|
在GDPR如此严苛的今天,企业如何对数据进行合规保护?在GDPR如此严苛的今天,企业如何对数据进行合规保护?与其说欧盟颁布这一条例的目的是为了限制,不如说是保护,目的就是为了让公司注重维护数据安全,并采取必要的措施。很多律师在解答这个问题。 Facebook最近因数据泄露事件面临自创建以来的最大危机,创始人马克·扎克伯格连续两天现身美国国会参议院的听证会,Facebook股票大跌,媒体甚至以“灭顶之灾”冠之。 “GDPR (Don’t say we already do what GDPR requires)” 有媒体大胆预测:除了2万亿美元的罚单、英国议会的传召,Facebook很有可能成为首个违反GDPR的企业。 GDPR是什么GDPR到底是什么?它可以约束Facebook,对其他公司是否也会产生约束力? GDPR General Data Protection Regulation 欧盟《通用数据保护条例》 经过欧盟议会长达四年的讨论 将于2018年5月25日正式生效 它是强化个人数据安全与保护的重要一步 被称为“史上最严数据保护条例” “大数据时代的最强法规” 为什么说“史上最严”GDPR与之前的数据保护规则相比有四大不同: 全球适用,一站式监管 数据主体权利更大 数据控制者问责更严 更严厉的违规处罚 1、全球适用,辐射范围大 GDPR从属地主义向属人主义扩展:
也就是说,全世界的公司,无论数据存储和处理地点在哪儿,即便业务范围不在欧盟境内,但只要公司有任何来自欧盟成员国的用户,就必须遵守GDPR! 并且企业主成立地所在国家的监管机构将作为主导监管机构对企业的所有数据活动负有监管权力,其效力辐射于全欧境内。 这也是为什么全球各大公司,甚至于中国企业也会如此关注GDPR的原因所在。 2、空前周密的数据保护 与以往的隐私规则相比,GDPR的影响更为深远。在数据保护上,数据供应链自上而下的各方都会被问责;在获取和管理个人信息上,GDPR提出了新的、更严格的要求,并赋予个人明确的权利,为企业通过人工、流程和技术进行用户数据管理带来了一定的冲击。(节选埃森哲中国) (1)虹膜、性生活数据都是隐私——数据范围重新定义 直接数据:姓名 / 地址 / 城市 / 电话 / 邮箱 / 身份证号 / 邮编等; 间接数据:cookies / IP地址 / MAC地址 / 社交账号等。 除此之外,生物信息如虹膜、指纹,医疗健康信息,宗教信仰,政治观点,性取向、性生活数据等等,都是受保护的个人数据。 注意: B2B数据、假名数据是个人数据,匿名数据不属于个人数据。 (2)用户反对即叫停——处理数据必须有合法理由 首先必须得到用户许可,且用户许可必须是具体的、清晰的,是在充分知情的前提下自由做出的。 以往经常被企业采用的——发布大段晦涩难懂的告知书,默认用户打勾的做法已经不被允许。 其次,在用户许可的前提下,数据控制者可以以营销为目的使用用户个人数据,但是用户随时可以提出反对,一旦用户反对,那么数据控制者必须立即停止使用。 (3)五大权利——强大的数据主体权利 知情权 访问权 反对权 个人数据可携权 被遗忘权 GDPR此次引入了新型的权利类型:“个人数据可携权”和“被遗忘权”。 个人数据可携权:用户可以无障碍地将其个人数据从一个数据控制者处转移至另一个数据控制者处。数据控制者不仅无权干涉,还需要配合用户提供数据文本。 被遗忘权:当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时,用户有权要求删除数据。而且数据控制者不仅要删除自己的数据及复制件,还要负责其公开传播的数据,通知第三方停止使用并删除。 (4)重重监管——数据控制者的问责机制 数据保护官 文档化管理 数据保护影响评估 事先协商 数据泄露报告 安全保障措施 数据保护官:具备数据保护法令专业知识,该角色必须独立,其联系方式必须予以公布,向监管机构报备,并直接向高层管理汇报工作。 文档化管理:数据控制者必须全面记载其数据处理活动,包括数据处理的目的、数据的类型、数据接收者的类别以及转移至第三方的数据接收者、数据保存的时间、采取的安全保障措施等等。 数据泄露报告:一旦发生数据泄露事故,数据控制者需要在事件发现后72小时内,将事件报告给指定的监管机构。 必须要说明的是,以上数据控制者的问责机制,其实可以理解为数据控制者必须采取“足够的措施”来确保其数据安全。 GDPR实际上是在要求公司企业建立自己的安全策略,且应与公认的安全标准和框架相一致,比如ISO/IEC 27001/27002、NIST网络安全框架等。 3、动辄倾家荡产的处罚力度 GDPR的罚金也是极为严苛的: 轻者处以1千万欧元或者上一年度全球营收的2%,两者取其高。(针对的违法行为包括:没有实施充分的IT安全保障措施,没有提供全面的透明的隐私政策,没有签订书面的数据处理协议等。) 重者处以2千万欧元或者企业上一年度全球营业收入的4%,两者取其高。(针对的违法行为包括:无法说明如何获得了用户许可,违反数据处理的一般性原则,侵害数据主体的合法权利,以及拒绝服从监管机构的执法命令等。) 此外,对于不服监管机构作出的决定或者监管机构不作为,用户可寻求司法救济。 以亚马逊为例。2017年亚马逊公布的年营业额为1778.66亿美元,一旦它违反GDPR,那么可能会受到欧盟最高达71.15亿美元的处罚,近453亿人民币! 有关机构调查数据显示,31%的受访企业声称他们已经满足GDPR的要求,但当深入了解下去,真正合规的企业只有2%。这一比例差距悬殊,表明大多数企业并不了解GDPR,更没有做好应对措施。 而GDPR一旦生效,被处罚的代价是十分高昂的,甚至攸关企业的生死存亡。 避免数据泄露、保护数据安全的过程,就是规避罚款的关键。 然而,很多企业认为GDPR离他们很远,并不对其业务造成影响。殊不知我国也已出台并实施了《中华人民共和国网络安全法》,数据安全、隐私保护已经成为全世界的共识,企业依据自身业务形态及流程作出必要调整是大势所趋。 |