為了幫助企業更好地瞭解並應對業已頒佈並生效的GDPR,安在(AnZer_SH)此前通過採訪業界專家和法律專家,分別從技術創新和法律層面對GDPR相關議題進行解讀,以其給大家不同視角的解決思路。
近日,德勤也通過五大步驟來支招中國企業應對GDPR,安在為此專門與德勤中國風險諮詢合夥人施建俊進行了一次訪談。站在諮詢公司幫助企業合規的角度,來看GDPR到底還有哪些雷區,還會在未來給中國企業帶來怎樣的挑戰。
人物介紹
施建俊 德勤中國風險諮詢合夥人
GDPR區別於以往的法律提出了哪些特殊的要求?
德勤中國風險諮詢合夥人 施建俊:GDPR提出了八項要求來強調歐盟公民隱私方面的權利,這其中與國內《網絡安全法》區別最大的有三項權利,分別是“可遺忘權”、“數據的可攜帶性”以及“針對算法的自動決策”。
首先,關於個人信息的可遺忘權,要求企業在系統或組織內,根據歐洲公民的需求,把個人信息通過技術手段來實現“忘掉”。這個“忘掉”不一定是物理上刪除,也可以通過去標識化、去匿名化等手段,保證用戶在行使權力的時候,感受到自己隱私的痕跡不會被使用和暴露。《網絡安全法》在過去沒有明確提出遺忘權的概念,這對企業內部的信息系統和數據管理等方面提出了巨大的挑戰。
其次,數據的可攜帶性要求企業必須把其平臺上和用戶個人信息相關的所有數據打包,按照可讀的方式提供給用戶,通過這種方式告訴用戶企業在平臺上搜集和存儲了用戶的哪些個人信息。數據的可攜帶性和可遺忘權是相互關聯的,因為這兩種權利都要求了企業要非常完整地瞭解自己掌握了哪些用戶個人信息,包括信息的數量、類型、存儲位置、應用的場景等,在用戶提出索求時能夠準確、及時地提供。
最後,針對所謂的利用算法來進行自動決策,其實是賦予了歐洲公民可以拒絕企業利用搜集到的個人信息來進行自動判斷和決策的權利。這種拒絕權利可能會導致企業不能利用個性化的個人信息和行為來進行客戶畫像和自動推薦等。最近還有相關新聞報道未來可能會出臺更加嚴厲的法規來規定這方面的行為,這給很多強調用戶體驗和個性化服務的大數據企業和互聯網企業帶來了商業模式上的衝擊。
這三項權利是GDPR關於用於隱私保護八項權利中與《網絡安全法》區別最大,也是對現有企業系統架構、作業流程和業務模式都會產生巨大影響的核心難題。
針對這三項特殊的要求,企業在應對上目前有哪些難點?
德勤中國風險諮詢合夥人 施建俊:圍繞這三項關於用戶隱私保護的特殊權利,要求企業必須對其所蒐集和掌握的個人信息有一個清晰的脈絡圖。企業必須花力氣盤點清楚自己到底蒐集了哪些信息,有什麼樣的應用場景,信息會被存放在哪裡,有誰能夠接觸到,並有可能進行怎樣的分析處理,會不會存在數據跨境傳輸等問題,並且及時維護好該信息清冊。這是GDPR裡明確要求的,而且維護成本遠比想象中要高得多。
再有一個難點就是,GDPR要求企業在發現個人信息洩露問題後,必須要在規定時間內(根據問題性質不同有不同時限要求,一般不超過72時)上報監管機構。這意味著企業在發現問題後,要在的時間內很短內完成安全事件的調查,並向所歸屬的監管機構報告。這對企業的安全事件管理流程,包括事件偵測、損害評估、應急響應、內外部溝通機制等,都是非常高的要求,也是過去所沒有提出的。
GDPR的生效與互聯網企業的商業模式產生了正面的碰撞,那麼互聯網企業該如何應對?
