经过两年多的预备期,2018年5月25日,欧盟制定的《一般数据保护条例》(General Data Protection Regulation,GDPR)正式开始生效。在全球现有的数据隐私保护法规中,GDPR是迄今为止覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规。这项法规不仅决定了企业如何通过合法的技术及业务创新来获取基于个人数据的巨大价值,同时也因为严格的处罚条款而使众多企业出现了生死攸关的“归零风险”。对于中国企业来讲,尤其要注意的是GDPR的适用范围。一方面,对于中国企业在欧洲设立或者收购而成的子公司,无论其数据处理活动是否在欧盟境内,均需遵守GDPR。另一方面,如果中国企业为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息,或者为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,也要受GDPR的管辖。因此,对于已经在欧盟进行战略布局或者拟将业务网络拓展到欧盟的中国企业(尤其是银行、电子商务、互联网、航空、IT企业和软硬件生产商)来讲,必须重视GDPR的合规,否则将会遭受重大的财务和声誉上的损失。1GDPR关键要素解析GDPR包括序言和11个章节,共99条具体保护条款。其中重点聚焦于个人数据主体的各项权利。这意味着数据主体对自己的个人数据有了更强的把控能力,可在使用企业的产品或服务时提出更多的合法诉求。同时,GDPR中也进一步明确了需特别管理的个人数据以及相关处理的要求,这也对数据控制者和处理者在个人数据隐私保护方面的管理能力提出了更加严格的要求。01数据主体的各项权利在个人数据主体的权利方面,GDPR中阐述的用户权利可概括为以下几个主要方面,即数据访问权、数据纠正权、被遗忘权、限制处理权、可携带权、自主决定权以及拒绝权等。通过这些权利,数据主体可随时向企业要求个人数据备份,或要求其提供个人数据的使用目的,并可对相关数据进行更正、删除、导出转移等多项操作。同时,用户也可向企业明确提出要求,禁止企业对其个人数据的某些处理及使用,以避免受到某些自动化决策的影响。此类来源于个人用户的限制甚至拒绝要求,也是GDPR中明确提出的重点内容。02特殊类型的个人数据过去企业对隐私保护的关注各不相同,对个人数据的定义也存在一定差异,但此次GDPR中明确了特殊类型的个人数据类别,涉及到种族、政治观点、宗教信仰、工会,以及个人的基因数据、生物特征值、健康信息、性生活及取向等。针对这些敏感的个人数据,企业需将其与其他个人数据进行独立管理,并提供更加严密的安全保护措施。03未成年人的个人数据针对未成年人,GDPR也规定了具体条款进行特殊保护。当企业向未成年人提供产品或服务并处理其个人数据时,GDPR明确指出需获取16岁以下未成年人的监护人同意及授权,而不可仅向未成年人征询同意。04面向企业的隐私保护管理要求对于企业而言,GDPR也提出了全方位的隐私保护管理要求,从不同方面开展持续性的监管工作。
第一,对于已收集的个人数据,若企业已没有了收集数据时的使用目的,则需主动将相关数据进行清除;
第二,若企业发生了数据泄露事件,将在72小时内向监管机构披露个人数据方面的泄露问题,并且在某些影响用户安全的情况下,还需同时向受影响的个人进行披露;
第三,企业需设立数据保护专员(Data Protection Officer,DPO)负责企业的隐私保护工作,完善相关的管理制度、工作流程,开展基于业务的隐私影响评估,并根据企业自身情况,在欧盟境内设立相关代表人,全面并及时地响应用户需求。2GDPR隐私保护阶段性实施方法既然GDPR这一柄“达摩克利斯之剑”已经悬在头上,企业如何去应对这项法规,并满足相对应的合规要求,正是“5.25”之后的重中之重。因为企业对个人数据的处理一旦触发了GDPR的违规条款,则会面临着可高达企业全球年营业额的4%的罚款(企业全球年营业额的4%或2000万欧元,两者取高)。
