GDPR其实没那么可怕,资深专家为企业支招 | 思客问答

发表于  06/11 06:30   约10分钟

思客问答banner029

   文 | 周佳苗 雷曼誉

 

  GDPR生效两周多以来,中国企业反应各不相同。

  一方面,腾讯QQ国际版、新浪微博国际版反应迅速,纷纷在第一时间更新了其国际版隐私政策。

 

QQ国际版隐私政策截图

QQ国际版隐私政策截图

 

  而一些中国企业仍然采取观望政策,对于欧盟执法机构是否有足够人手,对中企在欧盟使用数据的情况进行执法,这些企业持怀疑态度。

  针对GDPR对中国企业的影响,思客君专访了四川大学网络空间安全研究院特聘副研究员洪延青博士和环球律师事务所资深律师张毅。在与两位专业人士的对话中,思客君了解到:仅有一个版本的隐私政策远远不够,特别是对于那些在欧洲和美国同时开展业务的企业而言,切忌将同一个版本的隐私政策不加修改使用。

  此外,一些中国企业的观望态度也不可取。一旦被判定是“具有典型意义”的案例,中国企业被欧洲监管机构“抓典型”的风险仍然很高。

 

 

微信图片_20180602105055

一些中国企业认为,GDPR刚刚生效,在监管重点上可能暂时“管不到”,您怎么看这种观点?

 

洪延青

  欧洲监管机构是否“管得到”?这个问题的关键在是否接到投诉。因为在人手不足的情况下,监管机构不可能事无巨细什么都管。因此,欧洲监管机构会更加关注案件是否具有典型意义、相关处罚是否会带来积极效果。

  在我看来,不排除有一些欧洲监管机构在接到欧洲公民投诉后,例如接到关于中国某电商平台的投诉,认定其可能对欧洲境内公民的个人数据不当处理或滥用。如果欧洲监管机构认为“是时候出手了”,该中企很可能被“抓典型”,传说中的天价罚款也是分分钟的事。

  

 脸书成为第一批因GDPR不合规而遭到官方投诉的目标 图片来源:东方IC

脸书成为第一批因GDPR不合规而遭到官方投诉的目标 图片来源:东方IC

  

  在GDPR生效的第一天,因为欧洲消费权益组织的一纸投诉,谷歌和脸书等美国互联网巨头,成为第一批因GDPR不合规而遭到官方投诉的目标。由此可见,“抓典型”还是很有可能发生的。

 

张毅专家谈

  GDPR才生效十几天,我们暂时还没有看到欧盟监管机构依据GDPR对违规企业进行执法的新闻报道。

  尽管如此,在2018年3月底,在由国际隐私专业人士协会(IAPP)举行的全球隐私峰会上,爱尔兰执法官员Helen Dixon曾表示GDPR生效后,欧洲监管机构主要有两大执法重点:

  第一是应对式执法,即应对投诉。这些投诉可能因数据控制者对数据主体个人权利进行限制或剥夺而导致。第二个执法重点是主动式执法。

  简单来说,如果欧盟监管机构接到个人投诉一般都会接着展开调查。欧洲一些民间组织也会对企业的个人数据进行监控一旦发现漏洞就去投诉,相关监管机构紧接着会来调查,媒体也有可能因此跟进报道。上述情况都有可能给中企声誉带来负面影响。

如果欧盟监管机构接到个人投诉,一般都会接着展开调查

如果欧盟监管机构接到个人投诉,一般都会接着展开调查

 

  一旦中企因数据保护问题损害声誉,特别是那些需大量使用个人数据的企业无论到欧盟哪个国家做生意,只要需要跟监管机构谈市场准入,这个问题都不可避免地会被问及。

  第二,如果数据控制者对数据主体个人的法定权利进行限制和剥夺,这种违反GDPR的行为很容易引来监管机构的调查和执法。

  例如,在欧洲的用户给使用其个人数据的企业写一封邮件,要求该企业删除自己的相关资料。但发出这封邮件后,该用户仍然能收到该企业推送的宣传信息。这种情况也是监管机关调查执法的重点。

  因此,中企不要认为GDPR“管不到”自己,它很有可能增大开拓新市场的难度,也有可能损害企业声誉、令企业失去用户信任。

 

微信图片_20180602105055

GDPR可能给中企带来哪些影响?

 

张毅专家谈

  综合来看,GDPR可能对中企的“钱袋子”产生影响。

  去欧洲做生意的中国企业,很多时候都是以供应商的身份出现。简单来说就是向欧洲企业卖东西或进行业务合作。

  GDPR生效后,欧洲企业在采购货物时,很可能会询问供应商的产品是否符合GDPR要求,服务是否符合GDPR要求。如果供应商在这些采购问卷上回答“不符合”,那这些生意很有可能因此“告吹”。这对中企的影响是最直接的。

  此外,数据泄露也可能影响中企的“钱袋子”。

 

数据泄露也可能影响中企的“钱袋子”

数据泄露也可能影响中企的“钱袋子”

  在欧洲,一旦发生数据泄露,企业需要向相关监管机构报告并汇报数据泄露的严重程度。但如果该企业是个“糊涂脑袋”,根本搞不清自己平日里的数据使用情况,在汇报时当然也说不清数据泄露的前因后果。在这种情况下,欧洲监管机关可能就此认定该企业“没有尽到个人数据保护义务”,随之而来处罚也是分分钟的事了。

 

微信图片_20180602105055

依靠同一版本的隐私政策能帮中国企业安全过关?

