2016年4月27日,歐洲議會通過了《一般數(shù)據(jù)保護條例》(簡稱“GDPR”)并將在2018年5月25日生效。
非歐盟成員國的公司(包括免費服務)只要滿足下列兩個條件之一:
(1)為了向歐盟境內(nèi)可識別的自然人提供商品和服務而收集、處理他們的信息。
(2)為了監(jiān)控歐盟境內(nèi)可識別的自然人的活動而收集、處理他們的信息。
該公司就受到GDPR的管轄。這個條例將對中國企業(yè)的數(shù)據(jù)管理和信息安全,以及數(shù)據(jù)收集、處理和交易產(chǎn)生重大影響。
首先,消費者在任何時候都有權要求處理或存儲過其隱私信息的公司銷毀其隱私信息,如果這些隱私信息已經(jīng)轉移給第三方公司,消費者有權在任何時候要求該第三方組織銷毀其隱私。如果一個消費者或客戶提出上述要求,處理或存儲過其隱私的公司則必須完成銷毀,否則就會被認定為違反了GDPR的條例。這一條被稱為“Right to be forgotten”。
其次,第25條介紹了軟件(包括移動應用)開發(fā)設計中對數(shù)據(jù)保護的原則性要求。它強制要求軟件在整個開發(fā)階段和運行數(shù)據(jù)處理階段必須能夠保護個人數(shù)據(jù)隱私。這一條被稱為“Data protection by design”。
第三,第32條規(guī)定了數(shù)據(jù)控制(含移動應用)和處理需要有足夠的技術和措施來確保其數(shù)據(jù)和移動應用的完整性。這些安全措施必須能夠應對數(shù)據(jù)處理面臨的風險,例如所傳輸或存儲的個人數(shù)據(jù)被篡改、丟失、未經(jīng)授權披露或被惡意攻擊。
以上三條法規(guī)是對中國企業(yè)的信息安全和移動應用安全合規(guī)性的******挑戰(zhàn)。如果沒有通過,企業(yè)面臨的罰款標準是,“一般違規(guī)行政罰款的上限是1000萬歐元或該企業(yè)上一財年全球年度營業(yè)總額的2%(以較高者為準)”;“嚴重違規(guī)行政罰款的上限是2000萬歐元或該企業(yè)上一財年全球年度營業(yè)總額的4%(以較高者為準)”。
GDPR規(guī)定了歐盟每一個成員國都必須成立關于GDPR的監(jiān)管機構(“Supervisory
Authority”),負責GDPR在每一個國家的執(zhí)行。監(jiān)管機構接受該國關于違法的投訴,有權調(diào)查可能的違法情形,并進行相應的處罰。而這一監(jiān)管機構也有義務和歐盟其他成員國的監(jiān)管機構溝通,確保在同一件事情上執(zhí)法尺度盡可能統(tǒng)一。同時,歐盟將設立“一站式”投訴服務,以便于消費者在歐盟范圍內(nèi)跨境投訴。
對于在歐盟境內(nèi)有分支機構的中國公司,分支機構將被作為責任主體來強制執(zhí)行法律要求。 如果沒有在歐盟境內(nèi)設有機構,一旦違反GDPR且境外公司高管進入歐盟境內(nèi),高管將直接強制執(zhí)行處罰。首當其沖的行業(yè)是銀行、電子商務、互聯(lián)網(wǎng)、IT企業(yè)和軟硬件生產(chǎn)商。中國企業(yè)有三個選擇:
(1)停止向歐盟居民提供互聯(lián)網(wǎng)服務(包括免費的服務);
(2)接到罰單后再去面對;
(3)主動完成歐盟GDPR的合規(guī)性要求。
顯然,我們不想失去歐盟巨大的市場,我們更不愿意被處罰而使自己的品牌與聲譽長期蒙受負面影響,明智的選擇是主動出擊,積極應對。對此,我們的建議是:
1. 邀請第三方專業(yè)的數(shù)據(jù)安全機構來評估公司的隱私保護合規(guī)現(xiàn)狀。合規(guī)評估可以幫助您了解貴司在GDPR要求方面處于什么位置,幫助您了解您擁有哪些數(shù)據(jù)資產(chǎn),以及保護這些資產(chǎn)的控制措施,也可以幫助您對組織內(nèi)的數(shù)據(jù)保護成熟度進行評估并分析差距。
2. 提高數(shù)據(jù)保護的合規(guī)水平。合規(guī)的數(shù)據(jù)保護實踐應該有:為與GDPR相關的員工提供教育和培訓;對隱私控制和隱私政策進行良好的定義;定義流程以對數(shù)據(jù)泄露做出反應;實施問責機制;緩解數(shù)據(jù)泄露造成的傷害和損失;根據(jù)隱私政策使用適當?shù)臄?shù)據(jù)保護工具。
3. 加強數(shù)據(jù)治理。您需要構建和定制自己的數(shù)據(jù)保護治理方案,并設計一套程序以不斷的提高組織內(nèi)的數(shù)據(jù)保護成熟度。這種設計的具體要點包括:定義具體的隱私保護策略和問責政策;使用合理的指標來比較自己與競爭對手的合規(guī)程度;在您的組織內(nèi)選擇和培訓特定的數(shù)據(jù)保護角色;將隱私策略與業(yè)務策略協(xié)調(diào)一致,共同服務于公司的經(jīng)營目標。需要特別強調(diào)的是,一定要在處置電腦資產(chǎn)前銷毀硬盤上的數(shù)據(jù),最好請第三方公司操作并出具銷毀證明。當消費者請求公司銷毀個人的隱私數(shù)據(jù)時,公司可以展示數(shù)據(jù)銷毀證明來表示合規(guī),有效避免消費者投訴。
網(wǎng)站客服咨詢客服
熱線電話:
15026778275