/ 中存储网

欧盟 GDPR 通用数据保护条例正式生效后,各行业影响分析

2018-05-28 10:33:45 来源:中存储

欧盟GDPR通用数据保护条例

GDPR 通用数据保护条例-中文版全文

GDPR的意义

欧盟司法专员维拉·朱洛娃(VeraJourova)有经典语句形容当前数据保护现状,“今日的个人数据,就如同(观看)人们在水族馆里裸泳一样。”

5月25日这一天,《欧盟一般数据保护条例》(General Data Protection Regulation,GDPR)正式生效,欧洲人可以重新控制他们自己的数据了。

咨询公司埃森哲在最近一份报告中则直接将GDPR形容为“近二十年来数据隐私规则领域发生的最重要变化”。

“它给高科技企业带来了巨大的影响,其影响之深远已超出欧盟,波及全球多个国家。”埃森哲在该报告中指出,该条例适用于所有欧盟实体的数据,无论其身在何地或其数据被放在什么平台。高科技公司存储、处理或交换任何欧盟公民的数据时,都必须符合GDPR。

GDPR的效力层级在欧盟是“条例”,编号为EU-DSGVO,其效力仅次于宪法。与以往的隐私规定相比,GDPR有何不同之处呢?

埃森哲在上述报告中指出,第一,GDPR要求责任共担。在过去,收集和使用数据的数据拥有者需要对数据保护负责。如今,史无前例地,数据处理者(如提供数据处理服务的云服务提供商等)也将需要直接承担合规风险和义务。在数据保护上,数据供应链自上而下的各方都会被问责。网络公司必须与合作伙伴们明确各自的责任和义务。

各国企业的应对

不过,埃森哲指出大多数企业尚未做好准备。2016年秋季面向云服务供应商的客户进行的感知调查显示,仅6%的企业被认为是符合GDPR、无需在新的规定条款框架下重新商谈合同;而91%的企业出于对数据处理的复杂性和成本的考虑,对自身能否符合GDPR表示出担忧。

其次,如不遵守GDPR,则后果很严重。埃森哲指出,GDPR对获取和管理个人信息提出了新的、更严格的要求。它赋予个人明确的权利,给高科技企业通过人工、流程和技术进行客户数据管理带来了重要影响。不仅如此,GDPR还对客户信任产生影响。根据埃森哲技术展望调查,83%的受访者坚信,信任是数字化经济的基石。达到GDPR所要求的数据隐私和安全要求,是维系消费者信任和保护企业品牌的根本。同时,违规将被严令禁止。GDPR大大增加了数据保护的强制性和责任性,对违规的处罚金额提高到2000万欧元或企业全球年营业额的4%(二者取较高值)。

据统计,目前在28个欧盟国家中,有12个国家已经正式更新了其国内法,将GDPR嵌入其中,同时还有8个国家告知欧盟委员会它们将在近期尽快完成其立法程序。

5月25日之后,仍有8个欧盟国家在GDPR同其国内法融合方面毫无作为,包括保加利亚、比利时、塞浦路斯、希腊、捷克、匈牙利、立陶宛和斯洛文尼亚,大多是中东欧国家。

欧盟方面表示,已经对上述国家做出了警告,请它们尽快更新法律系统,否则将把它们告上欧洲法院。

企业可能准备不足

埃森哲也在上述报告中指出,企业有可能对此准备不足。要想全面落实GDPR,企业必须掌握所存储和处理数据的特征,从而可以全面保护数据。目前,领先企业能够成功追溯70%~80%的数据来源,但仍有许多企业尚不具备这一能力。甚至许多领先企业也表示难以探寻剩余20%相关数据的下落。

2015年,全球有十亿条客户记录遭到泄露。2016年,仅一次泄露事件就造成了十亿账户被黑客入侵。GDPR规定,如果数据遭到泄露,用户有权快速获取相关信息,这就要求企业必须在72小时内向数据保护机构报告数据泄露事件。埃森哲指出,目前只有1%的云服务供应商能够在24小时内向客户发出数据安全事故通知。

