中国企业应该如何应对欧盟的《一般数据保护条例》?

2018-11-20

 

(原标题)中国企业应该如何应对欧盟的《一般数据保护条例》?

作为欧盟1995数据保护条例(The European 1995 Data Protection Directive, Dir.95/46/EC)的替代,2018年5月25日生效的《一般数据保护条例》(或《通用数据保护条例》,General Data Protection Regulation,简称GDPR)具有更大的威力:对于用户而言,他们有权访问、改正、移植和删除其数据;对于监管者而言,他们第一次拥有了在欧盟范围内统一行动的权力,并有权对违法企业处以高达2000万欧元或者全球营收4%(两者取其大)的巨额罚款。该法规将影响欧盟内所有获取、存储或处理个人数据的企业,包括设立地在欧盟之外但获取过欧盟公民数据信息的企业。

企业应对GDPR的措施

在实践中,企业往往缺乏对于GDPR充分的理解:有些仅把它当作原有数据条例的加强版;另一些则把它看作是企业的负担,认为很难满足所有的要求。这两种观点都有失偏颇,应该从更长远的角度去认识和观察。中国涉及欧洲业务的诸多企业,已经被自动纳入到GDPR的管辖范围,应提前做好预案。这样,一方面可以有效规避潜在的高额惩罚;另一方面还可以抓住互联网转变的机遇,在新产业形成过程中占据有利地位,寻找新的利润增长点。

第一,凝聚共识,应对风险。企业首先需要在内部进行动员,贯彻针对GDPR进行改革的必要性和重要性,在思想上凝聚共识。这是因为改革会增加企业成本、降低利润、甚至需要对企业既定的战略和计划做出调整——而利益格局的改变必然会招致不同的声音。为了将风险最小化,企业在前期规划时一定要做好评估:清点所有的应用程序,明确企业内部数据的来源、储存和处理方式,指派人员承担相关职责,预测可能会带来的危害并提前制订应对方案。值得一提的是,员工个人的移动办公设备也存在数据泄露风险,因为这些设备接触到了公司的数据,可能会被备份,所以也应该纳入定期排查的范围。更重要的是,企业要善于在“危”中寻“机”,明确如何利用新规则挖掘商机。例如良好的数据保护会带来口碑和声誉、吸引潜在用户;公司数据利用能力的提升也为未来新业务的发展构筑了基础。数据管理公司Hanse Orga Group的首席战略官Christoph Dubies认为“致力于保护用户数据的企业可以预期得到良好的市场反应,它可以作为营销策略提升品牌知名度并获取用户的信任。”

第二,在企业内部构建数据处理机制。一个完善的数据处理机制包括从数据访问、存储、修正、乃至删除的整个过程,它拥有可以按照外部用户或监管机构的要求进行提取展示的能力;在特性上,应该兼顾全面性和专业性。GDPR影响了企业的整个运作流程,客观上要求企业在内部建立一个跨部门的组织,应该包括法律、财务、技术、市场等所有涉及用户个人信息的部门。比如,企业的法律部门首先需要厘清GDPR赋予企业的责任和权利,因为GDPR更多的是侧重于原则上的阐述而非具体的规则,给实施预留了一定的操作空间——而这就需要法律上的咨询建议,以确保企业行为在法规权限内落地实施。此外,财务部门提供资源支撑,技术部门保证实际运作,市场部门则将数据保护作为一项营销策略,用以增强用户好感、提升企业知名度。值得一提的是,企业需要保持与外界的良好沟通,让用户、监管者乃至社会公众了解你为数据保护所做出的努力,构造出一个数据守护者的形象,这无疑会有利于企业的长远发展。

第三,设置数据保护官(Data Protection Officer, DPO)等职位。GDPR第4章第4节明确规定,企业内应指派数据保护人员承担数据保护合规相关职责。在企业内部,要通过组织架构的调整赋予DPO足够权限,确保其可以同其他高管进行顺利沟通,并能争取到足够的资源。在企业外部,GDPR的规则会在不断的实践中逐渐成熟和完善,形成公认的知识经验,因此DPO需要同外界的同行、监管机构、司法系统等保持畅通的交流,以调整和优化企业的数据保护机制。DPO可以是企业内其他管理人员的兼职,如2018年5月东方航空任命总法律顾问郭俊秀为DPO;内部缺乏数据合规相关人才的企业也可以外部聘用DPO,因为GDPR允许一名DPO同时为多个企业工作。

第四,建立完善的数据库。数据库不仅仅是目录清单,用以追踪用户的数据流记录;它还涵盖了与数据相关的所有信息,包括数据来源、处理方式、法律依据、以及数据分享等。以此为基础,企业可以建立完整的数据库,它会是未来新兴业务发展的重要基础资产。数据库的构建要求企业拥有一定的信息技术的能力,可以操作海量数据,保证数据安全,并有能力在规定时间内(72小时)向监管者提取需要的信息。