普华永道信息安全团队基于对GDPR的充分研究,并结合团队在信息安全管理方面的领先实践经验,总结出一套“GDPR隐私保护阶段性实施方法”,以帮助企业顺利应对GDPR的正式执行。
阶段一:差距评估及分析——明确个人数据类型,梳理业务流程及系统架构,结合个人数据处理现状,识别合规挑战及风险
识别企业需要保护的个人数据类型,是进行深入差距分析前所需要做的关键步骤,只有明确了企业需要保护的内容,才能够使评估工作的范围可控。
在完成初步工作后,企业需深入了解内部的各项业务、各个系统及应用在个人数据的收集、存储、使用、分享以及披露的过程中的实际工作情况,一般通过访谈调研使各项业务、各个系统以及跨业务、跨系统的个人数据管理现状逐步明晰。
结合企业对个人数据的处理现状以及开展的实际业务,根据GDPR的具体要求及相应的安全保护措施,在数据的全生命周期中识别具体的风险并提出可能存在的差距。
阶段二:制定整改方案并实施——从技术要求、制度建设、流程完善三个不同方面进行整改,加强隐私管理能力
在完成差距分析的基础上,企业通常可从技术、制度、流程三个方面进行强化提升。
从技术上,企业可对个人数据进行逐步收敛,优化业务逻辑并去掉冗余的个人数据;此外,可对敏感的个人数据进行加密或脱敏的处理;并且逐步细化涉及个人数据的系统访问权限;完善相关系统日志,并满足事中监控、事后审计的工作。
从制度上,企业需构建专业的信息安全团队并明确其工作职责,打破不同团队(法务、技术、业务)之间的沟通壁垒,完善企业内部的合规制度、文本、合同,从而建设有效的管理制度,为企业的隐私管理建立可参照的标准。
从流程上,明确涉及个人数据的具体工作流程以及相关负责人,保证日常隐私管理工作顺利运转,并且在遇到突发事件时可以通过有效的应急响应机制进行及时应对。
阶段三:建立隐私保护体系并持续提升——基于GDPR中的不同领域评估整改工作,制定隐私保护规划,持续降低风险
GDPR中的各项要求,可进一步归类为基础管理、用户告知、用户权利履行、数据收集、数据存储、数据处理、分享披露等多个不同领域,企业可根据自身业务现状,对各项业务的不同领域进行检查,完成时点性的评估工作。
在完善后的管理制度及隐私管理工作流程的基础上,逐步制定短期、中期、长期的隐私保护规划,在企业自评估的高风险领域中进行持续的改进,降低相关风险。3难点和建议 对于GDPR的正式执行,诸多企业对其产生了一定的担忧及疑虑,本文也整理并汇总了一部分GDPR正式执行后可能带来的重大挑战,并提出了相应的建议。01个人数据类型的定义及识别企业在梳理个人数据时往往感到界定困难,甚至出现企业内部不同部门或团队,对相同的数据采取不同定义的情况。建议:“可识别”这个概念,往往是在多项数据结合之后实现的,因此即使某一项数据无法直接识别某个具体用户,但由于其与其他数据结合后可识别用户,这些数据仍需要进行保护。02未成年人的个人数据处理授权针对16岁以下未成年人的监护人同意和授权,企业很难真实识别未成年人与其监护人的关系,存在一定的违规风险。建议:可针对不同国家适用的官方文件进行进一步判断,可参考的文件包括但不限于出生证明、收养证明等。03个人数据的跨境传输 GDPR中已明确数据跨境的要求,但部分企业存在数据中心单一或欧盟境内没有相关设施的情况。建议:若企业无法在欧盟境内设立数据中心,应考虑通过有约束的公司规则(Binding Corporate Rules、BCR)、标准合同条款、经批准的行为准则或其他认证机制,进行个人数据的跨境传输。(来源:普华永道中国)
