歐盟在第一年將可能收到60億美元的罰金。這60億美元的罰金會有來自中國公司的“貢獻”嗎?但願不會有。
(資料圖 來自網絡)
5月25日,歐洲居民一覺醒來發現,他們被芝加哥論壇報和洛杉磯時報等一些美國知名新聞網站暫時屏蔽了,點開網站首頁時,顯示出的只有一則暫停使用的通知。造成這一改變的原因在於5月25號正式開始實行的歐盟《通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR)。
GDPR被稱為有史以來最為嚴格的數據保護法規。作為一項強制性法律,它保護的是自然人的“個人數據”,包括姓名、地址、生日、信用卡、銀行、醫療信息、位置信息、IP地址等等。
任何在歐盟設立機構的企業或向歐盟境內提供產品和服務的企業,在處理歐盟境內個人的數據時都受到GDPR的約束,除非放棄歐盟5億發達人口市場。
如果違反GDPR,企業最高將面臨高達全球年營收4%或者2000萬歐元(約1.5億人民幣)的鉅額罰款(兩者取其高)。
不過,鉅額罰款僅是一方面,上市公司們如果被發現在個人數據保護方面有失職甚至“失德”行為,必將面臨股價和聲譽的雙雙“跳水”,Facebook即是前車之鑑。
國外的大企業們早已行動起來應對GDPR。例如,蘋果停止了在其機器學習和AI系統開發中使用用戶數據;微軟為GDPR項目投入了1600多名工程師;Facebook將約15億用戶的註冊地從愛爾蘭轉往美國,來實現GDPR的合規;Twitter關閉了Poku、Android TV和Xbox版的Twitter應用。
華為25日官網上貼出公告,稱其內部審計部門完成了全面的技術和流程的審視,確保相關業務遵從適用的GDPR要求。而且,華為所有業務單元均設置有專職的隱私相關的角色和/或組織。根據GDPR的要求,該公司還任命了歐盟數據保護官。
阿里雲表示已從平臺、系統、產品、服務、合規、流程、政策等方面,全面按照該要求持續進行數據保護與相關服務改進,相關工作已經準備就緒。阿里雲尤其強調,該公司已為客戶提供賬號刪除功能,全球客戶可以自助操作完成。
GDPR側重“自然人的基本權利和自由,特別是數據主體的權利”,尤其是“數據的被遺忘的權利/刪除權”,是否提供賬號刪除服務也成了是否符合GDPR的最顯著標志之一。
京東法律研究院甚至編撰了國內第一本GDPR專著:《歐盟數據憲章-GPDR評述及實務指引》。
還有一些公司是低估了業務合規改造的複雜度,導致實際上並未在25日之前完成改造。
李海巍主要負責中資公司在英國的業務。據他介紹,大部分駐英中資公司是近三五年才來到英國,管理層的主要精力還在建立業務結構上,可以說在最忙的時候遇到GDPR,因而比較被動。
Kalle認為難點在於,新規要求在流程中建立必要的控制措施,從而能夠記錄“一切操作(everything)”,以證明數據處理是按照GDPR完成的,而這個工作量巨大。此外,去徵求客戶同意必要的數據處理協議也是一個難點,因為有些客戶遲遲沒有完成同意協議的升級這一步。
但無論處於哪一狀態的中資企業,無論是中國企業還是外國企業,沒有誰真正有十足的把握表示已經徹底準備好。從《1995數據保護指令》34個條款發展到99條,GDPR創建了大量的新概念、新原則、新權利,導致產生許多爭議和尚待細化的領域。
“2016年GDPR立法文本的正式通過,並不意味著制度規範都已成熟,相反,秩序建設才剛剛拉開序幕,面臨挑戰的不僅是GDPR的適用對象,也包括GDPR本身。”騰訊研究院數據保護法律法規資深研究專家王融說。
楊洪泉認為,中國企業所面臨的挑戰還包括,如何在滿足GDPR要求的同時接駁中國的網絡安全法及其配套法律法規、以及《個人信息安全規範》的要求。儘管中國《網絡安全法》已出臺,但仍有部分配套法規尚未最終落地(例如《個人信息和重要數據出境安全評估辦法》),這亦給企業的合規實踐帶來不確定性。
市場調研公司Ovum的一份調查報告顯示,52%受訪的IT決策者預計GDPR將導致他們公司收到罰款。管理諮詢公司奧利佛.懷曼(Oliver Wyman)則預測,歐盟在第一年將可能收到60億美元的罰金。這60億美元的罰金會有來自中國公司的“貢獻”嗎?但願不會有。
閱讀更多 財經雜誌 的文章
