13910160652
010-52852558
| |EN
首页 > 互联网 > 其他
  • 13910160652
  • ciplawyer@163.com

GDPR正式生效,倒逼中国企业从源头建立用户数据安全体系

日期:2018-06-19 来源:隐私护卫队 作者: 浏览量:
字号:

5月25日,欧盟《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)正式生效。由于这一“史上最严数据保护条例”将适用范围扩展到“属人管辖”,凡是与欧盟有业务往来的中国企业都可能受到影响。据南都记者了解,一些行动较早的企业已经建立起相应的数据安全治理体系。但还有很多企业处于起步状态,只能先采用“打补丁”式的方法满足GDPR的基本要求。


“属人管辖”与巨额违规成本


GDPR的特殊之处在于,它的适用范围从“属地管辖”扩大到了“属人管辖”。按照 GDPR的规定,只要一家企业满足以下两个条件之一,即受到管辖:(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。


这意味着,无论办公地址和服务器是否在欧盟境内,无论产品和服务是否收费,只要企业在提供产品和服务的过程中处理了欧盟境内个体的个人数据,或者对欧盟境内个人的活动实施了监控行为,就将落入GDPR管辖——在金融、制造等传统领域和社交、电商、云计算等新兴领域,符合条件的中国企业都绝不在少数。


相较于国内的网络安全法等,GDPR的规定更加具体,明确了处罚违规企业的分类办法。如果发生最为严重的侵犯个人信息安全的行为,例如,没有充分获得用户同意就处理数据,或者核心理念违反“隐私设计”要求,相关企业就可能面临高达其全球年营业额的4%或2000万欧元(以较大者为准)的行政罚款。


全球年营业额的4%是什么概念?以《财富》杂志“世界500强排行榜”的数据作为参考,2016年排名第一的沃尔玛营业收入达4858亿美元,排名第二的国家电网营业收入为3151亿美元,它们的4%分别约为194亿美元和126亿美元。对企业来说,这样的巨额罚款无疑是“不能承受之重”。


而对于那些正在积极“出海”,力图实现国际化愿景的中国企业而言,违反GDPR的代价远不止在财务层面。“企业最大的风险是失去欧洲市场准入机会和用户的信任。”有业内人士表示。


从结构到技术,调整企业数据治理体系


从2016年4月27日GDPR获得通过到今天正式实施,短短两年时间,动作快的企业已经投入了大量的时间精力。“传统的安全治理框架与互联网企业的模式存在一定的冲突,企业要在安全治理和快速发展之间找到平衡点。”小米相关负责人透露,小米对GDPR及欧盟各国隐私法规的调研始于2016年,同时启动了全球数据中心部署项目。2018年初小米聘请第三方咨询公司针对GDPR做了对标检查,并修正了对标过程中发现问题。


按照GDPR的规定,掌握用户个人数据的企业,即“数据控制者”,要履行极为细致的义务,比如默认隐私保护、数据保护影响评估、设置数据保护官(Data Protection Office,简称DPO)等。小米据此梳理了各业务场景的个人数据流向,设置各项公司内部机制,以保障用户权利实现。


对小米而言,挑战之一在于GDPR所规定的72小时内报告数据泄露事件。小米相关负责人称,72小时在实践中是非常高的标准,为了实现这一点,企业要建立完善的数据监控机制,实时发现内部违规操作和外部入侵行为。同时,企业应当提升公司内部的安全意识以及数据泄露发现、核查和报告的流程。



几乎与小米同时,2015年上线欧盟配送业务的顺丰也开始行动。据顺丰介绍,GDPR刚获通过,法务部门就联手信息安全、业务部门制定实施方案。去年11月,各部门联动落地方案正式实施。目前,顺丰为欧盟消费者和欧洲员工分别制定了相应的隐私政策,并在APP下单等信息收集页面为欧盟消费者接收营销信息设置了单独的勾选项。


在顺丰相关负责人看来,各部门联动,是GDPR合规过程中的一大难点。“GDPR的要求多且复杂,需要欧盟律师协助梳理业务模式后确定改进措施。而数据的收集、处理各个环节涉及多个部门,为了提高工作效率,集团将此项工作作为专项开展,通过例会跟进。”顺丰相关负责人介绍,专项工作前后调动了公司法务、信息安全、IT、营运、市场、人力资源等多个部门的上百名员工。


