TMT观察网_独特视角观察TMT行业

Facebook最近因數(shù)據(jù)泄露事件面臨自創(chuàng)建以來的最大危機(jī)，創(chuàng)始人馬克·扎克伯格連續(xù)兩天現(xiàn)身美國國會(huì)參議院的聽證會(huì)，F(xiàn)acebook股票大跌，媒體甚至以“滅頂之災(zāi)”冠之。

有媒體大膽預(yù)測(cè)：除了2萬億美元的罰單、英國議會(huì)的傳召，F(xiàn)acebook很有可能成為首個(gè)違反GDPR的企業(yè)。

GDPR到底是什么？它可以約束Facebook，對(duì)其他公司是否也會(huì)產(chǎn)生約束力？

GDPR——General Data Protection Regulation

歐盟《通用數(shù)據(jù)保護(hù)條例》

經(jīng)過歐盟議會(huì)長達(dá)四年的討論

將于2018年5月25日正式生效

它是強(qiáng)化個(gè)人數(shù)據(jù)安全與保護(hù)的重要一步

被稱為“史上最嚴(yán)數(shù)據(jù)保護(hù)條例”

“大數(shù)據(jù)時(shí)代的最強(qiáng)法規(guī)”

GDPR與之前的數(shù)據(jù)保護(hù)規(guī)則相比

有四大不同：

全球適用，一站式監(jiān)管

數(shù)據(jù)主體權(quán)利更大

數(shù)據(jù)控制者問責(zé)更嚴(yán)

更嚴(yán)厲的違規(guī)處罰

1、全球適用，輻射范圍大

GDPR從屬地主義向?qū)偃酥髁x擴(kuò)展：

也就是說，全世界的公司，無論數(shù)據(jù)存儲(chǔ)和處理地點(diǎn)在哪兒，即便業(yè)務(wù)范圍不在歐盟境內(nèi)，但只要公司有任何來自歐盟成員國的用戶，就必須遵守GDPR！

并且企業(yè)主成立地所在國家的監(jiān)管機(jī)構(gòu)將作為主導(dǎo)監(jiān)管機(jī)構(gòu)對(duì)企業(yè)的所有數(shù)據(jù)活動(dòng)負(fù)有監(jiān)管權(quán)力，其效力輻射于全歐境內(nèi)。

這也是為什么全球各大公司，甚至于中國企業(yè)也會(huì)如此關(guān)注GDPR的原因所在。

2、空前周密的數(shù)據(jù)保護(hù)

與以往的隱私規(guī)則相比，GDPR的影響更為深遠(yuǎn)。在數(shù)據(jù)保護(hù)上，數(shù)據(jù)供應(yīng)鏈自上而下的各方都會(huì)被問責(zé)；在獲取和管理個(gè)人信息上，GDPR提出了新的、更嚴(yán)格的要求，并賦予個(gè)人明確的權(quán)利，為企業(yè)通過人工、流程和技術(shù)進(jìn)行用戶數(shù)據(jù)管理帶來了一定的沖擊。（節(jié)選埃森哲中國）

（1）虹膜、性生活數(shù)據(jù)都是隱私——數(shù)據(jù)范圍重新定義

直接數(shù)據(jù)：姓名 / 地址 / 城市 / 電話 / 郵箱 / 身份證號(hào) / 郵編等；

間接數(shù)據(jù)：cookies / IP地址 / MAC地址 / 社交賬號(hào)等。

除此之外，生物信息如虹膜、指紋，醫(yī)療健康信息，宗教信仰，政治觀點(diǎn)，性取向、性生活數(shù)據(jù)等等，都是受保護(hù)的個(gè)人數(shù)據(jù)。

注意: B2B數(shù)據(jù)、假名數(shù)據(jù)是個(gè)人數(shù)據(jù)，匿名數(shù)據(jù)不屬于個(gè)人數(shù)據(jù)。

（2）用戶反對(duì)即叫停——處理數(shù)據(jù)必須有合法理由

首先必須得到用戶許可，且用戶許可必須是具體的、清晰的，是在充分知情的前提下自由做出的。

以往經(jīng)常被企業(yè)采用的——發(fā)布大段晦澀難懂的告知書，默認(rèn)用戶打勾的做法已經(jīng)不被允許。

其次，在用戶許可的前提下，數(shù)據(jù)控制者可以以營銷為目的使用用戶個(gè)人數(shù)據(jù)，但是用戶隨時(shí)可以提出反對(duì)，一旦用戶反對(duì)，那么數(shù)據(jù)控制者必須立即停止使用。

（3）五大權(quán)利——強(qiáng)大的數(shù)據(jù)主體權(quán)利

知情權(quán)

訪問權(quán)

反對(duì)權(quán)

個(gè)人數(shù)據(jù)可攜權(quán)

被遺忘權(quán)

