试问,你是否在意企业“疯狂”采集个人数据的行为、是否在意企业采集的个人数据到底属于谁、是否在意那些被采集的个人数据到底用作什么?答案一定是肯定的。没有人还会对个人数据的安全无动于衷。
这个夏天,就在人们热议《网络安全法》施行1周年之际,那些已经或即将走出国门的国内企业已把目光聚焦在欧盟《通用数据保护条例》(以下简称GDPR)的身上了。
5月25日,GDPR结束了两年的过渡期正式生效,被业内认为是有史以来最为严格的数据保护法规,作为一项强制性法律,它取代了欧盟通行20年的《计算机数据保护法》。
号称最严,严在哪里?
为保障GDPR推行,欧盟增设了独立监管机构——欧洲数据保护委员会也于同一天正式成立。委员会的新任主席安德烈亚·耶利内克表示:“在必要的时候,我们可以作出裁决,我们将集合28个(成员国)监管机构的智慧,找到欧洲数据保护的最佳方法。”
“分得细、管得宽、罚得狠”,背着这些标签的GDPR被称为“有史以来最严”的数据保护条例。首先,GDPR大幅拓展了对于“个人数据”的定义,除了姓名、手机号、用户名、网络IP地址以及定位地址这些常规信息外,还包括健康数据、政治观点等敏感信息。其次,用户将经常需要选择是否授权企业或机构获取其个人数据,会有一些选项框供用户勾选,企业或机构必须用通俗的语言向用户说明用途。此外,用户还有权要求企业或机构删除其个人数据。
无论企业是否在欧盟境内,只要与欧盟企业发生业务往来,或涉及存储、处理、交换任何欧盟公民的数据,都在这一条例的管辖范围之内。理论上,违规企业最高可能受到2000万欧元或全球营业额4%的罚款,以较高者为准。
就在正式生效的当天,包括《芝加哥时报》和《洛杉矶时报》在内的多家美国热门新闻网站在欧盟地区陷入瘫痪,原因是没能及时取得用户授权。
对中企是挑战更是机遇
许多人可能认为,如果公司是在中国处理数据,就不用遵守GDPR。但事实上不是这么回事,今后只要涉及到使用欧盟个人数据,中国公司就一定要遵守GDPR。
比如人工智能、电子商务、互联网金融以及新兴的分享经济企业,只要与数据、互联网相关,他们在开展业务的时候不可避免地要收集个人信息。哪怕中国企业没有在欧盟设立任何分支机构,但是欧盟用户上这个中国的网站,注册购买商品、购买服务,这个时候,这家中国企业如果不当收集信息,那么欧盟监管当局就可能对中国企业处以巨额罚款。
如此看来,GDPR对于涉及数据业务的互联网企业而言确实“猛如虎”。
Veeam中国区总裁施勤在接受记者采访时,提出了自己的观点。他指出,作为全球发展最快的经济体之一,中国企业的业务范围已经迅速扩展到全球各地,这当然包括欧盟成员国。大型中国跨国企业、以及越来越多的后起之秀也开始将触角伸往欧洲。GDPR的实施对全球市场在数据标准化的建设产生积极的影响,对于中国企业有利也有弊。它有利于提高我国数字经济企业的国际竞争力,有利于我国数字经济企业做大做强,进而有利于促进我国的数字经济市场的整体良性快速发展。施勤表示:“数据变得越来越金贵,它需要更好的保护。数据的采集、提取和监管的成本,都相应增加了。”所以,GDPR的实施会给企业带来一定的合规成本。
施勤强调:“诚信度的提高,对于企业而言是一件好事情。虽然短期内会有一笔投入,但是却提高了企业对个人隐私数据保护的意识。企业提高整体素质,对提升中国本土用户数据保护的意识非常有益。一旦企业实现合规,将大大提高竞争力。”
在Veeam内部,也专门成立了一个数据管理小组。目前,Veeam的解决方案针对数据提供了很好的管理和报告功能,可以帮助验证是否符合GDPR的某些条款,Veeam的解决方案在企业业务计划外中断之后,帮助企业快速恢复数据访问和可用性方面的能力是市场领先的。同样,Veeam解决方案的备份验证功能可确保企业能够评估为恢复而保存的数据的有效性,以满足GDPR这方面的要求。
施勤建议相关企业进行一次GDPR差距分析,评估在合规方面的现状。从数据流映射开始,提供所有个人可识别信息(PII)的位置,开始评估过程,包括谁有权访问,在哪里提高效率,数据应移动到哪里等等。接下来,Veeam会提供更多协助用户制定GDPR合规计划的信息,这些用户既会有要走出去的国内企业,也有将入驻中国的全球企业。
施勤最后表示,企业应该将GDPR视为一种新机制,负责地使用和管理企业数据,负责地对待客户和供应商。为此企业需积极应对,做好数据保护准备,主动迎接GDPR的合规挑战,努力与GDPR的水平接轨。