个案分析:Facebook应对GDPR的措施

Facebook因“泄密门”事件遭遇了自公司成立以来最大的“滑铁卢”,扎克伯格在欧盟委员会上的听证也在客观上树立了GDPR的权威性。Facebook被质疑强行索取个人信息,用户不得不在注销账户和“同意”之间二选一。在面对英国《卫报》的采访时,Facebook首席隐私官(Chief Privacy Officer,CPO)Erin Egan说:“为了满足GDPR的要求,我们提前做了18个月的充分准备。我们让政策更加清晰,隐私设置更为便利,还可以让用户方便的访问、下载和删除他们的信息。在5月25日GDPR正式生效之后,我们还会继续完善用户隐私权。比如建立‘清晰历史’(Clear History),它可以让用户查询到曾经提交过的网站和应用信息、清除这些信息、或者拒绝Facebook继续存储个人信息。”

在登录Facebook时,用户需要在界面跳出的公告中重新选择数据使用权限。为打消公众疑虑,公告第一句便是:“我们重视对你隐私的保护,不会出售你的数据”,并阐明“会通过广告主,应用开发者和发行商提供的数据,了解你在Facebook旗下产品站外的活动,据此为你展示更好的广告”。这些从合作伙伴那里获取的数据包括“Facebook业务工具的网站和应用上的活动,例如在线购物或下载应用”以及“与合作伙伴的线下活动,例如在自行车店购买安全帽”。

为体现GDPR的“限制处理权”和“拒绝权”,Facebook阐明“你可以控制是否允许我们使用这些数据向你展示更好的广告”。例如,Facebook在获取用户使用数据的允诺之后(点击“接受并继续”)会向具备特定特征的用户展示广告;如果用户不愿意分享数据,则可以在“数据设置”里面进行设置。但是,公告中特别声明,即便用户不愿意分享数据来推送广告,Facebook仍会在法律框架内有限度的使用用户数据。

为了让用户直接控制自己的数据,Facebook将用户登录过的应用和网站信息放在设置页面下的“应用和网站”板块,用户可以方便地进行清除。“应用和网站”板块包含“使用中”“已过期”和“已移除”等三个部分。在“使用中”,用户可以查看并更新对方可获取的信息,并清除不再需要的应用和网站;“已过期”的应用和网站无法再访问用户的私人信息,但用户可以更新访问权限、编辑信息或者直接清除;“已移除”的应用和网站仍可以访问用户之前分享的信息,但无法获取更多私人信息。对于“使用中”和“已过期”的应用和网站,用户可以通过简单的点选进行清除,并通过“查看和编辑”按钮设置信息、应用可见度以及能否向用户发送通知等功能。“已移除”的应用和网站只能通过“查看详情”了解移除日期、用户编号以及数据访问权限等信息。有趣的是,Facebook以防止陌生人访问用户的照片和视频为由,在公告中顺便推销了自己的人脸识别技术。如果选择打开人脸识别设置,Facebook会“把它与其他照片和视频的分析进行对比,从而辨别这些照片或视频中是否有你”。

此外,Facebook在页面下方新设了“广告选项”和“隐私权政策”。在“广告选项”里,Facebook提供了多种控制向用户推送广告的方式,如选择退订所有相关公司的广告,并提供了如何在浏览器和设备中退订广告的方法。“隐私权政策”展现了Facebook收集的用户信息的类型,包括用户和他人执行的操作及提供的信息、设备信息以及来自合作伙伴(广告主、应用开发者以及发行商)的信息。在收集信息后,Facebook会提供、定制并优化产品,提供成效衡量、分析和其他商业服务,加强用户安全、数据安全和产品信誉,为社会公益目的进行研究和创新。不过,用户有权拒绝将数据用于企业利益或公益的目的。

针对GDPR的“删除权(被遗忘权)”,Facebook规定会对用户数据进行存储,但在不需要该数据或者账户注销时才能删除。例如,用户可在搜索后删除历史记录,但该搜索的日志要在六个月后才能真正清除;用户提交的用于账户验证的身份证件副本,要在30天后才能清除。此外,为回应GDPR的要求,Facebook还提供了负责用户信息的数据管控方Facebook Ireland的具体联系地址,并声明用户有权向其及主要监管者“爱尔兰数据保护专员”或当地监管者提起投诉。

在英国《卫报》的报道中,美国数字民主研究中心的创始人Jeffrey Chester将GDPR的实施称为“不可思议的突破”,因为它改变了互联网巨头与用户之间的权力平衡。对于企业而言,不遵守GDPR规则可能会在无意间面临声誉受损、高额罚款甚至是刑事责任,从而在市场竞争处于劣势地位;而因应时势,借由数据保护新规则开辟新的商业机会和利润空间的企业,则可以创造出更高的价值,转危为机,实现企业的新发展。(来源:澎湃新闻 作者:深圳大学博士后,经济学博士 邵庆龙)


财经大事 滚动播报 热点直击

深度政策独家数据钢市楼市基建机械汽车造船家电电力煤炭国际外汇图片

关闭

欢迎关注

中联钢联合钢铁网

微信公众号