据英国广播公司(BBC)报道,由欧盟起草,号称史上最严格的数据保护法案《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)将于2018年5月25日正式开始实施。欧洲乃至世界各国机构及公司已经开始进行或者完成相关准备工作。
该法案核心是保护欧盟居民的个人数据与隐私。GDPR的实施,将欧盟对个人数据保护及其监管,推向了前所未有的高度。
上个月,剑桥咨询公司未经授权获取美国社交媒体Facebook多达5000万用户的信息。Facebook首席执行官马克-扎克伯格也为此在美国参议院举办的听证会上进行了公开道歉。这使得公众开始高度关注个人数据安全问题,并意识到保护个人数据的重要性。技术和电子通信的发展,意味着我们每天都与大量的组织分享我们的个人数据,但如何确保这些数据安全合理地使用,是一个全球化的问题。
面向未来,机遇难得
GDPR主要从更全面的、更有利于用户的角度,对企业及第三方机构,开展涉及数据安全和用户隐私相关作业,进行了严格的约束。
首先,在该法案中的违规企业将面临巨额处罚,最高罚款额可高达2000万欧元或上一财年公司全球总收入的4%(以较高者为准)。其次,根据GDPR条款,未来涉及用户数据的企业活动,必须在征得用户许可的前提下进行。目前企业常用的获取用户数据-分析-设置算法-定向投放-再次收集反馈的模式或许不可持续。
同时,该法案更加明确了消费者对于数据的权力。明确定义了组织内接触、管理数据的角色和责任,包括:数据控制员(Data controller)、数据处理员(Data processor)以及数据保护官(Data Protection Officer)。这就使得企业组织架构和岗位的权责必须更加清晰。GDPR还要求企业为消费者提供更加安全便利的服务。根据法案,消费者有权要求,组织删除或转移个人数据等等。
不难发现,GDPR几乎涉及各行各业,但金融、跨境电商/贸易及互联网等拥有敏感数据的企业将首先受到影响。目前看来,在欧盟境内的中资银行、商贸机构,以及与欧盟有业务往来的跨境电商平台需严阵以待。
于中国企业而言,GDPR掀起的波澜中,有挑战也有机遇。“随着时间迫近,中企的首要任务是如何合规,如何遵守底线。”在银杏树信息技术服务公司总裁詹立东博士看来,“具有前瞻性的企业必然会得到更多的机会和更广阔的平台。” 在该法案下,中国企业涉及欧盟范围的业务,必将进行资源重构。此外,GDPR将引领全球广泛关注个人数据安全领域。未来,将会有包括中国在内的更多国家出台并完善相关法律。可以预期,中国版的GDPR也会在不久的将来水到渠成。
面向未来,从容应对
GDPR落地进入倒计时,中国企业应该如何应对?詹立东博士认为可以从以下几个方面来着手开展工作。
制定新的战略。为应对法案实施,中国企业应该从企业战略角度,进行周密地准备,包括与欧盟成员国相关数据保护部门和利益相关方密切合作,了解其对GDPR监管力度、配套的计划等等。在过去的两年之中银杏树的欧洲伙伴都在积极准备应对GDPR,目前已经有了具体的解决方案。
严格自查评估。GDPR的实施,必将使业务涉及数据处理或检测的企业受到影响。企业需要全面检查自己公司存储和处理的欧盟公民数据,评估安全风险。将自己平台数据的操作与GDPR的有关内容进行严格比对,对不合规部分做出整改。
制定响应机制。根据该法案规定,企业需设立数据保护官等职位,定期审查数据相关政策确保企业自身符合GDPR并使企业业务顺利运行。完成数据安全漏洞检测,确保发生情况时及时处置,同时,保持与利益相关方的有效联动。
据悉,由中国国际商会举办的GDPR主题论坛将于5月在京举行,届时包括相关部门领导、法律与技术专家将齐聚一堂,共同探讨中国企业在当下的解决方案,帮助中国企业应对这个迫在眉睫的欧盟合规性要求。
Grapeshot首席运营官Kurt Kratchman认为:“GDPR是受国际认同的数据保护条例,虽然中国有着自己完善的网络安全条例,但是,中国关于个人数据保护条例会逐渐与GDPR标准接轨。”届时,不仅影响到跨境贸易企业和大型金融机构,互联网生态圈与产业链都会面临一次新的洗礼。
更安全更便捷的未来
数据安全已然成为时代潮流,并将掀起巨变。
在詹立东博士看来,GDPR将引领全球聚焦隐私安全,设立完善相关条例法案。“我们将迎接一个更为安全的数字化时代。电子商务核心是维护固定买卖关系和产业链的组织,这必将给重视契约精神的电子商务带来曙光。”他认为“去中心化,分布式是未来发展潮流。系统的数据模型层面要做到安全诚信,技术层面要完成分布式部署。”
在全球互联网所及的各个角落,用户的数据将被视为一种有属性的资产,而不再是冰冷的数字。信息交互的背后,是一个个活生生的人,组成了整个社会和商业的运转。
今天我们讨论GDPR,不该局限于用户隐私,更应着眼于背后蕴含着的商业哲学。一部商业法案的终极目标,应该是是让交易更加便捷。这将意味着技术的创新与突破和交易成本的大幅降低。便捷与安全向来是同向车轮,规则之下绝不意味二选其一的偏驳,或者为了便捷就放弃安全的妥协。
总之,GDPR不仅是一个挑战,也为中国企业提供了一个审视自己并可能获得更大发展的机遇。