5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)正式实行。这部被称为“史上最严数据保护法规”的出台不仅震动了全球做数字买卖的公司,更将重整全球数据秩序。
之所谓被冠以“史上最严”的名号,是因这项法规不但管得宽、分得细、罚得狠,而且还是强制性的。
GDPR管得有多宽?它是这么规定的:只要一家企业向欧盟境内的个人提供了商品或服务、并收集或处理了个人数据,不管该企业是否在欧盟境内设有机构,都适用GDPR。除非……放弃欧盟5亿发达人口市场。
GDPR分得有多细?纳入新规保护范围的用户数据种类全面细致。除了姓名、地址、证件号码、网络IP地址等通常意义上的个人信息,以及指纹、虹膜等生物识别数据、医疗记录等十分隐私的个人信息,新规还涵盖了例如用户的种族、宗教信仰甚至性取向等多方面信息。
GDPR罚得有多狠?一旦被欧盟认定违规,后果也是很严重的:最高处罚金额可至2000万欧元(约1.5亿人民币),或者,企业全球年营业额的4%,两者之中取其高。
欧美公司:闻风而动 辗转腾挪
在这场由个人由美国社交平台脸书(Facebook)点燃导火线的 “个人数据保卫战”中,作为主战场,欧美大企业们自然早就闻风而动了。毕竟,对他们来说可完全没有中企那样观望的余地。
综合北京《财经》杂志、上海界面新闻网报道,为了应对GDPR,苹果公司停止了在其机器学习和AI系统开发中使用用户数据;微软为GDPR项目投入了1600多名工程师;Facebook将约15亿用户的注册地从爱尔兰转往美国来实现GDPR的合规;Twitter关闭了Poku、Android TV和Xbox版的Twitter应用……
欧洲本土公司更要为GDPR合规做出大量准备。如芬兰AI教育公司Claned的 COO Kalle Lehtinen说,他们一方面审视内部流程,针对相关环节做出技术解决方案并改进,另一方面,也更新了用户协议。“我们已投入了数月时间适应新规,也花了大量的精力培训员工,”Kalle说。
虽然花钱花人花时间,但没有哪个欧洲公司有这个胆量“以身试法”,因为摆在他们面前的这项法规,巨额罚款还只是其严苛的一方面,想想看,如果上市公司被发现在个人数据保护方面有失职甚至“失德”行为,必将面临股价和声誉的双双“跳水”,Facebook即是前车之鉴,没有哪家公司会拿自己兜里的钱和自己的脸面不当回事。
中资企业:有人已行动 有人在观望
在中国,包含在GDPR“射程范围”内的企业大抵可分两派。一边是行动派,另一边是观望派,分界线是他们对GDPR“域外适用性”的判断和态度,即:GDPR能否管得到中国。
像海尔、华为等在欧洲有较大市场份额、并有意进军物联网的制造业领军者也早已雇请专门团队应对GDPR。华为在GDPR开闸的当日在官网上贴出公告称,其内部审计部门已完成了全面的技术和流程审视,确保相关业务遵从GDPR要求。不仅如此,华为所有业务单元也都设置有专职的隐私相关的角色和/或组织。根据GDPR的要求,该公司还任命了欧盟数据保护官。
阿里云则表示,已从平台、系统、产品、服务、合规、流程、政策等方面全面按GDPR的要求持续进行数据保护与相关服务改进,相关工作已准备就绪。阿里云尤其强调的是,该公司已为客户提供账号删除功能,全球客户都可以自助操作完成。
京东法律研究院甚至编撰了中国国内第一本GDPR专著:《欧盟数据宪章-GPDR评述及实务指引》。
一位中国知名互联网公司法务透露,该公司半年前就开始根据欧盟GDPR标准进行产品合规的改造与升级。“据我所知,中国其他一些大的互联网公司也是如此。” 从上述这些中国互联网巨头和GDPR“无缝连接”的操作中也不难看出,他们之前都下过不少功夫。
观望派的中资企业则对GDPR域外效力持保留态度,不过,这并不意味着他们“放松警惕”。
安杰律师事务所IT和数据业务合伙人杨洪泉受访时说,从其服务的涉欧企业来看,虽然大部分企业对GDPR的适用范围和违反GDPR可能导致的巨额罚款比较清楚,但仍有些企业对于GDPR的域外效力半信半疑,仍在观望。
另外,还有一些公司低估了业务合规改造的复杂度,所以没能在25日前完成改造。
当着GDPR的面 中企面临哪些挑战?
