2016年4月27日,歐洲議會通過了《一般數據保護條例》(簡稱“GDPR”)并將在2018年5月25日生效。 非歐盟成員國的公司(包括免費服務)只要滿足下列兩個條件之一:
(1)為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息。
(2)為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息。
該公司就受到GDPR的管轄。這個條例將對中國企業的數據管理和信息,以及數據收集、處理和交易產生重大影響。
首先,消費者在任何時候都有權要求處理或存儲過其隱私信息的公司銷毀其隱私信息,如果這些隱私信息已經轉移給第三方公司,消費者有權在任何時候要求該第三方組織銷毀其隱私。如果一個消費者或客戶提出上述要求,處理或存儲過其隱私的公司則須完成銷毀,否則就會被認定為違反了GDPR的條例。這一條被稱為“Right to be forgotten”。
其次,第25條介紹了軟件(包括移動應用)開發設計中對數據保護的原則性要求。它強制要求軟件在整個開發階段和運行數據處理階段須能夠保護個人數據隱私。這一條被稱為“Data protection by design”。
第三,第32條規定了數據控制(含移動應用)和處理需要有足夠的技術和措施來確保其數據和移動應用的完整性。這些措施須能夠應對數據處理面臨的風險,例如所傳輸或存儲的個人數據被篡改、丟失、未經授權披露或被惡意攻擊。
以上三條法規是對中國企業的信息和移動應用合規性的大挑戰。如果沒有通過,企業面臨的罰款標準是,“一般違規行政罰款的上限是1000萬歐元或該企業上一財年全球年度營業總額的2%(以較高者為準)”;“嚴重違規行政罰款的上限是2000萬歐元或該企業上一財年全球年度營業總額的4%(以較高者為準)”。
GDPR規定了歐盟每一個成員國都須成立關于GDPR的監管機構(“Supervisory Authority”),負責GDPR在每一個國家的執行。監管機構接受該國關于違法的投訴,有權調查可能的違法情形,并進行相應的處罰。而這一監管機構也有義務和歐盟其他成員國的監管機構溝通,確保在同一件事情上執法尺度盡可能統一。同時,歐盟將設立“一站式”投訴服務,以便于消費者在歐盟范圍內跨境投訴。
對于在歐盟境內有分支機構的中國公司,分支機構將被作為責任主體來強制執行法律要求。 如果沒有在歐盟境內設構,一旦違反GDPR且境外公司高管進入歐盟境內,高管將直接強制執行處罰。首當其沖的行業是銀行、電子商務、互聯網、IT企業和軟硬件生產商。中國企業有三個選擇:
(1)停止向歐盟居民提供互聯網服務(包括免費的服務);
(2)接到罰單后再去面對;
(3)主動完成歐盟GDPR的合規性要求。
顯然,我們不想失去歐盟巨大的市場,我們更不愿意被處罰而使自己的品牌與聲譽長期蒙受負面影響,明智的選擇是主動出擊,積極應對。對此,我們的建議是:
1. 邀請第三方專業的數據安全機構來評估公司的隱私保護合規現狀。合規評估可以幫助您了解貴司在GDPR要求方面處于什么位置,幫助您了解您擁有哪些數據資產,以及保護這些資產的控制措施,也可以幫助您對組織內的數據保護成熟度進行評估并分析差距。
2. 提高數據保護的合規水平。合規的數據保護實踐應該有:為與GDPR相關的員工提供教育和培訓; 對隱私控制和隱私政策進行良好的定義; 定義流程以對數據泄露做出反應; 實施問責機制; 緩解數據泄露造成的傷害和損失; 根據隱私政策使用適當的數據保護工具。
3. 加強數據治理。您需要構建和定制自己的數據保護治理方案,并設計一套程序以不斷的提高組織內的數據保護成熟度。這種設計的具體要點包括:定義具體的隱私保護策略和問責政策; 使用合理的指標來比較自己與競爭對手的合規程度;在您的組織內選擇和培訓特定的數據保護角色; 將隱私策略與業務策略協調一致,共同服務于公司的經營目標。需要特別強調的是,一定要在處置電腦資產前銷毀硬盤上的數據,最好請第三方公司操作并出具銷毀證明。當消費者請求公司銷毀個人的隱私數據時,公司可以展示數據銷毀證明來表示合規,有效避免消費者投訴。