GDPR此次引入了新型的權(quán)利類型：“個(gè)人數(shù)據(jù)可攜權(quán)”和“被遺忘權(quán)”。

個(gè)人數(shù)據(jù)可攜權(quán)：用戶可以無障礙地將其個(gè)人數(shù)據(jù)從一個(gè)數(shù)據(jù)控制者處轉(zhuǎn)移至另一個(gè)數(shù)據(jù)控制者處。數(shù)據(jù)控制者不僅無權(quán)干涉，還需要配合用戶提供數(shù)據(jù)文本。

被遺忘權(quán)：當(dāng)用戶依法撤回同意或者數(shù)據(jù)控制者不再有合法理由繼續(xù)處理數(shù)據(jù)時(shí)，用戶有權(quán)要求刪除數(shù)據(jù)。而且數(shù)據(jù)控制者不僅要?jiǎng)h除自己的數(shù)據(jù)及復(fù)制件，還要負(fù)責(zé)其公開傳播的數(shù)據(jù)，通知第三方停止使用并刪除。

（4）重重監(jiān)管——數(shù)據(jù)控制者的問責(zé)機(jī)制

數(shù)據(jù)保護(hù)官

文檔化管理

數(shù)據(jù)保護(hù)影響評(píng)估

事先協(xié)商

數(shù)據(jù)泄露報(bào)告

安全保障措施

數(shù)據(jù)保護(hù)官：具備數(shù)據(jù)保護(hù)法令專業(yè)知識(shí)，該角色必須獨(dú)立，其聯(lián)系方式必須予以公布，向監(jiān)管機(jī)構(gòu)報(bào)備，并直接向高層管理匯報(bào)工作。

文檔化管理：數(shù)據(jù)控制者必須全面記載其數(shù)據(jù)處理活動(dòng)，包括數(shù)據(jù)處理的目的、數(shù)據(jù)的類型、數(shù)據(jù)接收者的類別以及轉(zhuǎn)移至第三方的數(shù)據(jù)接收者、數(shù)據(jù)保存的時(shí)間、采取的安全保障措施等等。

數(shù)據(jù)泄露報(bào)告：一旦發(fā)生數(shù)據(jù)泄露事故，數(shù)據(jù)控制者需要在事件發(fā)現(xiàn)后72小時(shí)內(nèi)，將事件報(bào)告給指定的監(jiān)管機(jī)構(gòu)。

必須要說明的是，以上數(shù)據(jù)控制者的問責(zé)機(jī)制，其實(shí)可以理解為數(shù)據(jù)控制者必須采取“足夠的措施”來確保其數(shù)據(jù)安全。

GDPR實(shí)際上是在要求公司企業(yè)建立自己的安全策略，且應(yīng)與公認(rèn)的安全標(biāo)準(zhǔn)和框架相一致，比如ISO/IEC 27001/27002、NIST網(wǎng)絡(luò)安全框架等。

3、動(dòng)輒傾家蕩產(chǎn)的處罰力度

GDPR的罰金也是極為嚴(yán)苛的：

輕者處以1千萬歐元或者上一年度全球營收的2%，兩者取其高。（針對(duì)的違法行為包括：沒有實(shí)施充分的IT安全保障措施，沒有提供全面的透明的隱私政策，沒有簽訂書面的數(shù)據(jù)處理協(xié)議等。）

重者處以2千萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%，兩者取其高。（針對(duì)的違法行為包括：無法說明如何獲得了用戶許可，違反數(shù)據(jù)處理的一般性原則，侵害數(shù)據(jù)主體的合法權(quán)利，以及拒絕服從監(jiān)管機(jī)構(gòu)的執(zhí)法命令等。）

此外，對(duì)于不服監(jiān)管機(jī)構(gòu)作出的決定或者監(jiān)管機(jī)構(gòu)不作為，用戶可尋求司法救濟(jì)。

有關(guān)機(jī)構(gòu)調(diào)查數(shù)據(jù)顯示，31%的受訪企業(yè)聲稱他們已經(jīng)滿足GDPR的要求，但當(dāng)深入了解下去，真正合規(guī)的企業(yè)只有2%。這一比例差距懸殊，表明大多數(shù)企業(yè)并不了解GDPR，更沒有做好應(yīng)對(duì)措施。

而GDPR一旦生效，被處罰的代價(jià)是十分高昂的，甚至攸關(guān)企業(yè)的生死存亡。

避免數(shù)據(jù)泄露、保護(hù)數(shù)據(jù)安全的過程，就是規(guī)避罰款的關(guān)鍵。

然而，很多企業(yè)認(rèn)為GDPR離他們很遠(yuǎn)，并不對(duì)其業(yè)務(wù)造成影響。殊不知我國也已出臺(tái)并實(shí)施了《中華人民共和國網(wǎng)絡(luò)安全法》，數(shù)據(jù)安全、隱私保護(hù)已經(jīng)成為全世界的共識(shí)，企業(yè)依據(jù)自身業(yè)務(wù)形態(tài)及流程作出必要調(diào)整是大勢(shì)所趨。