試問,你是否在意企業“瘋狂”采集個人數據的行為、是否在意企業采集的個人數據到底屬于誰、是否在意那些被采集的個人數據到底用作什麼?答案一定是肯定的。沒有人還會對個人數據的安全無動于衷。
這個夏天,就在人們熱議《網絡安全法》施行1周年之際,那些已經或即将走出國門的國内企業已把目光聚焦在歐盟《通用數據保護條例》(以下簡稱GDPR)的身上了。
5月25日,GDPR結束了兩年的過渡期正式生效,被業内認為是有史以來最為嚴格的數據保護法規,作為一項強制性法律,它取代了歐盟通行20年的《計算機數據保護法》。
号稱最嚴,嚴在哪裡?
為保障GDPR推行,歐盟增設了獨立監管機構——歐洲數據保護委員會也于同一天正式成立。委員會的新任主席安德烈亞·耶利内克表示:“在必要的時候,我們可以作出裁決,我們将集合28個(成員國)監管機構的智慧,找到歐洲數據保護的最佳方法。”
“分得細、管得寬、罰得狠”,背着這些标簽的GDPR被稱為“有史以來最嚴”的數據保護條例。首先,GDPR大幅拓展了對于“個人數據”的定義,除了姓名、手機号、用戶名、網絡IP地址以及定位地址這些常規信息外,還包括健康數據、政治觀點等敏感信息。其次,用戶将經常需要選擇是否授權企業或機構獲取其個人數據,會有一些選項框供用戶勾選,企業或機構必須用通俗的語言向用戶說明用途。此外,用戶還有權要求企業或機構删除其個人數據。
無論企業是否在歐盟境内,隻要與歐盟企業發生業務往來,或涉及存儲、處理、交換任何歐盟公民的數據,都在這一條例的管轄範圍之内。理論上,違規企業最高可能受到2000萬歐元或全球營業額4%的罰款,以較高者為準。
就在正式生效的當天,包括《芝加哥時報》和《洛杉矶時報》在内的多家美國熱門新聞網站在歐盟地區陷入癱瘓,原因是沒能及時取得用戶授權。
對中企是挑戰更是機遇
許多人可能認為,如果公司是在中國處理數據,就不用遵守GDPR。但事實上不是這麼回事,今後隻要涉及到使用歐盟個人數據,中國公司就一定要遵守GDPR。
比如人工智能、電子商務、互聯網金融以及新興的分享經濟企業,隻要與數據、互聯網相關,他們在開展業務的時候不可避免地要收集個人信息。哪怕中國企業沒有在歐盟設立任何分支機構,但是歐盟用戶上這個中國的網站,注冊購買商品、購買服務,這個時候,這家中國企業如果不當收集信息,那麼歐盟監管當局就可能對中國企業處以巨額罰款。
如此看來,GDPR對于涉及數據業務的互聯網企業而言确實“猛如虎”。
Veeam中國區總裁施勤在接受記者采訪時,提出了自己的觀點。他指出,作為全球發展最快的經濟體之一,中國企業的業務範圍已經迅速擴展到全球各地,這當然包括歐盟成員國。大型中國跨國企業、以及越來越多的後起之秀也開始将觸角伸往歐洲。GDPR的實施對全球市場在數據标準化的建設産生積極的影響,對于中國企業有利也有弊。它有利于提高我國數字經濟企業的國際競争力,有利于我國數字經濟企業做大做強,進而有利于促進我國的數字經濟市場的整體良性快速發展。施勤表示:“數據變得越來越金貴,它需要更好的保護。數據的采集、提取和監管的成本,都相應增加了。”所以,GDPR的實施會給企業帶來一定的合規成本。
施勤強調:“誠信度的提高,對于企業而言是一件好事情。雖然短期内會有一筆投入,但是卻提高了企業對個人隐私數據保護的意識。企業提高整體素質,對提升中國本土用戶數據保護的意識非常有益。一旦企業實現合規,将大大提高競争力。”
在Veeam内部,也專門成立了一個數據管理小組。目前,Veeam的解決方案針對數據提供了很好的管理和報告功能,可以幫助驗證是否符合GDPR的某些條款,Veeam的解決方案在企業業務計劃外中斷之後,幫助企業快速恢複數據訪問和可用性方面的能力是市場領先的。同樣,Veeam解決方案的備份驗證功能可确保企業能夠評估為恢複而保存的數據的有效性,以滿足GDPR這方面的要求。
施勤建議相關企業進行一次GDPR差距分析,評估在合規方面的現狀。從數據流映射開始,提供所有個人可識别信息(PII)的位置,開始評估過程,包括誰有權訪問,在哪裡提高效率,數據應移動到哪裡等等。接下來,Veeam會提供更多協助用戶制定GDPR合規計劃的信息,這些用戶既會有要走出去的國内企業,也有将入駐中國的全球企業。
施勤最後表示,企業應該将GDPR視為一種新機制,負責地使用和管理企業數據,負責地對待客戶和供應商。為此企業需積極應對,做好數據保護準備,主動迎接GDPR的合規挑戰,努力與GDPR的水平接軌。