首页 > 信息安全 > 正文

国际关系学院王孔祥:GDPR对互联网企业的影响

2018-08-16 10:35:23  来源:中国信息安全

摘要:欧盟《通用数据保护条例》(GDPR)的生效表明,欧盟正在改变其数据隐私规则。在21世纪已经过去的大部分时间,人们往往习惯了以“免费”换取服务:授予公司许可存储、处理和利用其个人数据和信息。
关键词: GDPR
  客观解读欧盟条例  审慎应对合规风险
 
  2018年5月生效的欧盟《通用数据保护条例》(GDPR),其影响远远超越了地理疆域进而辐照数据流通的全球网络空间。原本是在欧盟网信行业总体发展和政策导向背景下出台的条例,却“一反常态”地使保护欧盟公民个人数据的“域内效力”上升为“全球标准”。从立法理念的根本出发,理解该条例的精髓,客观地比较与其相关的法律法规,才能在“合规”成本最小化的当下,探索具有中国特色且更能适合中国国情的应对策略和措施。
 
  欧盟《通用数据保护条例》(GDPR)的生效表明,欧盟正在改变其数据隐私规则。在21世纪已经过去的大部分时间,人们往往习惯了以“免费”换取服务:授予公司许可存储、处理和利用其个人数据和信息。但是,近年来曝光的一些案例、关于巨大数据安全漏洞的丑闻以及公司如何使用和销售其收集的信息,已经引起人们对个人数据如何被用来构建自身无法控制的详细个人档案的担忧。
 
  一、条例对互联网企业的影响显而易见
 
  今年4月10日,脸书(Facebook)公司首席执行官马克·扎克伯格在美国参议院司法委员会和商业委员会的联合听证会上作证时表示,在用户同意放弃数据之前,他“原则上”支持为用户提供类似于GDPR的选择标准,并认为“总的来说,GDPR对互联网来说将是非常积极的一步”。在4月22日出席欧洲议会听证会时,扎克伯格承诺,一定会遵守这一新法规。
 
  对于国际化公司,遵守当地政策和法规是基本前提。毕竟,国际化战略布局绕不开当地监管。同样,互联网公司也会遵守适用于其相关业务的GDPR规则。因此,欧盟新规对于互联网巨头们,威慑力不可谓不严。
 
  许多大型在线服务和社交媒体公司都在更新他们的隐私政策和服务条款,为新立法做准备。其中包括2007年围绕脸书公司备受争议的Beacon广告计划,该项目在合作伙伴网站上播出用户活动。美国科技巨头正在按照新规定倾注资源,为应对GDPR的影响,微软公司聘用了超过1600名工程师。此外,像医疗保健提供商、保险公司、银行和任何其他处理敏感个人数据的公司都将面临困境。有些小型美国公司正在退出欧盟,以避免受到GDPR的冲击。美国科技初创企业担心,合规成本可能超过在欧盟地区获得的收益。如果小公司退出市场,像谷歌和脸书这样的公司就可以从GDPR中受益。
 
  GDPR是一部重整全球数据秩序的法令,欧盟以外的公司也将从多个层面受到影响。从过去两年的过渡期运行来看,欧盟内企业关于GDPR合规的意识普遍较强,甚至有不少企业已经为GDPR合规付出了较大的财务、管理成本,削减了营业收入和营销手段。由于GDPR规定企业间数据交流的方式,一旦出现不合规的现象,数据供应链上下各方都会被问责。为避免风险,欧盟企业日后在选择境外合作伙伴时,会将数据保护作为重要考量标准。当前,欧盟委员会甚至已经开始讨论,未来不排除限制欧盟与数据保护不过关的国家签订贸易协议的可能。
 
  二、GDPR给中国公司国际化带来严峻考验
 
  GDPR涉及与互联网相关的社交、电商、云计算等新兴领域,将对中国公司的国际化带来严峻考验。GDPR改变了互联网公司使用用户个人信息的方式。适用GDPR的中国企业主要有两种情形:第一,在欧盟境内设有机构的中国企业,如其通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理是否发生在欧盟境内,都应适用GDPR;第二,尚未在欧盟境内设有机构的中国企业,如其向欧盟境内的个人提供商品或服务的过程中(无论是否收费),涉及对个人数据的处理,也应适用于GDPR。
 
  相比西方巨头们的未雨绸缪,似乎国内不少公司对此反应并不明显。现有中国互联网公司在欧盟以外地区的做法基本难以符合GDPR规范。基于个人信息收集和隐私驱动的互联网企业,可能首当其冲。《21世纪经济报道》记者陶力认为:“国内互联网行业对GDPR的重视程度严重不足,或者说是严重低估和错判了它带来的影响。毕竟,在过去很多公司是以大规模搜集和运用网民个人数据为基础,从而建立起来的商业模式。”
 
  2018年5月25日当天,包括微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通(AliExpress)等多家中国互联网巨头,已纷纷向欧洲区用户更新隐私政策、请求重新授权。据了解,海尔、华为等在欧洲有较大市场份额并有意进军物联网的制造业领军者,也早已雇请专门团队应对GDPR。业界普遍认为,GDPR既对行业提出了更高要求和挑战,也使企业间的竞争有法可依,在一定程度上使行业更加规范。可谓,机遇与挑战并存。
 
