不重視GDPR:華住洩露用戶數據,或遭滅頂之災?

昨天,華住酒店集團曝出數億用戶信息洩露事件,由此引起股價暴跌。實際上,在過去的一段時間裡,涉及到消費者數據隱私的問題屢出不窮,最近備受關注的滴滴順風車事件也與此相關。

華住酒店集團股價暴跌,在很大程度上是因為投資者擔心其會因此受到嚴厲處罰。伴隨著歐盟《通用數據保護條例》(GDPR)的實施,各個國家都在加強企業數據保護方面的合規監管。如果查實該數據屬實,華住恐怕罪責難逃;若歐盟介入,處罰可能會更加嚴厲。

對於日益國際化的中國企業來說,合規經營變得越來越重要。很多在我們看起來的小失誤,卻可能帶來巨大的損失,前段時間的中興事件即是如此。

以GDPR為代表的數據隱私法規,即是中國企業當下面臨的重大合規經營挑戰。一旦出現問題,很可能會給相關企業帶來滅頂之災,但卻至今沒有引起大家的重視。而在上個月,美國加州也緊接著推出《消費者隱私法案》,加大消費者對個人數據的處置權。這一法案將於2020年1月起生效。

不重视GDPR:华住泄露用户数据,或遭灭顶之灾?

中國也有自己的“GDPR”

雖然各個國家和地區的立法進程不一,但加強消費者數據隱私保護,是大勢所趨。在今年“雲棲大會·上海峰會”的GDPR話題研討會上,阿里雲安全事業部總經理肖力認為,未來幾年,其他國家也會陸續出臺相應的隱私保護法規。

在中國,人們似乎更為重視數據的國家安全,而忽視個人安全。歐盟的GDPR條例是2016年4月14日由歐盟理事會通過的。全球很多企業都很關注,甚至投入了大量的資源,但中國企業的關注度一致很低。今年5月25日GDPR正式實施前的一段時間,才有一些相關聲音出現,6月之後很快就又沉寂了。

實際上,在去年6月1日開始實施的《中華人民共和國網絡安全法》第四章中,對於信息安全有很多具體的規定。比如,第40條規定:網絡運營者應當對其收集的用戶信息嚴格保密;第41條規定:網絡運營者收集、使用個人信息,應當經被收集者同意,而且不得收集與其提供的服務無關的個人信息;第42條規定:網絡運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全;第43條規定:個人有權要求網絡運營者刪除其個人信息等等。這些內容與GDPR的方向基本一致,只是在細節上有差異。

而《信息安全技術個人信息安全規範》(GB/T 35273-2017),更是一個直接關於個人信息保護的國家標準,對此做了詳細的規定,被認為就是中國版的GDPR。

從GDPR的立法原則來看,其強調的是:

一要最小量地使用數據,二要取得用戶的同意。

基於這兩個原則,經營者不能隨意收集用戶的數據,而用戶的同意權可以隨時撤回。一旦用戶決定撤回同意權,經營者就必須銷燬相應的個人數據。這對企業來說,是一個非常大的挑戰。

影響的範圍比我們預想的要大

從某種角度來看,中國人的自我保護意識似乎更強。Veritas發佈的《全球消費者數據隱私報告》顯示,90%的中國消費者會聯合親朋好友共同抵制未能保護個人數據的企業,88%的消費者則聲稱會向監管機構舉報洩漏隱私的企業。

不重视GDPR:华住泄露用户数据,或遭灭顶之灾?

說是這麼說,做則是另外一回事了。很多國內用戶是願意用自己的隱私來換取利益的,比如留下完整個人信息去換取小禮物,用移動支付去代替信用卡和現金支付等等。

“中國人對隱私問題更加開放,或者說沒有那麼敏感,如果要用隱私來交換便捷性或者效率的話,很多情況下中國用戶是願意這麼做的。”這是百度李彥宏早些時候說的一番話,因此遭到炮轟。雖然這段話聽起來很難受,但的確是事實。

我們對於隱私問題的觀念,不僅會影響個人的消費行為,更會影響企業的經營行為。相比而言,中國企業尤其是互聯網企業,對於用戶隱私的保護意識明顯要差很多。

然而GDPR並不是只針對歐盟企業,而是面向全球所有企業,只要其用戶中包括歐盟公民,或者在歐盟居住三個月以上的任何人。這樣,幾乎所有的互聯網企業都可能會成為GDPR的管轄對象。

因此,有些互聯網企業在5月25日GDPR生效後,很快就修改了自己的用戶協議。騰訊還特別提醒微信公眾賬號的運營者,在歐盟地區用戶撤銷授權後要刪除用戶信息。

一旦被認定為違反了GDPR,企業可能會收到非常嚴重的處罰。目前的處罰標準是:罰款2000萬美元,或者全球收入的4%,取其高者。

不重视GDPR:华住泄露用户数据,或遭灭顶之灾?

不只是技術問題,更是業務問題

有些企業把GDPR交給技術部門去處理,最多是由法律部門來牽頭。雖然這本身並無不當,但我們更應該明白,用戶數據保護涉及到企業業務流程的變革,需要最高業務負責人的介入

在最近的滴滴事件中,滴滴下線其順風車業務時,也表示要重新評估業務模式和產品邏輯。顯然,這不是一個簡單的法律問題,單靠服務部門無法徹底解決問題,需要從業務的角度來看待。類似GDPR這樣的個人數據隱私保護,同樣如此。

肖力認為,隱私保護不是一次性工作,需要持續運營,需要組織機制保障,企業全員都要具備相應的意識和能力。與此同時,企業不能只是關注自己的數據安全,而且還要關注生態夥伴、供應鏈夥伴等的數據安全,這些都與自己有關

此外,傳統的快速上線、上線之後有問題再修改的互聯網思路,不適合涉及隱私保護的產品。對於消費的數據隱私保護,必須要在產品發佈之前就考慮清楚,不能等到出了問題再去修補。肖力介紹說,阿里雲的所有產品在上線之前都要先進行威脅分析。

當然,隱私保護處理得好,也可以成為企業的差異化競爭優勢。要想做到GDPR合規,企業必須在IT方面進行足夠的投入。一項針對美國企業的調查顯示,那些500員工以上的企業,有77%會在GDPR上花費超過100萬美元。Gartner則認為,

未來兩年,至少有30%的企業機構將產生GDPR相關服務的支出,由此帶動今年全球網絡安全市場高速增長12.4%

我們不知道華住酒店集團在此方面做了多少投入。

不重视GDPR:华住泄露用户数据,或遭灭顶之灾?


分享到:


相關文章: