欧盟GDPR新法上路,中国企业需要了解这五点智库
从19世纪90年代至21世纪,商业推动力经历了从人口统计到品牌,再到效用,现在到数据的转变,数据正在企业运营中发挥着不可替代的作用。根据波士顿咨询公司预测,2020年仅个人数据的价值预计可达1万元。
然而,“隐私安全”一直是互联网公司、互联网用户与监管机构之间难以协调的矛盾。对于互联网公司,他们在一定程度上通过用户数据让低价服务变得更好;对于互联网用户,对基于感知的价值的互联网服务的使用时间增加;对于监管机构,想要确保用户数据不被“不正当的”使用。如何保护好数据安全,正在为各界所重视。
我国一直非常重视个人信息保护。2017年,我们就出台了《两高司法解释》和《网络安全法》,明确提出,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。今年5月1日,吸纳了大量GDPR理念和内容的《信息安全技术个人信息安全规范》也正式实施,已对金融科技公司产生了实质性的影响。
2018年5月25日,经过两年多的预备期,欧盟制定的《一般数据保护条例》(General Data Protection Regulation,GDPR)正式开始生效。这也是迄今为止,全球数据隐私法规中,覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规。GDPR会对中国企业带来什么影响?
一、哪些企业受影响最大?
GDPR第三条指出,“本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。”
因此,受影响最大的中国企业是在欧盟内设立分公司的企业,以及那些为欧盟提供商品和服务的公司。但是,需要明确的是,只要欧盟公民产生的数据都受到保护,所以,欧盟公民在非欧盟国家产生的数据也是受到保护的。在这里,面对一个重要的问题是,你并不能确定欧盟公民身在何处、采集的数据哪一个属于欧盟公民。
二、GDPR“个人数据”定义大幅拓展
GDPR中关于“个人数据”的定义大幅拓展,除了姓名、手机号、用户名、IP地址、定位地址这些常规信息外,还包括生物信息、健康数据、政治观点等敏感信息。因此,你在基因公司测量的基因信息、你的健康管理APP记录的健康信息以及你在社交软件发布的个人观点等都属于“个人数据。”
同时,GDPR中对违规企业惩罚也进行了明确。一旦企业企业违规记录用户个人数据、违规后未及时通知监管人员、存在数据安全问题、违反隐私影响评估等相关条例,最高可获1000万欧元或其全球年营业额2%的罚款;若企业违规内容涉及未经用户同意使用数据、侵犯用户人权、或非法跨境流通数据,最高可获2000万欧元或其全球年营业额4%的罚款(两者取较高值)。
三、GDPR八项要求
GDPR为强调欧盟公民隐私方面的权利,提出了八项要求,包括同意权、访问权、纠正权、被遗忘权、数据可携带权、拒绝权、获得救济权等多项权利等。其中,最具创新性的是被遗忘权、数据可携带权和拒绝权。
被遗忘权:GDPR第17条指出,数据主体有权要求控制者无不当延误地删除与其有关的个人数据,并有权要求任何已知的第三方删除针对个人数据信息的所有复制和链接权利。但是关涉公共健康等公共利益以及其他四项时,此权利是不适应的。例如,你有权让蚂蚁金服删除支付宝获取的所有支付信息,并且有权让任何已采集自己支付宝支付信息的第三方机构删除所有信息。
数据可携带权:GDPR第20条指出,用户有权以有序的、常用的、机器可读的方式获取其个人数据,并且有权将这些数据转移到另一个企业,原始收集、存储这些数据的企业不得干扰用户转移。但是,数据可携权需建立在不得不利地损害他人的权利和自由的基础上。例如,用户可以自由的在支付宝获取自己的支付信息,并且可以把自己的支付宝支付信息给到微信支付。
拒绝权:GDPR第21条指出,数据主体拥有拒绝权,在关于用户的特定情形下,在任何时间处理关系到用户的个人数据,包括基于这些条款的分析,用户都可以拒绝企业使用个人数据。当然,企业也可以提出正当理由抗辩。例如,抖音用户可以拒绝抖音根据自己的历史浏览视频数据智能化推荐,也可以拒绝淘宝依据自己浏览和购买记录的智能营销。
四、企业的七项义务
在GDPR中,也明确了控制者和处理者的七项义务:
通过设计和默认的数据保护:GDPR第25条指出,控制者应该在确定处理手段和在处理的同时,实施适当的技术和组织措施,如匿名化,即目的是实施数据保护原则。这一项义务是指,企业需要利用相关技术来保护用户个人数据。
处理活动的记录:GDPR第30条指出,每一位控制者,以及如适用控制者的代理人,应当依其职责保存处理活动的记录。企业需要将处理用户个人数据的记录进行保存,方便用户查看。
和监管机构合作:GDPR第31条指出,在事务执行的过程之中,应用控制者、应用处理者以及它们的代表,应当根据要求与监管机构进行合作。企业需要自觉与监管机构合作,配合监管机构的监管以及相关事务的执行。
处理过程的安全性:GDPR第32条指出,控制者、处理者应当执行合适的技术措施和有组织性的措施来保证合理应对风险的安全水平。企业需要对数据外泄等风险做好保障措施,尽全力保障用户数据安全。
监管机构对个人数据泄露的通知:GDPR第33条指出,在个人数据泄露的情况下,控制者不能不当延误,而且至少应当在知道之时起72小时以内,根据第55条向监管机构进行通知,除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72小时,需要对迟延原因进行解释。这一项业务也明确了,用户拥有知情权,有权知道自己的数据被企业泄露。
数据保护影响评估:在进行数据处理之前,控制者应当对就个人数据保护所设想的处理操作方式的影响进行评估。这一项义务,是要求企业做好处理前的风控,并按照评估方法选取风险最低的操作方式。
数据保护局人员的指派:GDPR第37条规定,公共组织(法院除外)、核心业务涉及对用户进行经常性的大规模的系统性监控的企业、核心业务涉及处理个人敏感数据或者与刑事犯罪有关的个人数据的企业,应当任命一个数据保护官。多个相关企业可以委任一个数据保护官。在这里,GDPR明确了企业需要新增数据保护官的职位,专门负责用户数据的安全。
五、GDPR对中国企业有什么影响?
GDPR对于中国企业来说,其实一把双刃剑。 首先,GDPR的正式出台可以推进中国个人数据相关政策的颁布及落地,督促中国企业的个人数据处理,保障我国居民的个人数据权利。中国居民对于“隐私保护”,一直缺乏重视,此次GDPR出台,也会引发中国居民再次对个人数据价值的探讨。
其次,GDPR的出台也对企业产生了一些消极影响。最明显的是,企业的合规成本提高,据普华永道调查显示,68%的美国企业预计将花费100万到1000万美元来满足GDPR的要求,另有9%的企业预计花费超过1000万美元。