德勤中國風險諮詢合夥人 施建俊:GDPR的生效對互聯網企業的運營模式是一個巨大的考驗,尤其以國內互聯網企業的實際情況來看,在掌握大量用戶的個人信息之後,通過對用戶行為的分析產生直接(如精準廣告投放)或間接(如根據行為進行畫像來提供一些更精準、個性化的服務)的收益,這是目前很多互聯網企業的盈利模式。但是GDPR的生效,導致這個模式在面向歐盟市場時可能不再行得通。
從德勤的角度來看,由於GDPR的鉅額罰款,大大提高了企業的違規成本,提高了企業合規的紅線,以往那種簡單的通過獲取用戶個人信息並進行直接利用的模式將面臨極大的合規風險。但是企業仍然可以在對個人信息去連接和匿名化之後,通過大數據分析和建模,得出關於市場需求、行業趨勢等方面有價值的信息,為商業決策提供依據。這要求企業要有更高的數據分析、建模能力以及對行業更深入的理解,而不是在低水平上重複。
這是一個去劣存良的過程,低水平的、不尊重用戶隱私的互聯網企業會被逐步淘汰,而那些確實有數據分析能力、對行業有獨到研究,並充分尊重用戶隱私權利的企業,將會被更加認可。所以GDPR的合規也是很多互聯網企業轉型升級的機遇,會帶來對互聯網經濟的新理解。
從5月25日GDPR生效至今,國際上有哪些比較典型的處罰和起訴案例?
德勤中國風險諮詢合夥人 施建俊:目前就公開報道來看, Google和Facebook已經在歐洲被起訴。該訴訟主要針對兩家公司獲得隱私政策同意的方式,即要求用戶選擇“同意”選項以獲取服務,否則就不能使用服務。對於很多在線服務來說這是一種普遍的做法,但是律師認為它迫使用戶進行“要麼全贏,要麼全輸”的選擇,“不同意就拉倒”,這違反了GDPR關於獲取同意的規定。事實上在我國頒佈不久的《個人信息安全規範》中就要求企業明確區分其提供的核心業務功能和附件業務功能,基於用戶充分的知情權和選擇權。。
從這兩起起訴案例可以看出,不僅是監管機構,每一個歐盟公民都有會關注自己的隱私權,並拿起法律的武器。
目前德勤在幫助企業合規GDPR上,有沒有開展一些新的工作?
德勤中國風險諮詢合夥人 施建俊:關於GDPR的合規工作,需要從兩個部分來進行,一個是法律層面的工作,另一個是個人信息保護體系建設的工作,兩者同等重要。
法律層面主要是通過律師來幫助企業進行法律方面的分析和診斷,並進行隱私政策、合同條款等方面的重新擬定(大家最近一定收到了很多網站發來的隱私政策更新通知郵件)。但是隱私政策合法的前提是其中的內容是準確和完整的,這依賴於企業所建立的個人信息清冊的完整性、準確性和及時性,以及各項配套的內部管理流程的完善情況和落實程度。
這就需要我們來幫助企業來進行個人信息數據流的梳理,瞭解企業本身的業務流程,蒐集個人信息的原因、範圍,以及商業目的。如果確實有收集信息的需要,則進一步釐清到底通過何種渠道收集了哪些信息,儲存的位置、應用場景、涉及的第三方、以及現有的安全管控手段,在此基礎上識別各個環節是否有潛在不合規或管控薄弱的事項。
能否披露一些目前德勤正在幫助企業合規GDPR的細節?
德勤中國風險諮詢合夥人 施建俊:目前我們正在幫助一些知名的跨境電商、雲服務廠商和家電企業實施GDPR合規項目,他們都在歐洲有廣泛的業務在開展。
我們首先幫助企業完整、準確地識別其蒐集的個人信息和應用場景,釐清個人信息數據流、建立個人信息清冊和識別各個環節的潛在風險;其次和企業的法務部門和外部律師一起完善企業的隱私政策、聲明和合同條款等;最後幫助企業建立個人信息管理體系,落實GDPR所要求的“Privacy by Design”要求。
事實上,隨著GDPR的正式生效,還有很多環節需要企業逐步完善,如客服的流程,安全事件響應的流程,第三方管理流程等都需要來進行進一步的增強和完善。尤其是第三方管理,除了要在合同上約定雙方的權利義務之外,企業也有義務對第三方實際的有效性管控做進一步的監督。個人信息的保護是整個生態都負起責任,而不僅僅是某個企業問題。。
GDPR的生效以及未來處罰案例的產生,能否帶給國內企業在保護用戶隱私方便一個態度上的轉變?能否推動企業的良性發展?
