昨天,华住酒店集团曝出数亿用户信息泄露事件,由此引起股价暴跌。实际上,在过去的一段时间里,涉及到消费者数据隐私的问题屡出不穷,最近备受关注的滴滴顺风车事件也与此相关。
华住酒店集团股价暴跌,在很大程度上是因为投资者担心其会因此受到严厉处罚。伴随着欧盟《通用数据保护条例》(GDPR)的实施,各个国家都在加强企业数据保护方面的合规监管。如果查实该数据属实,华住恐怕罪责难逃;若欧盟介入,处罚可能会更加严厉。
对于日益国际化的中国企业来说,合规经营变得越来越重要。很多在我们看起来的小失误,却可能带来巨大的损失,前段时间的中兴事件即是如此。
以GDPR为代表的数据隐私法规,即是中国企业当下面临的重大合规经营挑战。一旦出现问题,很可能会给相关企业带来灭顶之灾,但却至今没有引起大家的重视。而在上个月,美国加州也紧接着推出《消费者隐私法案》,加大消费者对个人数据的处置权。这一法案将于2020年1月起生效。
中国也有自己的“GDPR”
虽然各个国家和地区的立法进程不一,但加强消费者数据隐私保护,是大势所趋。在今年“云栖大会·上海峰会”的GDPR话题研讨会上,阿里云安全事业部总经理肖力认为,未来几年,其他国家也会陆续出台相应的隐私保护法规。
在中国,人们似乎更为重视数据的国家安全,而忽视个人安全。欧盟的GDPR条例是2016年4月14日由欧盟理事会通过的。全球很多企业都很关注,甚至投入了大量的资源,但中国企业的关注度一致很低。今年5月25日GDPR正式实施前的一段时间,才有一些相关声音出现,6月之后很快就又沉寂了。
实际上,在去年6月1日开始实施的《中华人民共和国网络安全法》第四章中,对于信息安全有很多具体的规定。比如,第40条规定:网络运营者应当对其收集的用户信息严格保密;第41条规定:网络运营者收集、使用个人信息,应当经被收集者同意,而且不得收集与其提供的服务无关的个人信息;第42条规定:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全;第43条规定:个人有权要求网络运营者删除其个人信息等等。这些内容与GDPR的方向基本一致,只是在细节上有差异。
而《信息安全技术个人信息安全规范》(GB/T 35273-2017),更是一个直接关于个人信息保护的国家标准,对此做了详细的规定,被认为就是中国版的GDPR。
从GDPR的立法原则来看,其强调的是:
一要最小量地使用数据,二要取得用户的同意。
基于这两个原则,经营者不能随意收集用户的数据,而用户的同意权可以随时撤回。一旦用户决定撤回同意权,经营者就必须销毁相应的个人数据。这对企业来说,是一个非常大的挑战。
影响的范围比我们预想的要大
从某种角度来看,中国人的自我保护意识似乎更强。Veritas发布的《全球消费者数据隐私报告》显示,90%的中国消费者会联合亲朋好友共同抵制未能保护个人数据的企业,88%的消费者则声称会向监管机构举报泄漏隐私的企业。
说是这么说,做则是另外一回事了。很多国内用户是愿意用自己的隐私来换取利益的,比如留下完整个人信息去换取小礼物,用移动支付去代替信用卡和现金支付等等。
“中国人对隐私问题更加开放,或者说没有那么敏感,如果要用隐私来交换便捷性或者效率的话,很多情况下中国用户是愿意这么做的。”这是百度李彦宏早些时候说的一番话,因此遭到炮轰。虽然这段话听起来很难受,但的确是事实。
我们对于隐私问题的观念,不仅会影响个人的消费行为,更会影响企业的经营行为。相比而言,中国企业尤其是互联网企业,对于用户隐私的保护意识明显要差很多。
然而GDPR并不是只针对欧盟企业,而是面向全球所有企业,只要其用户中包括欧盟公民,或者在欧盟居住三个月以上的任何人。这样,几乎所有的互联网企业都可能会成为GDPR的管辖对象。
因此,有些互联网企业在5月25日GDPR生效后,很快就修改了自己的用户协议。腾讯还特别提醒微信公众账号的运营者,在欧盟地区用户撤销授权后要删除用户信息。
一旦被认定为违反了GDPR,企业可能会收到非常严重的处罚。目前的处罚标准是:罚款2000万美元,或者全球收入的4%,取其高者。
不只是技术问题,更是业务问题
有些企业把GDPR交给技术部门去处理,最多是由法律部门来牵头。虽然这本身并无不当,但我们更应该明白,用户数据保护涉及到企业业务流程的变革,需要最高业务负责人的介入。
在最近的滴滴事件中,滴滴下线其顺风车业务时,也表示要重新评估业务模式和产品逻辑。显然,这不是一个简单的法律问题,单靠服务部门无法彻底解决问题,需要从业务的角度来看待。类似GDPR这样的个人数据隐私保护,同样如此。
肖力认为,隐私保护不是一次性工作,需要持续运营,需要组织机制保障,企业全员都要具备相应的意识和能力。与此同时,企业不能只是关注自己的数据安全,而且还要关注生态伙伴、供应链伙伴等的数据安全,这些都与自己有关。
此外,传统的快速上线、上线之后有问题再修改的互联网思路,不适合涉及隐私保护的产品。对于消费的数据隐私保护,必须要在产品发布之前就考虑清楚,不能等到出了问题再去修补。肖力介绍说,阿里云的所有产品在上线之前都要先进行威胁分析。
当然,隐私保护处理得好,也可以成为企业的差异化竞争优势。要想做到GDPR合规,企业必须在IT方面进行足够的投入。一项针对美国企业的调查显示,那些500员工以上的企业,有77%会在GDPR上花费超过100万美元。Gartner则认为,
未来两年,至少有30%的企业机构将产生GDPR相关服务的支出,由此带动今年全球网络安全市场高速增长12.4%。我们不知道华住酒店集团在此方面做了多少投入。
閱讀更多 商業夥伴 的文章
