史無前例最為嚴厲的個人隱私保護法——GDPR生效第五天,施行效果顯著。《一般數據保護條例》(General Data Protection Regulation,簡稱“GDPR”)5月25日正式生效。
遠不止修改一個“隱私政策”這麼簡單
法案生效前夕,騰訊 QQ 國際版隱私政策進行了緊急更新,根據GDPR其中一項條款“用戶提出數據刪除要求時,企業需要在數據庫內找到數據並刪除”, QQ 國際版隱私政策已明確,如果用戶需要,QQ國際版也將提前刪除用戶數據。此外,蘋果也修改隱私政策,允許用戶徹底註銷 Apple ID。谷歌方面也表示,用戶可以訪問並刪除個人數據。
但其實在應對歐盟GDPR合規,並不是修改一個“隱私政策”這麼簡單。
中國IDC圈從一位接近騰訊雲的人士獲悉,騰訊雲提前1年就已經開始對GDPR的評估和摸底。他表示:“大公司在採取的應對措施上,肯定要夠嚴謹,但應對GDPR合規並不會對騰訊雲業務造成影響”。
阿里巴巴旗下雲計算公司阿里雲也表示,已經為應對GDPR合規做了相關工作,涉及平臺、系統、產品、服務、合規、流程、政策等方面。
華為雲此前接受中國IDC圈採訪時也表示,GDPR生效後整個數據交互的安全性,數據的完整性,真實性,精密性,以及整個基於人的真實的變化和使用個人的數據將會得到充分的尊重。
生效第一天,谷歌和Facebook就被“抓典型”
普華永道的調查數據顯示,68%的美國公司預計將花費100萬到1000萬美元的投入來滿足GDPR的合規要求,另有9%企業預計將花費超過1000萬美元。
雖然大型互聯網科技公司已經提早對GDPR做了準備,但有研究人員指出一些中國企業並沒有對GDPR做出足夠的重視,或者採取的措施並不盡人意。未來GDPR肯定會成為歐盟與境外企業合作的標準法規之一,如果中國企業如果不盡快進行GDPR全面合規,可能會在違規處罰中被“抓典型”,也將面臨失去歐盟市場的風險。
GDPR生效第一天,谷歌和Facebook涉嫌違規分享用戶數據,遭遇奧地利的隱私活動家Max Schrems法律訴訟, Schrems的訴訟特別針對兩家公司獲得隱私政策同意的方式,即要求用戶選擇“同意”選項以獲取服務,否則就不能使用服務,這違反了GDPR關於獲取同意的規定。雙方面臨的罰金總額分別為37億歐元和39億歐元(總額約為88億美元)。
截止發稿前一晚,可口可樂發生了一起8000多名員工個人信息洩露事件,並且該洩露事件發生在去年9月份,可口可樂沒有及時向有關部門通知這件事。如果這一事件涉及歐盟,可口可樂必將面對一筆不小的罰款。在GDPR條款尤其強調了一點:“在數據洩露事件發生時,根據GDPR的數據洩露通知要求,企業必須在發現數據洩露的72小時內通知相關部門”。
七大關鍵點,避免踏入雷區
GDPR條款提及的幾個關鍵點,值得引起注意:
1. 法案使用範圍:所有在歐盟境內經營、或是蒐集和處理歐盟公民數據需要存檔的外國企業。
2. 罰款程度:輕者處以1000萬歐元(約合人民幣0.75億元)或者上一年度全球營收的2%(兩者取其高)的罰款;重者處以2000萬歐元(約合人民幣1.5億元)或者企業上一年度全球營收的4%(兩者取其高)的罰款。
4. GDPR強調了使用者在使用數據時,需表明其特定的使用目的,不得收集提供服務必需之外的數據,收集之後不得濫用用戶數據,同時還必須履行保護用戶數據的義務;處理數據時,要求數據控制者說明如何收集處理個人數據,包括數據接受者類型、個人數據保留週期及採取該週期的理由等。
5. GDPR強調數據主體的“被遺忘權”和“數據可攜權”,前者是指用戶提出數據刪除要求時,企業需要在數據庫內找到數據並刪除,如果數據已傳播或提供給第三方使用,企業還有責任通知使用者予以刪除。
6. 如涉及自動化數據處理(如數據畫像等),數據控制者還需要提供基本的算法邏輯及針對個人的運算結果。
7. 在數據洩露事件發生時,根據GDPR的數據洩露通知要求,企業必須在發現數據洩露的72小時內通知相關部門。
附上原文截圖,謹供參考。
閱讀更多 中國IDC圈 的文章
