随着全球各国《个人数据保护法》的陆续实施,欧盟《一般数据保护法案(General Data Protection Regulation, 679/2016, GDPR )》(简称GDPR)即将于 2018 年 5 月 25 日全面实施。有媒体说,这个法案是有史以来最严格的个人信息保护法,将会是大数据时代中的最强之盾用以保护我们的个人隐私。
美国与欧盟之间的欧美隐私权屏障架构(EU-US Privacy Shield Framework) 和即将全面实施的欧盟GDPR,均要求不论政府或者民间组织,有义务保护因为业务需要,所搜集、处理、利用的个人数据。
重要的是欧盟该法案中规定了不论直接或间接识别到的个人的资料,都属于个人数据范围。组织必须依法建立一套系统化的管理机制(例如,引用 BS 10012 个人数据管理体系、ISO 29100 隐私保护框架等),符合 GDPR 条款 5 所要求的个人数据保护原则。规定了对违规行为严厉的处罚方式,以高额的行政罚款形式对任何类型的违反GDPR行为进行处罚。罚款范围是1000万到2000万欧元(折合约1.5亿元人民币),或者企业全球年营业额的2%到4%,并且以较大数额为准。
GDPR法案全面实施,数以万计的企业组织将必须遵守,那么哪些组织的业务需要符合GDPR规定呢?
GDPR与其前身数据保护指令(指令95/46 / EC)相比,适用于更大范围的组织。事实上,不受欧洲隐私法律约束的许多企业实际上需要遵守GDPR,GDPR用于在欧盟存在的在执行业务活动期间涉及处理个人数据的所有组织,即使是规模最小的公司、在欧盟没有实体存在的组织希望为欧盟居民提供商品和服务(包括使用欧盟语言或货币、为欧盟居民量身定制产品,或在欧盟范围内积极营销、在线跟踪人员创建个人资料,或分析和预测个人偏好、行为模式或态度等)全部需要遵守GDPR。
综上所述,按编者理解只要是已经或正在准备与欧盟体系内的26个国家有经济业务往来,不论您的产品或服务是可以直接还是间接识别到个人的资料,事实上都需要遵守GDPR法律规定。借用Veritas公司执行副总裁兼首席产品官迈克·帕尔默(Mike Palmer)的警告:“如果不作出反应,则会导致企业的业务、品牌声誉以及生存能力遭遇重大危机。”GDPR颁布后,整套法律规定条款均可以公开查询到,但问题是我们的企业要知道如何操作才可以被认定符合这套法案中的个人数据保护规则,这是最最重要的!据之前有关数据统计:亚太90%的企业都不清楚欧盟GDPR数据保护条例。更谈不上懂得如何使自已的组织所提供的产品或服务被认定符合GDPR中的个人数据保护规则。
在GDPR大限将至之时,还有多少企业在裸泳?会不会一不小心碰触这根隐私保护的高压线呢?我们拭目以待吧!
另,根据Facebook 2016年 营业额 276.38亿美元计算,如果本次用户泄密事件发生在2018 年 5 月 25日之后,Facebook有可能会被欧美罚款超过11亿美元(276.38亿美元*4%=11.05亿美元) 。
面对GDPR的到来,企业是否已做好准备?
1、企业是否了解客户数据的存储位置?
要想全面落实GDPR,企业必须掌握所存储和处理数据的特征,从而可以全面保护数据。
2、企业能否明确证实已获得客户同意?
GDPR要求企业向用户提供简明易懂的数据收集和处理相关的知情通知,确保在获得用户同意后方可继续使用这些数据。例如,未经用户明确同意,企业不得将个人信息用于营销目的,甚至不得用作客户群的背景说明。
3、企业的内部隐私管控机制是否健全,相关产品和服务是否符合隐私策略?
GDPR要求企业将隐私管控机制全面集成到需要使用个人数据的各个系统和流程中,从而确保为客户提供可自动应用隐私保护设置的产品和服务。
4、企业存储的数据是否支持移植和传输?
