中國企業應該如何應對GDPR?
中國企業應該如何應對GDPR?
作為歐盟1995資料保護條例(The European 1995 Data Protection Directive, Dir.95/46/EC)的替代,2018年5月25日生效的《一般資料保護條例》(或《通用資料保護條例》,General Data Protection Regulation,簡稱GDPR)具有更大的威力:對於使用者而言,他們有權訪問、改正、移植和刪除其資料;對於監管者而言,他們第一次擁有了在歐盟範圍內統一行動的權力,並有權對違法企業處以高達2000萬歐元或者全球營收4%(兩者取其大)的鉅額罰款。該法規將影響歐盟內所有獲取、儲存或處理個人資料的企業,包括設立地在歐盟之外但獲取過歐盟公民資料資訊的企業。
對於企業而言,不遵守GDPR規則可能會在無意間面臨聲譽受損、高額罰款甚至是刑事責任,從而在市場競爭處於劣勢地位。
不過在實踐中,企業往往缺乏對於GDPR充分的理解:有些僅把它當作原有資料條例的加強版;另一些則把它看作是企業的負擔,認為很難滿足所有的要求。這兩種觀點都有失偏頗,應該從更長遠的角度去認識和觀察。中國涉及歐洲業務的諸多企業,已經被自動納入到GDPR的管轄範圍,應提前做好預案。這樣,一方面可以有效規避潛在的高額懲罰;另一方面還可以抓住網際網路轉變的機遇,在新產業形成過程中佔據有利地位,尋找新的利潤增長點。
第一,凝聚共識,應對風險
企業首先需要在內部進行動員,貫徹針對GDPR進行改革的必要性和重要性,在思想上凝聚共識。這是因為改革會增加企業成本、降低利潤、甚至需要對企業既定的戰略和計劃做出調整——而利益格局的改變必然會招致不同的聲音。為了將風險最小化,企業在前期規劃時一定要做好評估:清點所有的應用程式,明確企業內部資料的來源、儲存和處理方式,指派人員承擔相關職責,預測可能會帶來的危害並提前制訂應對方案。值得一提的是,員工個人的移動辦公裝置也存在資料洩露風險,因為這些裝置接觸到了公司的資料,可能會被備份,所以也應該納入定期排查的範圍。更重要的是,企業要善於在“危”中尋“機”,明確如何利用新規則挖掘商機。例如良好的資料保護會帶來口碑和聲譽、吸引潛在使用者;公司資料利用能力的提升也為未來新業務的發展構築了基礎。
第二,在企業內部構建資料處理機制
一個完善的資料處理機制包括從資料訪問、儲存、修正、乃至刪除的整個過程,它擁有可以按照外部使用者或監管機構的要求進行提取展示的能力;在特性上,應該兼顧全面性和專業性。GDPR影響了企業的整個運作流程,客觀上要求企業在內部建立一個跨部門的組織,應該包括法律、財務、技術、市場等所有涉及使用者個人資訊的部門。比如,企業的法律部門首先需要釐清GDPR賦予企業的責任和權利,因為GDPR更多的是側重於原則上的闡述而非具體的規則,給實施預留了一定的操作空間——而這就需要法律上的諮詢建議,以確保企業行為在法規許可權內落地實施。此外,財務部門提供資源支撐,技術部門保證實際運作,市場部門則將資料保護作為一項營銷策略,用以增強使用者好感、提升企業知名度。值得一提的是,企業需要保持與外界的良好溝通,讓使用者、監管者乃至社會公眾瞭解你為資料保護所做出的努力,構造出一個數據守護者的形象,這無疑會有利於企業的長遠發展。
第三,設定資料保護官(DPO)等職位
GDPR第4章第4節明確規定,企業內應指派資料保護人員承擔資料保護合規相關職責。在企業內部,要通過組織架構的調整賦予DPO足夠許可權,確保其可以同其他高管進行順利溝通,並能爭取到足夠的資源。在企業外部,GDPR的規則會在不斷的實踐中逐漸成熟和完善,形成公認的知識經驗,因此DPO需要同外界的同行、監管機構、司法系統等保持暢通的交流,以調整和優化企業的資料保護機制。DPO可以是企業內其他管理人員的兼職,如2018年5月東方航空任命總法律顧問郭俊秀為DPO;內部缺乏資料合規相關人才的企業也可以外部聘用DPO,因為GDPR允許一名DPO同時為多個企業工作。
第四,建立完善的資料庫
資料庫不僅僅是目錄清單,用以追蹤使用者的資料流記錄;它還涵蓋了與資料相關的所有資訊,包括資料來源、處理方式、法律依據、以及資料分享等。以此為基礎,企業可以建立完整的資料庫,它會是未來新興業務發展的重要基礎資產。資料庫的構建要求企業擁有一定的資訊科技的能力,可以操作海量資料,保證資料安全,並有能力在規定時間內(72小時)向監管者提取需要的資訊。
個案分析:Facebook應對GDPR的措施
