5月25日,歐盟《通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR)正式實行。這部被稱為“史上最嚴數據保護法規”的出臺不僅震動了全球做數字買賣的公司,更將重整全球數據秩序。
之所謂被冠以“史上最嚴”的名號,是因這項法規不但管得寬、分得細、罰得狠,而且還是強制性的。
GDPR管得有多寬?它是這麼規定的:只要一家企業向歐盟境內的個人提供了商品或服務、並收集或處理了個人數據,不管該企業是否在歐盟境內設有機構,都適用GDPR。除非……放棄歐盟5億發達人口市場。
GDPR分得有多細?納入新規保護範圍的用戶數據種類全面細緻。除了姓名、地址、證件號碼、網絡IP地址等通常意義上的個人信息,以及指紋、虹膜等生物識別數據、醫療記錄等十分隱私的個人信息,新規還涵蓋了例如用戶的種族、宗教信仰甚至性取向等多方面信息。
GDPR罰得有多狠?一旦被歐盟認定違規,後果也是很嚴重的:最高處罰金額可至2000萬歐元(約1.5億人民幣),或者,企業全球年營業額的4%,兩者之中取其高。
歐美公司:聞風而動 輾轉騰挪
在這場由個人由美國社交平臺臉書(Facebook)點燃導火線的 “個人數據保衛戰”中,作為主戰場,歐美大企業們自然早就聞風而動了。畢竟,對他們來說可完全沒有中企那樣觀望的餘地。
綜合北京《財經》雜誌、上海界面新聞網報道,為了應對GDPR,蘋果公司停止了在其機器學習和AI系統開發中使用用戶數據;微軟為GDPR項目投入了1600多名工程師;Facebook將約15億用戶的註冊地從愛爾蘭轉往美國來實現GDPR的合規;Twitter關閉了Poku、Android TV和Xbox版的Twitter應用……
歐洲本土公司更要為GDPR合規做出大量準備。如芬蘭AI教育公司Claned的 COO Kalle Lehtinen說,他們一方面審視內部流程,針對相關環節做出技術解決方案並改進,另一方面,也更新了用戶協議。“我們已投入了數月時間適應新規,也花了大量的精力培訓員工,”Kalle說。
雖然花錢花人花時間,但沒有哪個歐洲公司有這個膽量“以身試法”,因為擺在他們面前的這項法規,鉅額罰款還只是其嚴苛的一方面,想想看,如果上市公司被發現在個人數據保護方面有失職甚至“失德”行為,必將面臨股價和聲譽的雙雙“跳水”,Facebook即是前車之鑑,沒有哪家公司會拿自己兜裡的錢和自己的臉面不當回事。
中資企業:有人已行動 有人在觀望
在中國,包含在GDPR“射程範圍”內的企業大抵可分兩派。一邊是行動派,另一邊是觀望派,分界線是他們對GDPR“域外適用性”的判斷和態度,即:GDPR能否管得到中國。
像海爾、華為等在歐洲有較大市場份額、並有意進軍物聯網的製造業領軍者也早已僱請專門團隊應對GDPR。華為在GDPR開閘的當日在官網上貼出公告稱,其內部審計部門已完成了全面的技術和流程審視,確保相關業務遵從GDPR要求。不僅如此,華為所有業務單元也都設置有專職的隱私相關的角色和/或組織。根據GDPR的要求,該公司還任命了歐盟數據保護官。
阿里雲則表示,已從平臺、系統、產品、服務、合規、流程、政策等方面全面按GDPR的要求持續進行數據保護與相關服務改進,相關工作已準備就緒。阿里雲尤其強調的是,該公司已為客戶提供賬號刪除功能,全球客戶都可以自助操作完成。
京東法律研究院甚至編撰了中國國內第一本GDPR專著:《歐盟數據憲章-GPDR評述及實務指引》。
一位中國知名互聯網公司法務透露,該公司半年前就開始根據歐盟GDPR標準進行產品合規的改造與升級。“據我所知,中國其他一些大的互聯網公司也是如此。” 從上述這些中國互聯網巨頭和GDPR“無縫連接”的操作中也不難看出,他們之前都下過不少功夫。
觀望派的中資企業則對GDPR域外效力持保留態度,不過,這並不意味著他們“放鬆警惕”。
安傑律師事務所IT和數據業務合夥人楊洪泉受訪時說,從其服務的涉歐企業來看,雖然大部分企業對GDPR的適用範圍和違反GDPR可能導致的鉅額罰款比較清楚,但仍有些企業對於GDPR的域外效力半信半疑,仍在觀望。
另外,還有一些公司低估了業務合規改造的複雜度,所以沒能在25日前完成改造。
當著GDPR的面 中企面臨哪些挑戰?
