两年的《通用数据保护条例》GDPR的过渡期结束,这项在普通人眼里感觉枯燥的欧盟法案2018年5月25日正式生效。但是这项法案将从互联网企业开始逐步影响整个全球行业变革。
为什么欧盟的法案影响全球?因为该条例面向所有收集、存储或处理欧盟境内任何居民的个人数据的任何组织及企业,无论该企业是否位于欧盟成员国内。
这句话,在移动互联、IOT、云计算高度发展的今天,以及实体经济与互联网高度融合的今天,全球任何企业都有可能和欧盟成员打交道,也就是说,全球任何企业都必须认认真真的考虑应对这个条例的机制。
因为你要是一不小心或者大意了违反了GDPR,那么高达2,000万欧元或全年总收入的4%的巨额罚款估计让你肉疼。
在这里给中国企业几点建议:
第一、不要掉以轻心,事不关己。这不仅是阿里巴巴、华为这样的全球高科技企业需要注意的问题,同时在安防、无人机、共享汽车、共享经济相关,无人汽车等领域企业应该注意的条款,因为随着中国智能制造2025战略的提出,以及人工智能的快速发展。目前大的到制造装备,小到儿童玩具,都会和智能相关,都会嵌入各种芯片、软件,必然会产生数据和数据的处理。一不小心可能就会误入到GDPR的坑里。毫无疑问,GDPR 法规今后也适用于所有企业。
第二、不管是非常传统的手工作坊还是传统的制造业,对数据隐私这个概念应该有了新的认识。以前可能觉得无所谓,现在估计要考虑一下,对数据保护、数据安全数据隐私都有全新的认识。任何一个企业在经营的过程中,都将在脑子里考虑一下,这会触碰GDPR吗?
第三、赶紧抢夺数据专家。传统的企业更不要说,必然会招揽懂数据安全、数据隐私的专家来确保企业满足GDPR合规要求提供支持。同时这些专家能为企业提供数据备份和使用相关工具的专业建议,降低企业在数据攻击时造成的不必要的损失。
当然目前来看,必然有不少企业要进入GDPR这个坑里,成为一个个不好的“教材”。因为全球来看,很多企业还没有对 GDPR 做好准备。
根据Veritas针对GDPR的调研表明,针对GDPR合规性,不少企业都还有很长的路要走。Veritas推出的2017 GDPR报告显示:
- 18%的企业担心,不满足合规要求将最终导致公司破产
- 32%的企业认为,他们没有合适的技术来满足GDPR的要求
- 约40%的企业无法准确识别和定位相关数据,而这是GDPR条例要求企业所必须拥有的能力
- 平均而言,企业将在2018年投入130万欧元来改善GDPR合规性
针对GDPR,企业要注意哪些关键因素?
数据领域专业人士Veeam中国区总经理施勤给出建议,首先所有企业应 “全面戒备”。哪怕没有任命数据保护专员的打算,企业也需让所有雇员意识到,GDPR条例的实施关系到每一个人。换句话说,企业或组织内的所有关键利益相关方都应清楚了解新条例的要求与效力,以及GDPR将对企业组织运行产生的影响。
其次,特别是不太了解自身所储存处理的数据的企业最好尽快做好准备,所有企业都应清楚了解自身储存个人数据的内容、地点、方式、来源、储存这些数据的原因以及获取数据的方式。因为这些可能就是地方GDPR执行机构关心的问题。
而对于那些违反条例或无法备份托管数据保证数据安全的企业,官方绝不会宽大处理。高额的罚金并非玩笑。很快,就会有违规的企业成为“前车之鉴”,以儆效尤。
第三,公民将对个人数据享有更大的权利。随着GDPR的实施,人们将会更加意识到自身的数据权利。以及有权获取个人数据,或要求企业为其提供个人数据(以他们能理解的格式)。反观企业,为了不在满足民众数据需求上花费过多精力,并且在必要时能够找到所需数据,企业需确保使用合理方法为每个数据点定位。
第四,严防数据泄露,根据GDPR的数据泄露通知要求,企业必须在发现数据泄露的72小时内通知相关部门。但是在发生数据泄露后,企业往往为配合各项调查、采取补救措施而焦头烂额。
数据领域专业人士Veritas公司大中华区总裁杨晨认为,对于企业来说,GDPR合规性不再只是CIO一个人的职责,而是需要所有部门的共同努力。很多企业并不是十分了解企业内部数据的管理权归属。高管常常认为CIO是负责GDPR的关键人物,而CIO又认为这是高管的职责。公平地说,这需要多个职能部门的配合。这种跨职能性意味着,企业需要在创建合规和数据治理文化时,彻底改变思维模式。
杨晨给出的建议是,满足GDPR要求的关键的第一步是要全面了解公司拥有的所有个人数据位于何处。制定有关信息存储位置、数据访问权限所有者、数据保存时间以及数据传输位置的数据地图,这对了解企业如何处理和管理个人数据至关重要。因此企业应对对所有数据进行定位。
第二,企业应该部署相关技术,建立针对所有用数据的实时查看能力,通过基于自动化策略的方法来发现、分类和管理信息。来满足欧盟居民来申请查看相关公司持有的所有个人数据。他们有权要求企业纠正(如有错误)、导出(以合适的导出格式)或删除其数据。
第三,企业应该部署和执行能够随着时间演进自动让数据失效的数据保存政策。同时确保企业存储个人数据最小化,数据最小化是GDPR的主要原则之一。
第四,数据保护,根据GDPR条例,企业有责任实施技术及企业相关措施,来展示他们已经将数据保护集成到了所有数据收集和处理活动中。
第五,严防数据泄露,GDPR 规定,所有企业都有责任在出现特定类型的数据泄漏时上报给相关监管机构,并在某些情况下通知受影响的个人。企业应该确保自身有能力监控可能的泄漏事件(比如意外或不寻常的文件访问模式),并快速启动报告流程。