5月25日起,欧盟隐私法案通用数据保护条例(General Data Protection Regulation,以下简称GDPR)正式生效。
名为欧盟隐私条例,可能有人觉得离自己很远,离大天朝很远。其实不然,这次的条例堪称史上最严,相较于以往的数据安全条例,GDPR的适用范围从“属地管辖”扩展到了“属人管辖”。按照 GDPR的规定,只要一家企业或机构满足以下两个条件之一,即受到管辖:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。
这意味着,无论办公地址是否在欧盟境内,无论产品和服务是否收费,只要企业或机构在提供产品和服务的过程中接触到了欧盟境内个体的个人数据,都将落入GDPR管辖。
在金融、制造等传统领域和社交、电商、云计算等新兴领域,符合条件的中国企业不在少数。就拿咱007不出局来说,条例不管服务器在哪国,无论服务收费与否,只要有身在欧盟的自然人(嗯,我算一个,我认识的在其他班也有),也是纳入GDPR的作用范围了。
相较于以往,GDPR的规定也更为具体。它明确了处罚违规企业的分类办法,如果发生严重的侵犯个人信息安全的行为,例如没有充分获得用户同意就处理数据,或者核心理念违反“隐私设计”要求,相关企业就可能面临高达其全年营业额的4%或2000万欧元(以较大者为准)的行政罚款。全年营业额的4%是什么概念?以《财富》杂志“世界500强排行榜”的数据作为参考,2017年排名第一的沃尔玛营业收入为5003亿美元,它的4%高达200亿美元,几乎相当于阿里全年的营收。
而对于那些正在积极“出海”,力图实现国际化愿景的中国企业而言,违反GDPR的代价远不止在财务层面。企业最大的风险将是失去欧洲市场准入机会和用户的信任。
GDPR从设计着手保护隐私(privacy by design)和默认保护隐私(privacy by default)两项原则,要求各类组织机构在产品和服务的初始设计阶段以整个过程中,都将数据与隐私保护考虑在内。这就意味着,多数企业一直依赖的传统加密和基于角色的访问控制策略都不再够用。相应的,各企业和机构要从上到下都认识到隐私保护的重要性与必要性,在意识上首先进行转型,其实道路要比想象的艰难。
受制于自身的组织架构与业务规模,很多的国企难以快速建立起完整的隐私保护体系。目前能做的,只有对照GDPR的条款要求,逐一采取应对措施,数据流向的梳理,隐私政策的修订和补充,查漏补缺,一步步发展。
GDPR为所有企业和机构制定了更高的标准,为行业的发展设定了隐私底线,为公平竞争提供了外部环境。国内的大小企业和机构能否抓住隐私高标准的契机,努力为用户提供更好的产品和服务,让我们拭目以待。
网友评论