| 如果公司在欧洲有市场拓展,或者有分支企业设立在欧洲,并且业务中会涉及到物联网科技,相信已经雇请专业的团队来应对GDPR。如果还没关注到此条例实施带来的影响,会为公司在欧盟业务埋下隐患。
用一句话来形容这个“GDPR”,就是给与欧洲有业务往来的企业、尤其是中国企业,安上了一个“紧箍咒”。
这个“紧箍咒”的全称为“欧盟的通用数据保护条例(简称GDPR)”,2016年4月27日,欧洲议会通过,并将在2018年5月25日生效。 非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。
该公司就受到GDPR的管辖。这个条例将对中国企业的数据管理和信息安全,以及数据收集、处理和交易产生重大影响。
 为了帮助企业厘清这件事情的相关重要性,在线点评特别搜集相关信息及分析如下(分析来自搜狐科技、科技云报道等媒体,在线做观点汇总呈现,供关注者参考。)
被简称为GDRP的《通用数据保护条例》,可以把直接或间接识别到的某一个个体的任何信息,都视为个人信息,包括了从姓名、照片、身份证号、邮箱地址、银行账户、健康记录到网络用户名、位置定位、社交媒体发布的信息、计算机IP地址等各个方面,堪称目前世界范围内最宽泛的个人信息定义。
作为一部用来保护欧盟公民个人隐私和数据安全的新法案,其颁布使得欧盟对于数据保护的监管达到了前所未有的高度。
首先,消费者在任何时候都有权要求处理或存储过其隐私信息的公司销毁其隐私信息,如果这些隐私信息已经转移给第三方公司,消费者有权在任何时候要求该第三方组织销毁其隐私。如果一个消费者或客户提出上述要求,处理或存储过其隐私的公司则必须完成销毁,否则就会被认定为违反了GDPR的条例。这一条被称为“Right to be forgotten”。
其次,第25条介绍了软件(包括移动应用)开发设计中对数据保护的原则性要求。它强制要求软件在整个开发阶段和运行数据处理阶段必须能够保护个人数据隐私。这一条被称为“Data protection by design”。
第三,第32条规定了数据控制(含移动应用)和处理需要有足够的技术和措施来确保其数据和移动应用的完整性。这些安全措施必须能够应对数据处理面临的风险,例如所传输或存储的个人数据被篡改、丢失、未经授权披露或被恶意攻击。
以上三条法规是对中国企业的信息安全和移动应用安全合规性的最大挑战。如果没有通过,企业面临的罚款标准是,“一般违规行政罚款的上限是1000万欧元或该企业上一财年全球年度营业总额的2%(以较高者为准)”;“严重违规行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%(以较高者为准)”。
GDPR规定了欧盟每一个成员国都必须成立关于GDPR的监管机构(“Supervisory Authority”),负责GDPR在每一个国家的执行。监管机构接受该国关于违法的投诉,有权调查可能的违法情形,并进行相应的处罚。而这一监管机构也有义务和欧盟其他成员国的监管机构沟通,确保在同一件事情上执法尺度尽可能统一。同时,欧盟将设立“一站式”投诉服务,以便于消费者在欧盟范围内跨境投诉。
对于在欧盟境内有分支机构的中国公司,分支机构将被作为责任主体来强制执行法律要求。 如果没有在欧盟境内设有机构,一旦违反GDPR且境外公司高管进入欧盟境内,高管将直接强制执行处罚。首当其冲的行业是银行、电子商务、互联网、IT企业和软硬件生产商。中国企业有三个选择:
(1)停止向欧盟居民提供互联网服务(包括免费的服务);
(2)接到罚单后再去面对;
(3)主动完成欧盟GDPR的合规性要求。
显然,我们不想失去欧盟巨大的市场,我们更不愿意被处罚而使自己的品牌与声誉长期蒙受负面影响,明智的选择是主动出击,积极应对。对此,我们的建议是:
1. 邀请第三方专业的数据安全机构来评估公司的隐私保护合规现状。合规评估可以帮助您了解贵司在GDPR要求方面处于什么位置,帮助您了解您拥有哪些数据资产,以及保护这些资产的控制措施,也可以帮助您对组织内的数据保护成熟度进行评估并分析差距。
2. 提高数据保护的合规水平。合规的数据保护实践应该有:为与GDPR相关的员工提供教育和培训; 对隐私控制和隐私政策进行良好的定义; 定义流程以对数据泄露做出反应; 实施问责机制; 缓解数据泄露造成的伤害和损失; 根据隐私政策使用适当的数据保护工具。
3. 加强数据治理。您需要构建和定制自己的数据保护治理方案,并设计一套程序以不断的提高组织内的数据保护成熟度。这种设计的具体要点包括:定义具体的隐私保护策略和问责政策; 使用合理的指标来比较自己与竞争对手的合规程度;在您的组织内选择和培训特定的数据保护角色; 将隐私策略与业务策略协调一致,共同服务于公司的经营目标。需要特别强调的是,一定要在处置电脑资产前销毁硬盘上的数据,最好请第三方公司()操作并出具销毁证明。当消费者请求公司销毁个人的隐私数据时,公司可以展示数据销毁证明来表示合规,有效避免消费者投诉。
值得注意的是,适用GDPR的中国企业主要有两种情形:
一、在欧盟境内设有机构的中国企业,如其通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理是否发生在欧盟境内,都应适用GDPR;
二、尚未在欧盟境内设有机构的中国企业,如其向欧盟境内的个人提供商品或服务的过程中(无论是否收费),涉及对个人数据的处理,也应适用于GDPR。
目前,中国企业对GDPR的态度“分化比较明显”。一方面,有很早就开始为GDPR做准备的企业,主要是一些大型的互联网或物联网公司。他们既有动力要保住欧洲市场,又有财力可以负担合规成本。但另一方面,也有大量企业并未认真对待GDPR。
尚未进行合规的中国企业,将很容易成为“枪靶子”。因为作为竞争对手的欧盟企业将有很强的动机向所在国监管机关投诉举报;而成员国政府出于保护本国企业的目的,也会有很强的动机进行调查。中国企业将因此面临巨大的GDPR处罚风险。
中国企业应如何 避免GDPR雷区?
应对GDPR的准备,企业越早做准备越好。中国涉欧企业应当吸取中兴合规不力的教训,将GDPR的合规提到日程上来。短期虽然会增加一定的成本,但可帮助企业避免风险、对长期的声誉也有好处。
具体而言,建议企业首先选派专人执行GDPR合规工作,并提供必要权限和经费支持。GDPR合规是个系统而动态的工作,需要一定的人力和财力的投入。这样的投入相对于天价行政处罚而言是必要的。
其次,对企业所拥有的个人数据进行清查和分类,并设置企业的隐私政策。其中,敏感信息包括种族、政治观点、宗教信仰、工会会员、基因数据、生物学数据、健康数据、性生活或性取向;中国涉欧企业除了获得欧洲居民的明确同意以及为自己企业雇佣的欧洲居民进行人事、医保方面必要的处理之外,都不建议对敏感信息进行处理。
再者,对数据进行加密和匿名化处理,审查数据是否获得数据主体的同意及其合作第三方的合同,并考虑数据跨境转移的合法途径。其中,GDPR要求企业对合作第三方进行审计,否则对合作第三方的数据违规可能承担连带责任。
最后,对特定情形下的数据处理指派数据保护官、进行数据保护影响评估,跟进欧盟数据监管当局更新的GDPR具体执行规则,并对员工进行培训。要尽快落实数据合规的基础设施,调整隐私政策、审查数据处理协议、开展数据审计、评估合规差距,并进行持续性的培训、检测与跟踪。
此外,具备条件的企业可以考虑使用欧盟数据监管当局批准的《行为规范》或者申请获得有关遵守GDPR的认证。
随着数字经济的兴起,数据成为了竞争力,如何保持数据隐私属性和价值属性间的平衡,如何在维护个人隐私权和数据利用之间找到一条合理路径,GDPR的生效可谓是恰逢其时,让隐私和数据保护在政治议程上占据了很高的位置。 当然对于企业来讲,首先来的,可能是天价的罚单,这是实打实的“严厉打击”。 据美国科技媒体The Verge报道,欧盟的通用数据保护条例(GDRP)出台第一天,就迎面痛击美国两大科技巨头Facebook、谷歌,控诉它们收集用户私人数据,并欲给Facebook和谷歌分别开出39亿欧元(约合人民币290亿元)和37亿欧元(约合人民币276亿元)的天价罚单。 如何不让这条“紧箍咒”限制企业在欧盟市场上的发展,就需要重视GDPR条例所带来的细节要求,在欧盟市场上开展业务的公司,以积极的心态调整相关的数据战略,相信也会在严苛的条例规定中,锤炼出海外业务的合规能力,未来的欧盟市场,将会有越来越多的限制,趁早提升自身的合规合法能力,才能让业务发展更加稳妥。 |
新闻投稿:news@51hvac.com