GDPR的意義
歐盟司法專員維拉管理帶來了重要影響。不僅如此,GDPR還對客戶信任產生影響。根據埃森哲技術展望調查,83%的受訪者堅信,信任是數字化經濟的基石。達到GDPR所要求的數據隱私和安全要求,是維繫消費者信任和保護企業品牌的根本。同時,違規將被嚴令禁止。GDPR大大增加了數據保護的強制性和責任性,對違規的處罰金額提高到2000萬歐元或企業全球年營業額的4%(二者取較高值)。
據統計,目前在28個歐盟國家中,有12個國家已經正式更新了其國內法,將GDPR嵌入其中,同時還有8個國家告知歐盟委員會它們將在近期儘快完成其立法程序。
5月25日之後,仍有8個歐盟國家在GDPR同其國內法融合方面毫無作為,包括保加利亞、比利時、塞浦路斯、希臘、捷克、匈牙利、立陶宛和斯洛文尼亞,大多是中東歐國家。
歐盟方面表示,已經對上述國家做出了警告,請它們儘快更新法律系統,否則將把它們告上歐洲法院。
企業可能準備不足
埃森哲也在上述報告中指出,企業有可能對此準備不足。要想全面落實GDPR,企業必須掌握所存儲和處理數據的特徵,從而可以全面保護數據。目前,領先企業能夠成功追溯70%~80%的數據來源,但仍有許多企業尚不具備這一能力。甚至許多領先企業也表示難以探尋剩餘20%相關數據的下落。
2015年,全球有十億條客戶記錄遭到洩露。2016年,僅一次洩露事件就造成了十億賬戶被黑客入侵。GDPR規定,如果數據遭到洩露,用戶有權快速獲取相關信息,這就要求企業必須在72小時內向數據保護機構報告數據洩露事件。埃森哲指出,目前只有1%的雲服務供應商能夠在24小時內向客戶發出數據安全事故通知。
崔寶秋表示,隨著移動互聯網高速發展,大量的隱私以及個人數據會存儲在移動設備端,這也使得用戶對移動設備的個人數據以及隱私資料保護非常重視。“目前市場上的智能設備大多數是與個人相關的產品,因此面臨很高的個人信息被洩露的風險。一個設備如果存在漏洞,可能被利用把用戶的視頻、音頻、日常對話等私密的信息發送出去,所以一定要引入嚴格的安全與隱私標準,進行嚴格安全檢測。”
據瞭解,目前GDPR的規定雖然強調了用戶的知情權、訪問權和被遺忘權,用戶可以要求被告知公司掌握了自己的哪些數據並要求對其進行刪除,然而,大多數企業在修改GDPR的用戶隱私政策時,措辭仍然比較寬泛模糊。
比如硅谷科技巨頭谷歌和Facebook都已經修改了它們的用戶政策條款,其中Facebook主要強調了人臉識別技術的應用應獲得用戶的准許。目前用戶上傳照片時,系統會自動通過人臉識別技術標識出照片中的人物,採取的是用戶默認同意的條款,除非用戶自己提出異議。
據報道,蘋果公司已經停止了在機器學習和人工智能系統開發中使用用戶數據,微軟也為GDPR投入了1600多名工程師,Facebook則將約15億用戶的註冊地從愛爾蘭轉向了美國。不過對於註冊地的遷移,愛爾蘭投資發展局中國區總監張哲偉對說:“個人認為意義不大,因為企業考慮的不僅僅是數據放在哪裡的問題,同時也與數據的來源地有關。”
根據數據分析公司SAS上個月的一份調研報告,隨著GDPR大限到來,只有7%的企業完成了合規,近半數的受訪企業表示這一新規將對公司的人工智能相關項目產生重大影響。全球僅有不到一半的企業(49%)表示它們能按期達到GDPR的合規要求。不少小公司由於缺乏資源和指導,仍然處於觀望狀態。
中企國際化繞不開“合規性”
崔寶秋說:“違反GDPR罰款很高,有一定的威懾力,企業只有三種選擇,要麼退出歐洲市場;要麼努力合規;還有一種就是承擔被罰款的風險。我想最後一個選項不是任何一家負責任的公司願意選擇的,所以真正的選擇就只有前兩個。小米選擇的顯然是努力合規。”
崔寶秋稱,小米為了符合GDPR條例,幾年前就開始進行多方面的投入,從法律規定的研究到雲計算基礎設施的佈局,從大數據技術措施到組織措施,在所有業務中全面落實GDPR的要求。