 

洪延青

  更新隐私政策是一件好事。除了文本上的更新,更重要的是企业实际的行为也根据文本做出相应的调整。数据到了企业之后,其使用情况是不是真的像隐私政策文本里说的那个样子?

  文本上的改动很简单,但真正工作流程上的改动是要花大力气的。这涉及到内部改造、整个系统流程的重构,这些是更核心的东西。

  根据GDPR的要求,在监管机构调查询问的时候,企业要能提供其遵守隐私政策的证据,“必须具备向对外展示企业已经合规、承担起责任的一个能力”。

 

张毅专家谈

  对于那些在欧洲和美国同时开展业务的中国企业而言,制定隐私政策一定要依据自身数据处理情况并符合当地法律要求切忌将一个版本的隐私政策不加修改使用。

  如果中国企业将一个用于GDPR的隐私政策,不加修改地用于其美国业务。一旦其在美国的数据使用情况与该隐私政策条款出现“言行不一”的情况,这可能会引来美国数据监管机构的调查和执法。

 

微信图片_20180602105055

GDPR重锤之下,中国企业该如何应对?

张毅专家谈

  首先,中国企业应该先理清企业内部数据使用情况,理顺之后再做一些后续的合规事项,例如制定符合跨境传输要求的隐私政策等。

  在理顺数据使用情况时,如果数据使用情况与企业主营业务没有必要联系,企业应对此予以高度警觉,仔细排查是否存在数据过度采集的情况,因为数据过度采集是不符合GDPR规定的。

  第二,设立数据保护合规官。

  按照GDPR的规定,有些数据处理情形要求该企业必须指派数据合规官。虽然GDPR并没有规定每一个企业都要设立数据合规官,但设立这一职位代表了企业对落实个人数据保护的重视。

  设立数据保护合规官后,企业就必然要给这个职位规定职责、配备相应资源、划拨人员和预算等。这种内部的职责分配和资源安排对GDPR合规非常重要。

  在开展工作时,数据合规官也会对员工进行培训,将个人数据保护落实到每一个业务流程中,这也是GDPR合规一个重要环节。

 

中国企业应该先理顺内部数据使用情况,理顺之后再做一些后续合规事项

中国企业应该先理顺内部数据使用情况,理顺之后再做一些后续合规事项

  第三,针对企业进行培训,理性看待GDPR及其相关规定。

  很多中企对GDPR的直观判断就是罚款高、执法严,或者认为GDPR太难合规了,企业达不到要求肯定会遭遇天价罚款。其实,适用GDPR只是意味着数据使用以及保护规则要按GDPR的规定来做,不代表适用了GDPR中国企业就一定是违反这个法律规定的。

  很多国家的数据保护法都有关于个人数据使用和保护的规则。因此可以通过与国内法对比的角度来理解GDPR,将GDPR要求“更高”的部分看做是现有流程的一种“增强提高版”。如果认识了GDPR的数据保护规则以及其具体在业务流程中的体现,GDPR合规也并非“不可能完成的任务”,中国企业也没必要过分的担忧。

  第四,应对下游供应商进行管理,选择能够采取相应手段保护个人数据的供应商。

  很多企业虽然有时候把自己内部的事情处理好了,但因为下游供应商没有严格把控和选择,在下游供应商出现数据保护违规或数据泄露时,企业也需要承担一定的责任。因此,企业应强化对下游供应商的筛选和监管。

 

十问十答-更懂一点

QQ图片20180605130758

更懂一点1

版权声明:本文为新华网思客独家稿件,转载须注明来源为新华网思客。授权合作请联系sike@news.cn。

2018-04-2635-1

(文章为作者独立观点,不代表新华网立场)

10 位网友推荐了本文

8133 次阅读    1 次回应

专家

思客问答

用好奇心探索世界 /  84 篇文章

+ 订阅

所属数据库

热点

最新鲜,最热辣的时事评论。无惧冲突辛辣,只忧平庸逐流。

+ 订阅

回应

登录评论

您还能输入 300 字

发送

思客

GDPR其实没那么可怕,资深专家为企业支招 | 思客问答

您可以添加如下代码,然后复制粘贴到你要引用的网站下

预览

GDPR其实没那么可怕,资深专家为企业支招 | 思客问答

中企不要认为GDPR“管不到”自己,它很有可能增大企业开拓新市场的难度,也有可能损害企业声誉、令企业失去用户信任。

010020040520000000000000011103170219533620

我的书签

扫码关注思客

意见反馈