表示他们正在研究DeFi投资。数字交易所或代币化平台是21%的受访家族办公室的首选投资机会。
日本银行业巨头野村证券的一项相关调查显示,高达96%的专业投资者将数字资产视为代表投资多元化的机会。这是对固定收益、现金、股票和商品等传统资产类别的补充。5月初,BeInCrypto报告称,目前32%的家族办公室正在投资数字资产。除了加密货币,家族办公室还对稳定币、NFT、DeFi和以区块链为重点的基金表现出兴趣。[2023/6/16 21:42:18]
一旦违反GDPR规定,企业将面临重罚。根据GDPR第83条之规定,如果某公司未按要求做好相关记录,或者将其违规行为未通知监管当局和数据主体,或者未进行影响评估,则可能被处以其全球年营业额的2%的罚款。如果发生了侵犯个人信息安全的行为,那么就可能面临高达其全球年营业额的4%或2000万欧元的巨额行政罚款。
声音 | 瑞银Paul Donovan:人们对比特币的兴趣实际上已经急剧下降:瑞银全球财富管理首席经济学家Paul Donovan称,尽管比特币价格最近飙升,但人们对比特币的兴趣实际上已经急剧下降。谷歌趋势显示,2017年12月左右,在线搜索量出现飙升,当时全球都为之着迷,比特币价格接近2万美元,一些头脑发热的人预计价格将达到10万美元,甚至100万美元。Donovan说最初的兴奋已经过去。“我们自己的客户过去常常会问这个问题,但在过去的18个月里,这种兴趣几乎消失了。”他认为,比特币在平衡的投资组合中没有一席之地。“加密货币不是资产,也不是货币,不能用来纳税。”他补充说,加密货币之所以有价值,纯粹是因为其他人愿意购买它们。“它们是一种计算机代码,由懂数学、但不懂经济学或货币的人设计,目的是为它们的存在寻找正当理由。”他表示,“当比特币接近2万美元时,人们真正担心的是,消息不灵通的私人投资者正在不受监管的市场上购买加密产品,他们的毕生积蓄正被泡沫卖家夺走。这让我和许多其他经济学家非常愤怒。”鉴于兴趣日益减少,这种情况不太可能再次发生。他表示,“如果人们想押注价格变动,并接受自己可能会失去一切,那就没什么好担心的了。”(The National)[2020/2/16]
基于区块链的性质,GDPR对区块链行业的影响更甚。众所周知,区块链技术的核心特征是通过对数据客观且不可撤销的写入与读取等手段,来解决信用问题。但GDPR规定了数据主体在合法收集、处理的个人数据出现过时、不相干、不准确等情形时可以要求数据控制者删除该数据的权利,这就出现了极大的矛盾,因为修改区块链上的数据非常困难,但是如果不删除就可能面临GDPR的处罚。这无疑对区块链行业提出了更高的要求——在收集、处理个人数据阶段就应高度合规化。
瑞银、巴克莱银行、汤森路透等联手打造基于以太坊的区块链信息平台:虚拟货币市场火热,其底层技术区块链技术也进入主流金融机构的视野。以应对将于2018年1月3日生效的MiFID II金融改革(所有参与金融活动的法人实体必须经过身份核实),瑞银、瑞士信贷银行、巴克莱银行、汤森路透等6大金融机构联手打造基于以太坊的用户数据平台Madrec,用于集成、储存来自不同机构的法人实体的信息,以提高效率、减少成本。该试点项目预计明年1月末完成。[2017/12/11]
收集处理个人信息必须征得用户明确同意
GDPR要求对于征求个人信息的请求必须以清晰易懂的语言且以易理解、易于阅读的形式提供,并说明处理其个人数据的目的。同意必须清晰明确,并与其他事项区分开来。撤回同意应该和表示同意一样容易操作。企业切记不得再使用冗长无法辨认且全部是法言法语的条款和条件表示征求请求。
CNBC:看好瑞波和日本的信用卡公司联盟:据美国经济新闻CNBC27日报道(当地时间),CNBC表示,“他们看好瑞波(Ripple)和日本的信用卡公司的联盟。日本金融控股公司SBI控股株式会社及其子公司SBI Ripple Asia已经与日本信用卡公司建立了基于区块链技术的联盟,并且在月初,据消息称日本和韩国银行正在测试海外结算系统。SBI Ripple Asia是由SBI控股株式会社在去年1月创立的。[2017/12/28]
设立数据保护专员(以下简称“DPO”)
如果某一公司属于:公共机构或团体;从事大规模系统监测的组织;或从事大规模处理敏感个人数据的组织,那么就必须指定DPO。DPO负责确保企业遵从个人数据保护条例的规定,并在企业发生个人数据操作违规时承担相应的法律责任。DPO必须直接向最高级别的管理层报告,并不得执行可能导致利益冲突的任何其他任务。如果相关组织不属于上述列举情况,则无需指定DPO。
不收集处理特别数据
根据GDPR要求,禁止收集处理反映个人种族或民族起源、观点、宗教哲学信仰、是否是工会组织成员、个人基因识别、生物数据,或涉及健康、性生活或性取向的数据。可以收集加工以上数据的例外情况包括:已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要,并在法律允许的范围内,且已采取了适当的保护手段等。
善用合同约定
如果区块链行业业务要涉及欧盟个人数据处理,建议在与数据主体签署合同中提前明确因区块链分布式存储技术本身的特殊性,删除数据在技术上将无法实现,并要求数据主体主动放弃其对存储在区块链上的个人数据的删除权,或赋予数据控制主体在链上永久存储个人信息的权利。
以防万一,在合同条款中标注对数据删除权的放弃将视为为永久的放弃,以及标注数据控制主体在区块链上存储个人信息的权利是永久的。如果不加以说明,那么在合同期满后,区块链企业依然要面临数据删除的问题。
除合同合规外,现在也有一些技术手段促进区块链行业符合GDPR要求,比如链下存储,将交易数据存储于链下的私人数据库,可随时被编辑和删除,这在区块链金融领域已有运用先例。
还有一种比较理想化的合规方式是采用匿名化加密算法。因为纵观GDPR条例,GDPR并不涉及对匿名信息的处理,但目前的加密手段很多都没有达到GDPR所要求的“匿名化”的程度。随着区块链技术广泛投入实际应用,相信涉及具体处理个人数据的判例将层出不穷,亚马逊不是第一例,肯定也不是最后一例,对于区块链行业,不管是技术开发人员还是企业合规人员,都应当采取措施力求避免违反GDPR监管。
全球区块链合规联盟
“设立区块链行业标准,加强行业自律,共同维护良好的市场秩序和行业环境,为行业健康发展提供理论指导,推动行业健康可持续发展”。
全球区块链合规联盟提供相关企业业务合规资质服务,欢迎通过邮箱service@gbcuf.com或微信与我们进行更详细的业务沟通。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。