史无前例最为严厉的个人隐私保护法——GDPR生效第五天,施行效果显著。《一般数据保护条例》(General Data Protection Regulation,简称“GDPR”)5月25日正式生效。
远不止修改一个“隐私政策”这么简单
法案生效前夕,腾讯 QQ 国际版隐私政策进行了紧急更新,根据GDPR其中一项条款“用户提出数据删除要求时,企业需要在数据库内找到数据并删除”, QQ 国际版隐私政策已明确,如果用户需要,QQ国际版也将提前删除用户数据。此外,苹果也修改隐私政策,允许用户彻底注销 Apple ID。谷歌方面也表示,用户可以访问并删除个人数据。
但其实在应对欧盟GDPR合规,并不是修改一个“隐私政策”这么简单。
中国IDC圈从一位接近腾讯云的人士获悉,腾讯云提前1年就已经开始对GDPR的评估和摸底。他表示:“大公司在采取的应对措施上,肯定要够严谨,但应对GDPR合规并不会对腾讯云业务造成影响”。
阿里巴巴旗下云计算公司阿里云也表示,已经为应对GDPR合规做了相关工作,涉及平台、系统、产品、服务、合规、流程、政策等方面。
华为云此前接受中国IDC圈采访时也表示,GDPR生效后整个数据交互的安全性,数据的完整性,真实性,精密性,以及整个基于人的真实的变化和使用个人的数据将会得到充分的尊重。
生效第一天,谷歌和Facebook就被“抓典型”
普华永道的调查数据显示,68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规要求,另有9%企业预计将花费超过1000万美元。
虽然大型互联网科技公司已经提早对GDPR做了准备,但有研究人员指出一些中国企业并没有对GDPR做出足够的重视,或者采取的措施并不尽人意。未来GDPR肯定会成为欧盟与境外企业合作的标准法规之一,如果中国企业如果不尽快进行GDPR全面合规,可能会在违规处罚中被“抓典型”,也将面临失去欧盟市场的风险。
GDPR生效第一天,谷歌和Facebook涉嫌违规分享用户数据,遭遇奥地利的隐私活动家Max Schrems法律诉讼, Schrems的诉讼特别针对两家公司获得隐私政策同意的方式,即要求用户选择“同意”选项以获取服务,否则就不能使用服务,这违反了GDPR关于获取同意的规定。双方面临的罚金总额分别为37亿欧元和39亿欧元(总额约为88亿美元)。
截止发稿前一晚,可口可乐发生了一起8000多名员工个人信息泄露事件,并且该泄露事件发生在去年9月份,可口可乐没有及时向有关部门通知这件事。如果这一事件涉及欧盟,可口可乐必将面对一笔不小的罚款。在GDPR条款尤其强调了一点:“在数据泄露事件发生时,根据GDPR的数据泄露通知要求,企业必须在发现数据泄露的72小时内通知相关部门”。
七大关键点,避免踏入雷区
GDPR条款提及的几个关键点,值得引起注意:
1. 法案使用范围:所有在欧盟境内经营、或是搜集和处理欧盟公民数据需要存档的外国企业。
2. 罚款程度:轻者处以1000万欧元(约合人民币0.75亿元)或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元(约合人民币1.5亿元)或者企业上一年度全球营收的4%(两者取其高)的罚款。
3. GDPR强调数据所有者的知情权,规定数据使用必须事先征得数据主体的同意,而且“同意”必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。如果数据使用范围扩大,无论是将数据提供给第三方或作为企业对外服务的一部分,都必须重新获取数据主体的授权和同意;数据主体还可以随时撤回同意权利。
4. GDPR强调了使用者在使用数据时,需表明其特定的使用目的,不得收集提供服务必需之外的数据,收集之后不得滥用用户数据,同时还必须履行保护用户数据的义务;处理数据时,要求数据控制者说明如何收集处理个人数据,包括数据接受者类型、个人数据保留周期及采取该周期的理由等。
5. GDPR强调数据主体的“被遗忘权”和“数据可携权”,前者是指用户提出数据删除要求时,企业需要在数据库内找到数据并删除,如果数据已传播或提供给第三方使用,企业还有责任通知使用者予以删除。
6. 如涉及自动化数据处理(如数据画像等),数据控制者还需要提供基本的算法逻辑及针对个人的运算结果。
7. 在数据泄露事件发生时,根据GDPR的数据泄露通知要求,企业必须在发现数据泄露的72小时内通知相关部门。
附上原文截图,谨供参考。
关联阅读:
【中国IDC圈原创 未经允许谢绝转载】