欧盟新的数据保护法《一般数据保护条例》(简称GDPR)将于5月25日正式实施。GDPR被称为 “数据保护历史上的一次全新进化”,它为欧盟成员国用户数据的隐私性、安全性及合规性设定了严格条款,并将影响所有欧盟企业及设立和开展欧盟业务的跨国企业,从而给欧盟公民个人数据套上了强大的保护罩。
爱尔兰投资发展局中国区总监张哲伟在接受经济日报记者采访时强调说:“GDPR合规要求很高,企业需要投入大量人力财力,才能确保执行。对于中国企业来说,必须立刻敲响警钟,做好充分准备,加强对数据安全和用户隐私的保护工作。”
张哲伟介绍说,长期以来,企业疏于保护用户数据,尤其近两年滥用用户数据案例持续攀升,严重侵犯公民隐私权。GDPR强制实施后,企业必须在采集用户数据前就获得用户同意,并告知数据用途和去向,用户也有绝对权力要求查看、修改或删除个人信息。
此外,GDPR严格要求企业完善一切需要使用用户数据的信息流程,确保数据的公开和透明。未能履行《条例》的企业将承受最高达2000万欧元或4%全球总营收(两者以较高者为准)的巨额罚款。除了罚款外,用户索赔和信用降级等都会对企业造成极大损失。
GDPR的影响力也不仅限于欧盟国家,其适用范围涵盖了所有欧盟数据的主体。有些企业认为GDPR和本身业务没有太大关系。实则不然,只要涉及欧盟成员国的用户,无论涉及数量多少,都必须严格遵守GDPR条例。
《条例》中对于是否为欧盟境内用户提供服务的判定标准为:“只要该网站或手机APP能够被欧盟境内个人访问和使用,产品或服务使用的语言是英语或特定欧盟成员国语言、产品价格标识为欧元,都可以被理解为该产品、服务的目标用户,包括欧盟境内用户。”
这也是《条例》在全球范围引起极大震动的原因之一,无论传统行业还是电子商务等新兴领域,都很可能属《条例》适用范围,其中银行、电子商务和互联网IT企业尤其需要注意。
在数据安全不断受到威胁的今天,强大的数据保护机制扮演着越来越重要的角色。新《条例》要求中国企业小至隐私政策、业务流程,大到信息技术、战略布局都需要重新审视规划。实施GDPR条例对于每家企业来说都是一场全新的挑战,只有做好充分准备,才能防患于未然。
为此,张哲伟提出了建议,一是企业对自有数据做一个全面检测,了解企业现存哪些欧洲用户数据,有针对性地提供全面数据保护措施。二是 寻求第三方咨询机构,为企业提供专业数据保护等相关服务。三是指定一位员工或聘请外部人员,确保企业数据符合《条例》合规要求。目前有一些企业已成立内部信息保护团队,专门负责与GDPR数据保护官执行用户数据保护。四是制定用户数据泄露的应对机制。欧盟用户有权查看存储在企业数据库的个人信息(通常在提出申请后的一个月内),即使用户已同意数据被企业使用,也可以要求修改或删除,甚至限制其个人数据在未来的使用。五是 准备GDPR 备用资金。为了避免受到更大程度的损失,企业应当准备充足资金,用于GDPR条例监管和员工培训。企业可从外部聘请专业数据人员,或设立内部培训课程,防止因员工疏忽导致用户数据泄露,造成违规行为。
张哲伟说,实际上,在数据保护方面,中国企业可以选择一个欧盟成员国作为主沟通国,通过这个国家与其他成员国的相关监管当局打交道。爱尔兰一直高度重视用户数据的保护和监管,拥有良好信用记录。2016年福布斯调查评级中,82%受访者对爱尔兰数据保护评价为“优秀到卓越”。
目前,已有众多跨国电子商务公司、互联网公司选择以爱尔兰为中心开展面向欧洲及国际市场的业务。Facebook、苹果、谷歌等科技巨头也早在爱尔兰开设欧洲业务数据处理中心,同时通过爱尔兰总部管理欧洲的合规和风控。
爱尔兰在《数据保护法》的制定和实践上也积累了丰富经验。爱尔兰数据保护专员办公室自2013年成立起,一直与欧盟配合实施数据保护法案。为了助力企业积极准备GDPR,爱尔兰数据保护专员办公室去年就采取了一系列举措,包括设立GDPR专门网站以及发布‘GDPR指南’等。同时,爱尔兰政府也给予GDPR高度的支持和重视,并在去年向爱尔兰数据保护专员办公室提供400万欧元的预算,用于增加雇佣专业人员和服务能力,以支持GDPR的实施和企业服务。
此外,爱尔兰的专业服务机构也纷纷采取应对措施,包括设立数据专员、开设GDPR培训小组、提供数据处理流程建议等等,为企业提供全方位的GDPR应对服务。作为始终致力于帮助企业在爱尔兰建立或扩展业务的爱尔兰投资发展局,我们也时刻准备为中国企业管理欧盟数据和开展运营提供相应的帮助。
(见习编辑:于浩)