他说,履行GDPR规定的具体义务时,顺丰最大的挑战是个人数据的匿名化。在技术层面,数据匿名化处理导致系统的实现逻辑发生变化,某些系统的逻辑复杂度和耦合度提高。在业务操作层面,要增加一定的设备辅助操作程序。为避免业务流程变更对一线快递员的效率影响,企业须投入大量人力,循序渐进地推广。


难点仍有企业处于“打补丁”阶段


值得注意的是,GDPR引入了从设计着手保护隐私(privacy by design)和默认保护隐私(privacy by default)两项原则,要求各类组织机构在产品和服务的初始设计阶段以整个过程中,都将数据与隐私保护考虑在内。有业界人士认为,像小米和顺丰这样从源头调整内部的数据治理体系,才是根本的合规之道。


但事实上,并非所有企业都具备这样的能力。在隐私保护方面,小米和顺丰都属于“内功深厚”型选手:小米自视是“数据驱动的互联网公司”,很早就设置隐私委员会(类似于GDPR要求的DPO),2014年进入国际市场时成为中国第一家取得国际TRUSTe隐私认证的企业。顺丰此前也已建立起非常完善的数据保护组织架构和技术措施,针对GDPR的合规措施更多是原有措施的进一步细化。


中国大多数企业没有类似的基础。传统大企业更是受制于自身的组织架构与业务规模,难以快速建立起由上到下的隐私保护体系。它们只能对照GDPR的条款要求,逐一采取应对措施,如数据流向的梳理,隐私政策的修订和补充等——就像打补丁,哪里有缺口就在哪里补上。


“GDPR其实是关于数据隐私的,这就意味着在谈到隐私保护问题时,大家一直依赖的传统加密和基于角色的访问控制策略都不再足够。相应的,各家企业要衡量分析型的收益与守法的支出之间的关系。”美国数据公司Immuta的首席技术官Steve Touw接受媒体采访时如是说。


Touw提到的收益和支出的关系,也是很多中国企业缺乏体系建设动力的原因。守法需要成本,而企业都是逐利的。GDPR尚未开始实施,某些具体要求尚不明确,也无相关案例可供参考。因此,部分企业仍抱有侥幸心理,一边“打补丁”一边观望事态进展。


有分析人士指出,有效实施隐私策略需要强大、多构面的隐私组织,且隐私组织需要与业务单位合作完成数据的保护、管理和利用。要让公司从上到下都认识到隐私保护的重要性与必要性,在意识上首先进行转型,其实是最难的。


影响GDPR倒逼中国企业更加重视隐私安全


可以确定的是,GDPR的影响迟早会来,中国企业无法完全规避。为了更好地开拓欧盟市场、赢得欧盟用户的信任,中国企业应及时审视现有的商业操作。


工信部赛迪智库网络安全研究所助理研究员魏书音判断,未来,C2C模式下的电子支付、电子商务,以及云服务、区块链、大数据征信等场景,将更加紧密地涉及用户个人数据的收集、控制、处理及利用。在GDPR的监管下,企业面临维护用户隐私与充分发挥数据价值、寻求商业利益之间的平衡难题。


“企业需要培养个人信息安全保护的战略意识。”魏书音建议企业把数据安全作为占有市场和增强用户粘性的战略举措,融入业务发展的各个环节,“同步设计、同步建设、同步更新,变被动为主动。”


顺丰相关负责人认为,GDPR将使企业更重视用户的隐私安全,更尊重用户的选择。“技术方面,能促使企业提高数据保护能力以防范信息破坏、泄露,用技术手段保护用户隐私。合规治理方面,能促使企业提高合规管理水平,如制定和完善相关合规措施、开展员工培训等。”他说。


小米相关负责人则表示,GDPR为所有企业制定了更高的标准,为行业的发展设定了隐私底线,为公平竞争提供了外部环境。小米会抓住隐私高标准的契机,努力为用户提供更好的产品和服务。


“这里可以打个比方,任何汽车都有油门和刹车,我们买汽车是为了开车,刹车却是为了减速,然而不会有人说一辆汽车只要油门就够了。没有规范的互联网发展与失控的汽车没有两样,而GDPR就像是一辆汽车的刹车装置。对互联网企业进行规范的目的,是为了使其更好发展,无论是在国内还是国外,规范管理与加快发展都不构成矛盾。”中国信息安全研究院副院长左晓栋说。