企业必须满足用户将个人信息向自己或其他组织传输的要求,并采取可机读格式。这就要求企业具备多项能力,包括对数据结构化处理,使其成为可移植的数据,以及管理多个平台或供应商之间共享的数据。高科技企业还需着力构建数据安全解决方案,提高消费者的数据可视化程度,和筛选哪些数据需要传输的能力。
5、企业能否在必要时彻底清除个人数据?
GDPR规定,用户有权“被遗忘”,这就意味着企业必须删除不必要的或用户不再允许使用的个人数据。因此,企业必须具备相应的技术和流程,在整个企业中查找相应的数据,将其从系统中删除,同时将用户的数据清除请求告知第三方处理机构。
6、企业能否快速识别并报告数据泄露事件?
GDPR规定,如果数据遭到泄露,用户有权快速获取相关信息,这就要求企业必须在72小时内向数据保护机构报告数据泄露事件。目前,只有1%的云服务供应商能够在24小时内向客户发出数据安全事故通知。
7、企业能否确保所使用的第三方供应商符合GDPR标准?
GDPR明确规定了整个数据供应链上的企业各自的数据保护职责。企业必须明确划分各利益相关方的角色、责任和义务,同时具备卓越的履约能力、供应商管理和风险管理知识,从而打造各平台合作伙伴间紧密合作的全新架构。
8、企业是否拥有经验丰富的隐私保护工作人员?
要想全面落实GDPR,企业必须加大对个人和员工隐私保护的培训力度,建立相应的工作流程,促进不同业务部门之间的协作。企业必须及时填补隐私保护方面的关键职位空缺,安排相应的员工培训,以满足GDPR的合规要求。对于需要处理大量敏感数据的企业,可能还需聘请专职的数据保护官。
9、是否合规?
目前,企业正在全力提升个性化的客户体验水平。在数字化时代,高科技企业收集用户个人信息并据此为客户提供最佳产品或服务已成为常态。我们不妨向前快进到2018年6月,罗莉 史密斯(Lori Smith)要求ABC公司删除其个人数据。ABC公司随即从系统中删除了罗莉 史密斯的个人数据。但该公司之前已将罗莉的个人数据用于角色开发,并参考这些数据为特定客户群提供适用的数字广告。ABC公司目前未对角色做出任何修改,以体现其已删除了罗莉的个人数据。ABC公司这样做是否符合GDPR的数据删除要求呢?
10、是否需要负责?
某零售商使用云端ERP系统。该ERP供应商采用云端平台托管其应用程序,其解决方案还包含用于电子商务支付处理的第三方插件。2018年9月,该零售商遭遇数据泄露。根据GDPR规定,该ERP供应商是否应当对此次数据泄露事件负责?云基础架构供应商和电子商务插件供应商是否也要承担相应责任?
立即行动
GDPR即将强制执行,违规将被严令禁止,并受到严厉处罚。然而,根据一项面向云服务供应商的客户感知调查显示,仅6%的企业被认为符合GDPR、无需在新的规定条款框架下重新商谈合同;而91%的企业出于对数据处理的复杂性和成本的考虑,对自身能否符合GDPR表现出了担忧。因此,应对GDPR任重道远,企业需要争分夺秒做好准备,按照GDPR规定全面落实相关人员、流程和技术变革。为此,我们提出以下三大行动方案,帮助企业快速有效落实GDPR。
1、制定企业内部GDPR合规战略。尽管本规定适用于欧盟公民,但却可能跨越多个国家和运营线,实现全球适用。
2、确定合规战略之后,立即对企业运营达标情况展开评估。评估企业内部执行GDPR要求的实际能力。要想加快这一步伐,企业可考虑采用外部评估机构,针对公司具体的合规目标和业务范围展开评估。
3、制定最佳合规解决方案,确保数据处理供应商与合作伙伴安全可靠。由于数据供应链存在一定的合规风险,企业在实施合规战略时可考虑将运营流程外包,最大程度降低风险。
互联创新 智雍未来 
长按识别二维码,关注我们!
更多万雍产品资讯可拨打服务热线:
400-820-3806