德勤中國風險諮詢合夥人 施建俊:國內目前有很多企業都在積極地關注並瞭解GDPR,但GDPR畢竟只是歐盟的法律,如果國內企業不予理睬,歐盟也沒有執法權的,後果就是企業會進入歐盟的黑名單,在未來無法涉足歐盟市場。
從這個角度來看,對於在歐盟有很大業務體量,並且在世界上有一定品牌聲譽的企業,在合規GDPR的工作上投入是很大的,因為這裡面不僅包括的業務上的考量,同時也要考慮中國企業形象的問題。有些企業也許在歐盟利潤並不高,但是如果因為GDPR就退出了歐盟市場,對中國企業的整體形象是會造成負面影響的。
但對於部分中小企業而言,可能會出現合規成本過高的情況。所以據悉已經有一些企業計劃針對歐盟公民推出差別化的服務,或乾脆不再為歐盟公民提供服務。
總體上來說,國內企業對於GDPR的重視可以說是空前的,當然這個也得益於國內近幾年,尤其是去年網信辦依據《網絡安全法》對很多互聯網企業的個人信息做出了相應的處罰和約談,以及媒體的宣傳,使得企業開始逐步自律。所以在GDPR生效後,國內個人隱私的保護,應該是近幾年安全界和法律界最熱的課題之一了。
在這種情況下,有很多企業在法規面前退縮了,也有很多企業迎難而上了,市場必定會回報給那些更守法的企業。
附文
【熱點話題】德勤支招中國企業:五大步驟應對《通用數據保護條例》
近來,在歐經營業務的中國企業最關注的問題就是即將於2018年5月25日生效的《通用數據保護條例》(以下簡稱《條例》)。
眾多專家認為最新生效的《條例》是過去出臺的數據保護規定中 “最嚴格”的,此項《條例》旨在統一歐盟內部數據保護法規,加強個人對私人數據的控制,通過經濟手段提升企業數據保護意識。德勤中國網絡風險服務領導人薛梓源指出,
《條例》將影響中國企業在歐盟的業務與投資,尤其是在法律合規、信息技術和數據管理方面:
法律合規 —— 要求改進公司的隱私管理戰略、資源管理以及組織控制,同時要求董事會更多參與隱私保護工作。
信息技術 —— 重新考慮信息安全保護以及其他合規事宜所需技術,同時成本也可能隨之提高。
數據管理 ——《條例》中除去以往常規的信息管理,還針對數據合規管理提出新要求。
為應對上述挑戰,德勤建議中國企業應遵循“五大步驟”:
評估當前GDPR就緒狀況,清晰瞭解當前企業應對新條例的目前狀態,戰略規劃提高企業合規管理。
基於上述評估,量身打造合規轉型計劃,做好充足的應對準備。
建立數據處理清單,瞭解數據整體情況及其處理過程中的風險。
開展數據保護影響評估,確保企業項目未來遵守隱私政策。
管理第三方數據處理過程,降低外界因素導致的隱私洩露或違規風險。
一直以來,德勤都是隱私保護及網絡安全管理領域的佼佼者,德勤在世界各地擁有12000名IT風險諮詢專業人員、3000名信息安全專家,同時設立了專門研究歐盟隱私保護的德勤歐洲隱私保護學院,共有500名國際隱私專家協會(IAPP)註冊人員組成。
德勤中國致力於幫助企業解決數據保護方面的挑戰難題,我們組建了一隻精專團隊,為大型企業的隱私管理項目提供專業服務。
最近,德勤成功助力一家電子商務企業及幾家在歐洲開展業務的製造企業建立並完善隱私保護體系,為其全球業務保駕護航。
閱讀更多 安在信息安全新媒體 的文章
