2016年4月27日,欧洲议会通过了《一般数据保护条例》(简称“GDPR”)并将在2018年5月25日生效。 非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。
该公司就受到GDPR的管辖。这个条例将对中国企业的数据管理和信息安全,以及数据收集、处理和交易产生重大影响。
首先,消费者在任何时候都有权要求处理或存储过其隐私信息的公司销毁其隐私信息,如果这些隐私信息已经转移给第三方公司,消费者有权在任何时候要求该第三方组织销毁其隐私。如果一个消费者或客户提出上述要求,处理或存储过其隐私的公司则必须完成销毁,否则就会被认定为违反了GDPR的条例。这一条被称为“Right to be forgotten”。
其次,第25条介绍了软件(包括移动应用)开发设计中对数据保护的原则性要求。它强制要求软件在整个开发阶段和运行数据处理阶段必须能够保护个人数据隐私。这一条被称为“Data protection by design”。
第三,第32条规定了数据控制(含移动应用)和处理需要有足够的技术和措施来确保其数据和移动应用的完整性。这些安全措施必须能够应对数据处理面临的风险,例如所传输或存储的个人数据被篡改、丢失、未经授权披露或被恶意攻击。
以上三条法规是对中国企业的信息安全和移动应用安全合规性的最大挑战。如果没有通过,企业面临的罚款标准是,“一般违规行政罚款的上限是1000万欧元或该企业上一财年全球年度营业总额的2%(以较高者为准)”;“严重违规行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%(以较高者为准)”。
GDPR规定了欧盟每一个成员国都必须成立关于GDPR的监管机构(“Supervisory Authority”),负责GDPR在每一个国家的执行。监管机构接受该国关于违法的投诉,有权调查可能的违法情形,并进行相应的处罚。而这一监管机构也有义务和欧盟其他成员国的监管机构沟通,确保在同一件事情上执法尺度尽可能统一。同时,欧盟将设立“一站式”投诉服务,以便于消费者在欧盟范围内跨境投诉。
对于在欧盟境内有分支机构的中国公司,分支机构将被作为责任主体来强制执行法律要求。 如果没有在欧盟境内设有机构,一旦违反GDPR且境外公司高管进入欧盟境内,高管将直接强制执行处罚。首当其冲的行业是银行、电子商务、互联网、IT企业和软硬件生产商。中国企业有三个选择:
(1)停止向欧盟居民提供互联网服务(包括免费的服务);
(2)接到罚单后再去面对;
(3)主动完成欧盟GDPR的合规性要求。
显然,我们不想失去欧盟巨大的市场,我们更不愿意被处罚而使自己的品牌与声誉长期蒙受负面影响,明智的选择是主动出击,积极应对。对此,我们的建议是:
1. 邀请第三方专业的数据安全机构来评估公司的隐私保护合规现状。合规评估可以帮助您了解贵司在GDPR要求方面处于什么位置,帮助您了解您拥有哪些数据资产,以及保护这些资产的控制措施,也可以帮助您对组织内的数据保护成熟度进行评估并分析差距。
2. 提高数据保护的合规水平。合规的数据保护实践应该有:为与GDPR相关的员工提供教育和培训; 对隐私控制和隐私政策进行良好的定义; 定义流程以对数据泄露做出反应; 实施问责机制; 缓解数据泄露造成的伤害和损失; 根据隐私政策使用适当的数据保护工具。
3. 加强数据治理。您需要构建和定制自己的数据保护治理方案,并设计一套程序以不断的提高组织内的数据保护成熟度。这种设计的具体要点包括:定义具体的隐私保护策略和问责政策; 使用合理的指标来比较自己与竞争对手的合规程度;在您的组织内选择和培训特定的数据保护角色; 将隐私策略与业务策略协调一致,共同服务于公司的经营目标。需要特别强调的是,一定要在处置电脑资产前销毁硬盘上的数据,最好请第三方公司操作并出具销毁证明。当消费者请求公司销毁个人的隐私数据时,公司可以展示数据销毁证明来表示合规,有效避免消费者投诉。