主導了GDPR立法的歐盟委員會委員維拉·朱洛娃(Věra Jourová)表示,中國與歐盟在對待隱私議題的立場上有較大不同,中國目前也尚未進入歐盟認定的“具有適當數據保護水平的國家”名單。但這並不是說GDPR就會對進軍歐洲市場的中資企業手軟,實際上正相反,在歐中企或將面臨更大的挑戰。
首先,一些中企對GDPR域外效力半信半疑的態度就已經顯示出決策者對GDPR的理解不足了。
“有的公司理解不夠,覺得我寫個公告就完了,但事情並不是這麼簡單。”主要負責中資公司在英國業務的英國3HR律所董事李海巍說,這是個系統化的問題,先要找出在什麼環節可能會遇到什麼問題,再製定系統化的調整方案,然後要求IT部門執行,其後還要定期給相關人員做培訓,是個需要調動各部門聯動的任務,很複雜。
據李海巍介紹,大部分駐英中資公司是近三五年才到英國的,管理層的主要精力還在建立業務結構上,可以說在最忙時遇到GDPR,所以比較被動。
其次,一些中企仍然有僥倖心理。
有多年數據合規與跨境投資經驗的律師馮堅堅表示,在GDPR執行中,中企“中獎”可能性很大。相比於歐盟內企業,中國企業相對缺乏GDPR合規意識,很多中國企業或是不知GDPR適用於自己,或是懷有僥倖心理。而在歐盟,自2016年4月GDPR通過以後,給了各方兩年的緩衝期。歐盟內企業關於GDPR合規的意識普遍較強,甚至有不少企業已為GDPR付出了較大的財務、管理成本,削減了營業收入和營銷手段。相比之下,中國企業的信息則相對滯後、行動相對遲緩。
在荷蘭從事GDPR合規諮詢的資深法律顧問陳紅娟說,她目前接觸的在歐中企對GDPR的態度普遍還不是很積極。“很多中國企業現在處於觀望狀態。GDPR開始執行了,到底嚴不嚴?特別是中小企業,不太想花這個合規的成本,如果真的有警告或罰款,就再開始重視。這其實是對風險沒有正確的認識。”陳紅娟說。
此外,GDPR有可能成為歐盟貿易保護主義的“新武器”。
歐盟境內近年也有貿易保護主義抬頭的傾向,與中國出現過不少貿易摩擦。GDPR合規有可能會成為歐盟產業保護的新手段,一旦發現中國企業的不合規行為,會遭嚴懲。有諮詢公司的調查表明,歐盟境外企業更可能在違規處罰中被“抓典型”。
還有兩個容易被忽視的風險。
其一,就算尚未在歐盟境內設有機構,如果中國企業向歐盟境內的個人提供商品或服務(無論是否收費),涉及對個人數據的處理,也應適用於GDPR。
其二,GDPR管轄的範圍包括了整條數據供應鏈,也就是說,哪怕是給在歐盟的公司提供下游服務,也屬於被問責的範圍內。
對此,歐盟數據保護法專家克里斯托弗·庫納(Christopher Kuner)也確認了這一點。他表示,GDPR將是一部重整全球數據秩序的法令,歐盟以外的公司也將從多個層面受到影響。由於GDPR規定了企業間數據交流的方式,一旦出現不合規的現象,數據供應鏈上下各方都會被問責。所以,為了避免風險,歐盟企業日後在選擇境外合作伙伴時,也會將數據保護作為重要考量標準。當前在歐盟委員會甚至已經開始討論,未來不排除限制歐盟與數據保護不過關的國家簽訂貿易協議的可能了。
陳紅娟表示,實際上,業界對於GDPR的執行也有質疑。特別是不同的成員國可能有不同的力度。“但如果執行力度非常強的話,GDPR上的99個條款,每一條中國企業都可能踩坑。”
那麼,中企要如何應對?
首先,越早準備越好。陳紅娟表示,短期雖然會增加一定成本,但可幫企業避免風險、對長期的聲譽也有好處。
其次,釐清行動思路。馮堅堅給出的步驟是先大致瞭解GDPR,自己進行初步評估,判斷該企業是否適用GDPR。如果情況複雜、無法判斷,可請外部機構調查確認。一旦確認適用GDPR,應開展相應工作。
閱讀更多 歐洲時報 的文章
