“上週,歐洲“史上最嚴”的數據保護條例——通用數據保護條例(The EU General Data Protection Regulation,GDPR)生效。肆無忌憚地收集用戶數據,販賣濫用數據的商業模式行將逝去,一道生死題正浮現在此前濫用用戶數據的公司面前。”
歐盟GDPR通過於 2016 年,是歐盟為解決互聯網時代用戶數據的收集、使用問題而制定的。
被簡稱為GDRP的《通用數據保護條例》,可以把直接或間接識別到的某一個個體的任何信息,都視為個人信息,包括了從姓名、照片、身份證號、郵箱地址、銀行賬戶、健康記錄到網絡用戶名、位置定位、社交媒體發佈的信息、計算機IP地址等各個方面,堪稱目前世界範圍內最寬泛的個人信息定義。
作為一部用來保護歐盟公民個人隱私和數據安全的新法案,其頒佈使得歐盟對於數據保護的監管達到了前所未有的高度。
按照GDPR要求,公司應說明在何種情況下要持有用戶哪些信息,作為何用,用戶即便同意獲取信息也必須容易撤回,此外,對於16歲以下少年兒童,監護人要代表他做出數據收集的授權。
GDPR對企業如何持有數據,也做出了具體規定。其中數據的“被遺忘權”和“可轉移權”是當下企業較難做到的,即用戶可以要求公司清除其個人數據,並禁止第三方獲取這些數據;用戶也可以帶著他們的數據轉移去不同的服務提供商。
對於違反規定的公司,可被判處其全球年度營業額4%或2000萬歐元的罰款,選擇二者中較高的數值判罰。對跨國科技巨頭來說,年度營業額的4%的罰款額非常巨大。
據美國科技媒體The Verge報道,歐盟的通用數據保護條例(GDRP)出臺第一天,就迎面痛擊美國兩大科技巨頭Facebook、谷歌,控訴它們收集用戶私人數據,並欲給Facebook和谷歌分別開出39億歐元(約合人民幣290億元)和37億歐元(約合人民幣276億元)的天價罰單。
與此前歐洲地區頒佈的其他個人信息保護法規不同,GDPR具有強制力,直接對所有的歐盟成員國生效,而且法規一旦生效,自動對所有國家生效(部分國家如有其它規定,可協調處理)。
也就是說,所有在歐洲有產品或服務的科技互聯網企業都有可能受到GDPR影響。GDPR就像一張巨大的篩子,所有在歐洲有產品或服務(無論公司是否在歐盟地區),會收集用戶數據,或與歐盟企業發生業務往來,或涉及存儲、處理、交換任何歐盟公民數據的公司,都要經過這把篩子篩選。留者生,漏者死。
中國企業會受到哪些影響?
那麼,中國企業會在多大程度上受其影響呢?
以BAT為代表的中國互聯網企業大都是全球性企業,越來越多的中國企業也在進軍歐洲,這意味著與歐洲企業有業務往來的中國企業,也要給自己安上一個“緊箍咒”了。
5月25日當天,包括微信海外版、新浪微博國際版、阿里巴巴旗下的全球速賣通(aliexpress)等多家中國互聯網巨頭,已紛紛向歐洲區用戶更新隱私政策、請求重新授權。
在早前的4月份,騰訊甚至曾通知其國際版用戶,QQ將在5月停止向歐洲區用戶的服務。儘管騰訊隨即聲明會繼續保留該服務,但可以看出,懾於其強大的懲罰力度,不少中國企業已經對GDPR有所行動。
海爾、華為等企業在歐洲也有較大市場份額,並有意進軍物聯網的製造業,也早已僱請專門團隊應對GDPR。
值得注意的是,適用GDPR的中國企業主要有兩種情形:
一、在歐盟境內設有機構的中國企業,如其通過該機構開展業務的過程中涉及對個人數據的處理,不管該處理是否發生在歐盟境內,都應適用GDPR;
二、尚未在歐盟境內設有機構的中國企業,如其向歐盟境內的個人提供商品或服務的過程中(無論是否收費),涉及對個人數據的處理,也應適用於GDPR。
目前,中國企業對GDPR的態度“分化比較明顯”。一方面,有很早就開始為GDPR做準備的企業,主要是一些大型的互聯網或物聯網公司。他們既有動力要保住歐洲市場,又有財力可以負擔合規成本。但另一方面,也有大量企業並未認真對待GDPR。
尚未進行合規的中國企業,將很容易成為“槍靶子”。因為作為競爭對手的歐盟企業將有很強的動機向所在國監管機關投訴舉報;而成員國政府出於保護本國企業的目的,也會有很強的動機進行調查。中國企業將因此面臨巨大的GDPR處罰風險。
中國企業應如何 避免GDPR雷區?
應對GDPR的準備,企業越早做準備越好。中國涉歐企業應當吸取中興合規不力的教訓,將GDPR的合規提到日程上來。短期雖然會增加一定的成本,但可幫助企業避免風險、對長期的聲譽也有好處。
具體而言,建議企業首先選派專人執行GDPR合規工作,並提供必要權限和經費支持。GDPR合規是個系統而動態的工作,需要一定的人力和財力的投入。這樣的投入相對於天價行政處罰而言是必要的。
其次,對企業所擁有的個人數據進行清查和分類,並設置企業的隱私政策。其中,敏感信息包括種族、政治觀點、宗教信仰、工會會員、基因數據、生物學數據、健康數據、性生活或性取向;中國涉歐企業除了獲得歐洲居民的明確同意以及為自己企業僱傭的歐洲居民進行人事、醫保方面必要的處理之外,都不建議對敏感信息進行處理。
再者,對數據進行加密和匿名化處理,審查數據是否獲得數據主體的同意及其合作第三方的合同,並考慮數據跨境轉移的合法途徑。其中,GDPR要求企業對合作第三方進行審計,否則對合作第三方的數據違規可能承擔連帶責任。
最後,對特定情形下的數據處理指派數據保護官、進行數據保護影響評估,跟進歐盟數據監管當局更新的GDPR具體執行規則,並對員工進行培訓。要儘快落實數據合規的基礎設施,調整隱私政策、審查數據處理協議、開展數據審計、評估合規差距,並進行持續性的培訓、檢測與跟蹤。
此外,具備條件的企業可以考慮使用歐盟數據監管當局批准的《行為規範》或者申請獲得有關遵守GDPR的認證。
隨著數字經濟的興起,數據成為了競爭力,如何保持數據隱私屬性和價值屬性間的平衡,如何在維護個人隱私權和數據利用之間找到一條合理路徑,GDPR的生效可謂是恰逢其時,讓隱私和數據保護在政治議程上佔據了很高的位置。
閱讀更多 科技雲報道 的文章