小米首席架构师、人工智能与云平台副总裁崔宝秋博士在中国国际大数据博览会期间接受记者独家采访时表示:“整个行业都需要全力提升数据安全和隐私保护的意识,加大设计和研发时的投入,以加速符合GDPR的要求。”

针对企业如何更好地进行GDPR的合规,崔宝秋主张从设计着手的隐私保护理念。他对记者表示:“这项新规对于用户而言是好事,用户需要对自己的数据有一定的控制权。任何一家公司如果能够做到遵循隐私保护的原则,就应该在做任何产品之前,从用户的角度出发来设计产品。”

崔宝秋表示,随着移动互联网高速发展,大量的隐私以及个人数据会存储在移动设备端,这也使得用户对移动设备的个人数据以及隐私资料保护非常重视。“目前市场上的智能设备大多数是与个人相关的产品,因此面临很高的个人信息被泄露的风险。一个设备如果存在漏洞,可能被利用把用户的视频、音频、日常对话等私密的信息发送出去,所以一定要引入严格的安全与隐私标准,进行严格安全检测。”

据了解,目前GDPR的规定虽然强调了用户的知情权、访问权和被遗忘权,用户可以要求被告知公司掌握了自己的哪些数据并要求对其进行删除,然而,大多数企业在修改GDPR的用户隐私政策时,措辞仍然比较宽泛模糊。

比如硅谷科技巨头谷歌和Facebook都已经修改了它们的用户政策条款,其中Facebook主要强调了人脸识别技术的应用应获得用户的准许。目前用户上传照片时,系统会自动通过人脸识别技术标识出照片中的人物,采取的是用户默认同意的条款,除非用户自己提出异议。

据报道,苹果公司已经停止了在机器学习和人工智能系统开发中使用用户数据,微软也为GDPR投入了1600多名工程师,Facebook则将约15亿用户的注册地从爱尔兰转向了美国。不过对于注册地的迁移,爱尔兰投资发展局中国区总监张哲伟对说:“个人认为意义不大,因为企业考虑的不仅仅是数据放在哪里的问题,同时也与数据的来源地有关。”

埃森哲大中华区首席创新官刘东在中国大数据博览会上对记者表示:“GDPR是一个比较好的契机,让我们的企业审视自己的隐私保护政策,倒逼我们去努力合规。拒绝或者存有侥幸心理都是不对的。这一过程中需要数据公司的服务和技术上的支持,会增加客户成本,但同时也能令企业的价值得到提升。”

根据数据分析公司SAS上个月的一份调研报告,随着GDPR大限到来,只有7%的企业完成了合规,近半数的受访企业表示这一新规将对公司的人工智能相关项目产生重大影响。全球仅有不到一半的企业(49%)表示它们能按期达到GDPR的合规要求。不少小公司由于缺乏资源和指导,仍然处于观望状态。

中企国际化绕不开“合规性”

崔宝秋说:“违反GDPR罚款很高,有一定的威慑力,企业只有三种选择,要么退出欧洲市场;要么努力合规;还有一种就是承担被罚款的风险。我想最后一个选项不是任何一家负责任的公司愿意选择的,所以真正的选择就只有前两个。小米选择的显然是努力合规。”

崔宝秋称,小米为了符合GDPR条例,几年前就开始进行多方面的投入,从法律规定的研究到云计算基础设施的布局,从大数据技术措施到组织措施,在所有业务中全面落实GDPR的要求。

注意到,国航、东航均在5月24日对其APP和官方网站的隐私政策条款进行了更新,东航也在5月作出了调整,以前的隐私政策条款相对笼统,在如何收集个人信息、收集哪些类型的个人信息、收集后如何使用等方面的规定并不细致,而在最新版的隐私政策中,这几家航空公司将可能收集的个人信息的范围列得更加详细。国内其他几家开设有欧盟航线的航空公司,如海航、四川航空,尚未对隐私政策进行调整。

张哲伟表示:“GDPR合规要求十分高,企业需要投入大量人力财力,才能确保执行。对于中国企业来说,必须立刻敲响警钟,做好充分准备,加强对数据安全和用户隐私的保护工作。”他建议,在数据保护方面,中国企业可以选择一个欧盟成员国作为主沟通国,通过这个国家跟其他成员国的相关监管当局打交道。

互联网实验室创始人方兴东表示:“欧盟GDPR生效,国内除了少数互联网公司之外,很多企业认为关系不大。而事实上,GDPR将对中国互联网带来翻天覆地的冲击。关乎每一个互联网公司的未来发展,事关目前中国互联网基础性商业模式的大调整,更重要的是,关乎我们每一个网民。”

方兴东认为,GDPR将成为未来全球网络空间规则的基石,即以数据为抓手,与美国过去掌控的另一大基石,即底层技术治理相得益彰。低估GDPR,将会付出巨大代价。最首当其冲的,就是基于搜集个人信息和隐私驱动的整个中国互联网产业主体收入模式将产生重大影响,甚至是颠覆性影响。

广告商很紧张

欧盟《通用数据保护条例》(以下简称“GDPR”)5月25日的正式实施令数字媒体和广告行业陷入混乱。自那之后,广告交易平台的欧洲广告需求量骤降了25%至40%。

广告技术厂商都在加紧通知客户,他们预计来自谷歌的广告需求将会大幅下滑。而一些美国内容发布商甚至停止在其欧洲网站上投放所有程序化广告。

谷歌过去几天向Double Click Bid Manager客户发出警告,从5月25日开始,在该公司完成相关的整合工作之前,内容发布商、广告技术合作伙伴和广告主在第三方欧洲广告位上投放DoubleClick Bid Manager广告时可能遇到“短期中断”。

“营收和广告需求可能出现全面的大幅下滑。”一位来自内容发布商的高管说。

在很多平台上,来自内容发布商的广告位供应也大幅减少,一些知情人士认为,这是美国内容发布商从欧洲大量撤下了程序化广告所致。《洛杉矶时报》和《芝加哥论坛报》等公司关闭了欧洲网站。《今日美国报》虽然仍然开放欧洲网站,但却撤下上面的广告。

《纽约时报》的欧洲网站似乎也没有出现任何程序化广告。知情人士称,《纽约时报》欧洲网站的广告位已经无法通过广告交易平台获取。但《纽约时报》尚未对此置评。

事实上,新规生效之后,谷歌和Facebook还纷纷遭到起诉,被控强迫用户分享个人数据。

在5月25日生效,阿里云在当日表示已从平台、系统、产品、服务、合规、流程、政策等方面,全面按照该要求持续进行数据保护与相关服务改进,相关工作已经准备就绪。例如为客户提供账号删除功能,同时将通过信任中心向全球客户提供GDPR相关信息、服务和工具支持。

GDPR被各界认为是有史以来最为严格的数据保护法规,作为一项强制性法律,它取代了欧盟通行20年的数据保护指令(95/46 / EC)。GDPR侧重“自然人的基本权利和自由,特别是数据主体的权利”,尤其是“数据的被遗忘的权利/删除权”,而是否提供账号删除服务也成了是否符合GDPR的最显著标志之一。

阿里云,全面按照GDPR要求推进数据保护工作

一直以来,阿里云从流程、人员、技术、合规等方面确保数据在云上的安全性。《安全白皮书》中披露了阿里云在数据安全、访问控制、人员安全、物理安全、基础设施安全等十几个方面的安全措施。

阿里云在公司内部进一步加强人员培训与机制流程,使数据保护成为阿里云全公司的核心理念。

在产品规划当中阿里云遵从默认隐私设计(Privacy by Design)理念,将安全融入到系统和产品设计中。所有新发布的云产品上线之前,须通过安全+隐私设计双重评估,确保证其合规性。

针对“数据的被遗忘的权利/删除权”,目前,阿里云为客户提供账号删除功能,全球客户可以自助操作完成。