如果你的公司打印的宣传彩页出现剩余,堆在仓库里面,时间久了你会怎么处理呢?如果你的公司存放着10年前的客户采购订单,你会怎么处理呢?
大部分中国公司的做法是当废纸卖掉。一方面,卖掉废纸可以有收入,同时把仓库空间释放出来,为新物料腾开了地方;另一方面,纵然纸文件上有大量隐私信息,可谁会去过问这些事情呢?谁又会去关心这些信息的去处呢? 在中国,大家已经习惯于被电话骚扰,被垃圾短信骚扰,多一条骚扰信息天不会塌下来。其实,这就是中国隐私保护和信息安全的现状。居民不重视,更不愿投入精力维护自己的权益;企业不重视,因为一旦重视就要花钱做销毁、花钱做防护,而不重视不销毁也不会被惩罚。监管部门的隐私保护立法还没有到位,法律空白下的隐私保护显得非常苍白无力。
然而,在世界舞台上,隐私保护的立法工作取得了重大进展。欧盟出台了"通用数据保护条例",简称GDPR,从2018年5月25日起实施,号称史上最严的隐私数据保护条例;美国加州率先响应,出台了类似GDPR的条例,为其他州的隐私保护立法垂范;日本、巴西、印度也声明要修正已有法律,在隐私保护上有所作为。
GDPR里面有一条,叫用户拥有被遗忘权,原文是Right To Be Forgotten。简单地说,"Right To Be Forgotten"就是指,公民有权利在任何时候要求一家公司删除关于自己的隐私信息;如果这些隐私信息已被转移到第三方公司,公民亦有权利在任何时候要求该第三方公司删除涉及到自己的隐私信息。如果公民根据被遗忘权提出了删除隐私信息的请求,公司将面临三种结果:
1. 公司没有响应客户的要求,没有销毁其数据;
2. 或者不能提供有力的证据来证明自己已经销毁了该客户的数据;
3. 公司及时给客户提供了销毁证明。
在前两种情况下,客户(公民)有权向欧盟GDPR管理当局投诉,该公司将会被认定为违反了GDPR条例而受到惩罚,罚款额度为违规公司全球营业额的4%。由于像GDPR这样的隐私保护立法产生的威慑力和约束力,欧美公司对于隐私保护的力度向来要高于亚洲公司。
立法可以保护隐私信息,帮助在全社会形成重视隐私保护的氛围,这是底线思维。再上一个层次,公司在品牌保护上的诉求会驱动他们对自己的信息安全提出更高的要求。此时,并没有法律约束,自我约束产生了更强大的力量,这一点效应在大公司和大品牌身上尤为明显。大品牌的树立需要几十年甚至上百年的时间积累,信息安全上的一个小小事故有可能让百年声望坠入深渊。最近,我们有幸目睹了一家这样的大品牌公司如何保护自己的信息安全。经过层层筛选,该公司选定了一家供应商为其提供物料销毁服务。
下面是该公司要销毁的物料。其中,第一张图是灯箱,德国进口,每个成本约700元,总计约400个。
这批物料总计70多个立方,价值300多万元。销毁公司来了8个人,三辆大卡车,用了近3个小时把物料搬运上车。
到达销毁工厂的时候,已经是晚上8点半。北京城华灯初上,人们体验着安乐祥和的日子,他们哪里知道,为保护大家的隐私数据和信息安全,在京郊的一个厂子里,还有一个销毁团队正在加班加点地工作。工厂里面杜绝拍照,所以我们没有拍下销毁过程的照片,但是整个过程是让人放心的。若是每个公司都能做到不用你监管,我会主动销毁隐私数据,间接的会大幅减少骚扰电话和短信的数量,也会降低电信诈骗的发生率。
假如没有电信诈骗,假如没有骚扰电话和垃圾短信,假如没有隐私信息被滥用,这个世界会更加让人喜欢。这样的美好生活离我们还有多远?