注意到,國航、東航均在5月24日對其APP和官方網站的隱私政策條款進行了更新,東航也在5月作出了調整,以前的隱私政策條款相對籠統,在如何收集個人信息、收集哪些類型的個人信息、收集後如何使用等方面的規定並不細緻,而在最新版的隱私政策中,這幾家航空公司將可能收集的個人信息的範圍列得更加詳細。國內其他幾家開設有歐盟航線的航空公司,如海航、四川航空,尚未對隱私政策進行調整。
張哲偉表示:“GDPR合規要求十分高,企業需要投入大量人力財力,才能確保執行。對於中國企業來說,必須立刻敲響警鐘,做好充分準備,加強對數據安全和用戶隱私的保護工作。”他建議,在數據保護方面,中國企業可以選擇一個歐盟成員國作為主溝通國,通過這個國家跟其他成員國的相關監管當局打交道。
互聯網實驗室創始人方興東表示:“歐盟GDPR生效,國內除了少數互聯網公司之外,很多企業認為關係不大。而事實上,GDPR將對中國互聯網帶來翻天覆地的衝擊。關乎每一個互聯網公司的未來發展,事關目前中國互聯網基礎性商業模式的大調整,更重要的是,關乎我們每一個網民。”
方興東認為,GDPR將成為未來全球網絡空間規則的基石,即以數據為抓手,與美國過去掌控的另一大基石,即底層技術治理相得益彰。低估GDPR,將會付出巨大代價。最首當其衝的,就是基於蒐集個人信息和隱私驅動的整個中國互聯網產業主體收入模式將產生重大影響,甚至是顛覆性影響。
廣告商很緊張
歐盟《通用數據保護條例》(以下簡稱“GDPR”)5月25日的正式實施令數字媒體和廣告行業陷入混亂。自那之後,廣告交易平臺的歐洲廣告需求量驟降了25%至40%。
廣告技術廠商都在加緊通知客戶,他們預計來自谷歌的廣告需求將會大幅下滑。而一些美國內容發佈商甚至停止在其歐洲網站上投放所有程序化廣告。
谷歌過去幾天向Double Click Bid Manager客戶發出警告,從5月25日開始,在該公司完成相關的整合工作之前,內容發佈商、廣告技術合作夥伴和廣告主在第三方歐洲廣告位上投放DoubleClick Bid Manager廣告時可能遇到“短期中斷”。
“營收和廣告需求可能出現全面的大幅下滑。”一位來自內容發佈商的高管說。
在很多平臺上,來自內容發佈商的廣告位供應也大幅減少,一些知情人士認為,這是美國內容發佈商從歐洲大量撤下了程序化廣告所致。《洛杉磯時報》和《芝加哥論壇報》等公司關閉了歐洲網站。《今日美國報》雖然仍然開放歐洲網站,但卻撤下上面的廣告。
《紐約時報》的歐洲網站似乎也沒有出現任何程序化廣告。知情人士稱,《紐約時報》歐洲網站的廣告位已經無法通過廣告交易平臺獲取。但《紐約時報》尚未對此置評。
事實上,新規生效之後,谷歌和Facebook還紛紛遭到起訴,被控強迫用戶分享個人數據。
在5月25日生效,阿里雲在當日表示已從平臺、系統、產品、服務、合規、流程、政策等方面,全面按照該要求持續進行數據保護與相關服務改進,相關工作已經準備就緒。例如為客戶提供賬號刪除功能,同時將通過信任中心向全球客戶提供GDPR相關信息、服務和工具支持。
GDPR被各界認為是有史以來最為嚴格的數據保護法規,作為一項強制性法律,它取代了歐盟通行20年的數據保護指令(95/46 / EC)。GDPR側重“自然人的基本權利和自由,特別是數據主體的權利”,尤其是“數據的被遺忘的權利/刪除權”,而是否提供賬號刪除服務也成了是否符合GDPR的最顯著標志之一。
阿里雲,全面按照GDPR要求推進數據保護工作
一直以來,阿里雲從流程、人員、技術、合規等方面確保數據在雲上的安全性。《安全白皮書》中披露了阿里雲在數據安全、訪問控制、人員安全、物理安全、基礎設施安全等十幾個方面的安全措施。
阿里雲在公司內部進一步加強人員培訓與機制流程,使數據保護成為阿里雲全公司的核心理念。
在產品規劃當中阿里雲遵從默認隱私設計(Privacy by Design)理念,將安全融入到系統和產品設計中。所有新發布的雲產品上線之前,須通過安全+隱私設計雙重評估,確保證其合規性。
針對“數據的被遺忘的權利/刪除權”,目前,阿里云為客戶提供賬號刪除功能,全球客戶可以自助操作完成。
閱讀更多 中國存儲 的文章