Facebook因“洩密門”事件遭遇了自公司成立以來最大的“滑鐵盧”,扎克伯格在歐盟委員會上的聽證也在客觀上樹立了GDPR的權威性。Facebook被質疑強行索取個人資訊,使用者不得不在登出賬戶和“同意”之間二選一。在面對英國《衛報》的採訪時,Facebook首席隱私官Erin Egan說:“為了滿足GDPR的要求,我們提前做了18個月的充分準備。我們讓政策更加清晰,隱私設定更為便利,還可以讓使用者方便的訪問、下載和刪除他們的資訊。在5月25日GDPR正式生效之後,我們還會繼續完善使用者隱私權。比如建立‘清晰歷史’(Clear History),它可以讓使用者查詢到曾經提交過的網站和應用資訊、清除這些資訊、或者拒絕Facebook繼續儲存個人資訊。”
在登入Facebook時,使用者需要在介面跳出的公告中重新選擇資料使用許可權。為打消公眾疑慮,公告第一句便是:“我們重視對你隱私的保護,不會出售你的資料”,並闡明“會通過廣告主,應用開發者和發行商提供的資料,瞭解你在Facebook旗下產品站外的活動,據此為你展示更好的廣告”。這些從合作伙伴那裡獲取的資料包括“Facebook業務工具的網站和應用上的活動,例如線上購物或下載應用”以及“與合作伙伴的線下活動,例如在自行車店購買安全帽”。
為體現GDPR的“限制處理權”和“拒絕權”,Facebook闡明“你可以控制是否允許我們使用這些資料向你展示更好的廣告”。例如,Facebook在獲取使用者使用資料的允諾之後(點選“接受並繼續”)會向具備特定特徵的使用者展示廣告;如果使用者不願意分享資料,則可以在“資料設定”裡面進行設定。但是,公告中特別宣告,即便使用者不願意分享資料來推送廣告,Facebook仍會在法律框架內有限度的使用使用者資料。
為了讓使用者直接控制自己的資料,Facebook將使用者登入過的應用和網站資訊放在設定頁面下的“應用和網站”板塊,使用者可以方便地進行清除。“應用和網站”板塊包含“使用中”“已過期”和“已移除”等三個部分。在“使用中”,使用者可以檢視並更新對方可獲取的資訊,並清除不再需要的應用和網站;“已過期”的應用和網站無法再訪問使用者的私人資訊,但使用者可以更新訪問許可權、編輯資訊或者直接清除;“已移除”的應用和網站仍可以訪問使用者之前分享的資訊,但無法獲取更多私人資訊。對於“使用中”和“已過期”的應用和網站,使用者可以通過簡單的點選進行清除,並通過“檢視和編輯”按鈕設定資訊、應用可見度以及能否向用戶傳送通知等功能。“已移除”的應用和網站只能通過“檢視詳情”瞭解移除日期、使用者編號以及資料訪問許可權等資訊。有趣的是,Facebook以防止陌生人訪問使用者的照片和視訊為由,在公告中順便推銷了自己的人臉識別技術。如果選擇開啟人臉識別設定,Facebook會“把它與其他照片和視訊的分析進行對比,從而辨別這些照片或視訊中是否有你”。
此外,Facebook在頁面下方新設了“廣告選項”和“隱私權政策”。在“廣告選項”裡,Facebook提供了多種控制向用戶推送廣告的方式,如選擇退訂所有相關公司的廣告,並提供瞭如何在瀏覽器和裝置中退訂廣告的方法。“隱私權政策”展現了Facebook收集的使用者資訊的型別,包括使用者和他人執行的操作及提供的資訊、裝置資訊以及來自合作伙伴(廣告主、應用開發者以及發行商)的資訊。在收集資訊後,Facebook會提供、定製並優化產品,提供成效衡量、分析和其他商業服務,加強使用者安全、資料安全和產品信譽,為社會公益目的進行研究和創新。不過,使用者有權拒絕將資料用於企業利益或公益的目的。
針對GDPR的“刪除權(被遺忘權)”,Facebook規定會對使用者資料進行儲存,但在不需要該資料或者賬戶登出時才能刪除。例如,使用者可在搜尋後刪除歷史記錄,但該搜尋的日誌要在六個月後才能真正清除;使用者提交的用於賬戶驗證的身份證件副本,要在30天后才能清除。此外,為迴應GDPR的要求,Facebook還提供了負責使用者資訊的資料管控方Facebook Ireland的具體聯絡地址,並宣告使用者有權向其及主要監管者“愛爾蘭資料保護專員”或當地監管者提起投訴。
在英國《衛報》的報道中,美國數字民主研究中心的創始人Jeffrey Chester將GDPR的實施稱為“不可思議的突破”,因為它改變了網際網路巨頭與使用者之間的權力平衡。對於企業而言,不遵守GDPR規則可能會在無意間面臨聲譽受損、高額罰款甚至是刑事責任,從而在市場競爭處於劣勢地位;而因應時勢,藉由資料保護新規則開闢新的商業機會和利潤空間的企業,則可以創造出更高的價值,轉危為機,實現企業的新發展。