  腾讯的反应最为迅速。2018年4月13日,腾讯QQ就向其国际版用户发布通知,QQ将在5月20日起停止向欧洲区用户提供服务。尽管腾讯随即声明会继续保留该服务,但是可以看出,慑于强大的惩罚力度,不少中国企业已经对GDPR有所行动。随后,腾讯官方表示,更新到5.0及以上版本的QQ国际版可继续使用,旧版本则在5月20日停止使用。QQ国际版官网,最新版本是5.0.1。其中隐私政策的更新于2018年5月23日,详细说明所搜集的信息类型、存储和使用方法、信息共享对象、数据处理地点、信息保留时长等内容。显然,这是为符合GDPR的要求做出的修改。
 
  此外,微信也在5月更新了其国际版的隐私条款,条款详细说明了信息的使用规则、存储地点、适用法规等。值得注意的是,微信国际版的隐私政策中对信息的保留时间也有明示:未登录账号时间达到180天后,账号信息会被删除;聊天记录会被存储72小时,随后永久删除。但是,这些改变在国内的微信版本中并没有体现。
 
  早在2016年,阿里巴巴集团董事局主席马云提出,未来海外市场要占到阿里收入的一半。截至目前,阿里云在全球已覆盖18个地区,完成42个可用域。阿里云相关业务人士已从平台、系统、产品、服务、合规、流程、政策等全方面进行改进。按照GDPR的要求,持续进行数据保护与相关服务的整改,相关工作已经准备就绪。
 
  此外,蚂蚁金服一直非常重视数据安全和个人信息保护。2017年,蚂蚁金服率先成立了专门的隐私保护办公室,进一步加强对数据隐私管理体系、规范和能力。为确保有效地落实隐私保护各项要求,华为公司的“全球网络安全与用户隐私保护委员会”保护官,直接向CEO汇报。华为所有业务单元均设置有专职的隐私相关的角色/组织。同时,根据GDPR的要求,华为还任命了欧盟数据保护官。小米表示,整个行业都需要全力提升数据安全和隐私保护的意识,加大设计和研发投入,以加速符合GDPR的要求。
 
  三、中国企业的应对策略建议
 
  GDPR将对人们的网络足迹、使用的APP和服务,以及如何保护或利用这些数据,产生重大影响。正因为如此,GDPR本质上是为数据保护设置了一个新的全球标准。欧洲的监管正在改变大公司对待用户数据的方式。例如,在美国个人信用评估机构易速传真(Equifax)的数据泄露事件中,数百万人的个人信息暴露无遗。该公司花费数周时间阻止攻击,然后,在通知公众之前,制定好如何处理损失的计划。
 
  中国企业对GDPR的态度“分化比较明显”。一方面,有很早就开始为GDPR做准备的企业,主要是一些大型互联网或物联网公司。他们既有动力要保住欧洲市场,又有财力可以负担合规成本。另一方面,也有大量企业并未认真对待GDPR。其中有一类企业面临的风险最大,即在某个细分市场已经做到了领头羊、拥有涉欧业务、但尚未进行GDPR合规的中国企业。这类企业有一定的关注度和财力,在欧盟通常会有本地的竞争对手,而对手很有可能在过去两年已经投入了GDPR合规成本,甚至就此调整了业务、减少了广告活动。此时,尚未进行合规的中国企业将很容易成为“枪靶子”。因为作为竞争对手的欧盟企业将有很强的动机向所在国监管机关投诉、举报;而成员国政府出于保护本国企业的目的,也会有很强的动机进行调查。中国企业将因此面临巨大的GDPR处罚风险。
 
  应对GDPR,企业越早做准备越好。虽然短期内会增加一定成本,但是可帮助企业避免风险,且对长期的声誉也有好处。以下建议可供中国相关互联网企业应对GDPR的参考:
 
  首先,企业应先对GDPR有大致了解,进行初步评估,判断该企业是否适用GDPR。在情况复杂、无法判断的情况下,企业可以聘请外部机构做进一步调查确认。一旦确认适用GDPR,应开展相应的GDPR专项合规工作。由于GDPR涉及业务、信息技术(IT)、法务等多个部门的协同,在人力方面,应考虑设置内部数据保护方面的负责人,或是聘请外部合规顾问。
 
  其次,对于一些还不能达到合规要求的产品,建议相关公司选择关闭其欧洲业务。比如大热门的《绝地求生》游戏就在4月份关闭了欧洲服务器。小米生态链企业、智能灯具品牌Yeelight则通知称,由于无法满足欧盟最新出台的GDPR要求,将不再向欧洲用户提供服务。
 
  第三,要尽快落实数据合规的基础设施,调整隐私政策、审查数据处理协议、开展数据审计、评估合规差距,并进行持续性的培训、检测与跟踪。
 
  第四,在具体细节方面,尽管这部法律未作强制性的要求,但是结合GDPR立法的本意是将用户同意视为数据处理最重要的条件,建议采用隐私政策单独弹框同意,作为风险相对较小的做法。
 
  但是,GDPR的总体思路就是制定更有效的内部治理,以及更强的外部威慑。实际上,它在个人信息使用目的限制、数据留存期限等方面“留了口子”,尽量为大数据开发利用开辟可能的路径;同时也更加强调责任原则、透明原则的地位和作用,调动信息控制者参与数据治理的积极性。GDPR只是提高了门槛,法律对全世界的公司来说都是公平的,企业可以通过改变自己去适应监管。未来,基于大数据和隐私保护的相关产业,也会更加受到重视。毕竟,规则制定者的目的,是为了引导行业更好发展,而不是为了扼杀它们。
 
  在全球化趋势下,一部分中国企业对此反思,也未尝不是一次完善自己的机会。在大平台的带动下,国内互联网公司对于数据隐私的保护也会上一个台阶。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。