主导了GDPR立法的欧盟委员会委员维拉·朱洛娃(Věra Jourová)表示,中国与欧盟在对待隐私议题的立场上有较大不同,中国目前也尚未进入欧盟认定的“具有适当数据保护水平的国家”名单。但这并不是说GDPR就会对进军欧洲市场的中资企业手软,实际上正相反,在欧中企或将面临更大的挑战。
首先,一些中企对GDPR域外效力半信半疑的态度就已经显示出决策者对GDPR的理解不足了。
“有的公司理解不够,觉得我写个公告就完了,但事情并不是这么简单。”主要负责中资公司在英国业务的英国3HR律所董事李海巍说,这是个系统化的问题,先要找出在什么环节可能会遇到什么问题,再制定系统化的调整方案,然后要求IT部门执行,其后还要定期给相关人员做培训,是个需要调动各部门联动的任务,很复杂。
据李海巍介绍,大部分驻英中资公司是近三五年才到英国的,管理层的主要精力还在建立业务结构上,可以说在最忙时遇到GDPR,所以比较被动。
其次,一些中企仍然有侥幸心理。
有多年数据合规与跨境投资经验的律师冯坚坚表示,在GDPR执行中,中企“中奖”可能性很大。相比于欧盟内企业,中国企业相对缺乏GDPR合规意识,很多中国企业或是不知GDPR适用于自己,或是怀有侥幸心理。而在欧盟,自2016年4月GDPR通过以后,给了各方两年的缓冲期。欧盟内企业关于GDPR合规的意识普遍较强,甚至有不少企业已为GDPR付出了较大的财务、管理成本,削减了营业收入和营销手段。相比之下,中国企业的信息则相对滞后、行动相对迟缓。
在荷兰从事GDPR合规咨询的资深法律顾问陈红娟说,她目前接触的在欧中企对GDPR的态度普遍还不是很积极。“很多中国企业现在处于观望状态。GDPR开始执行了,到底严不严?特别是中小企业,不太想花这个合规的成本,如果真的有警告或罚款,就再开始重视。这其实是对风险没有正确的认识。”陈红娟说。
此外,GDPR有可能成为欧盟贸易保护主义的“新武器”。
欧盟境内近年也有贸易保护主义抬头的倾向,与中国出现过不少贸易摩擦。GDPR合规有可能会成为欧盟产业保护的新手段,一旦发现中国企业的不合规行为,会遭严惩。有咨询公司的调查表明,欧盟境外企业更可能在违规处罚中被“抓典型”。
还有两个容易被忽视的风险。
其一,就算尚未在欧盟境内设有机构,如果中国企业向欧盟境内的个人提供商品或服务(无论是否收费),涉及对个人数据的处理,也应适用于GDPR。
其二,GDPR管辖的范围包括了整条数据供应链,也就是说,哪怕是给在欧盟的公司提供下游服务,也属于被问责的范围内。
对此,欧盟数据保护法专家克里斯托弗·库纳(Christopher Kuner)也确认了这一点。他表示,GDPR将是一部重整全球数据秩序的法令,欧盟以外的公司也将从多个层面受到影响。由于GDPR规定了企业间数据交流的方式,一旦出现不合规的现象,数据供应链上下各方都会被问责。所以,为了避免风险,欧盟企业日后在选择境外合作伙伴时,也会将数据保护作为重要考量标准。当前在欧盟委员会甚至已经开始讨论,未来不排除限制欧盟与数据保护不过关的国家签订贸易协议的可能了。
陈红娟表示,实际上,业界对于GDPR的执行也有质疑。特别是不同的成员国可能有不同的力度。“但如果执行力度非常强的话,GDPR上的99个条款,每一条中国企业都可能踩坑。”
那么,中企要如何应对?
首先,越早准备越好。陈红娟表示,短期虽然会增加一定成本,但可帮企业避免风险、对长期的声誉也有好处。
其次,厘清行动思路。冯坚坚给出的步骤是先大致了解GDPR,自己进行初步评估,判断该企业是否适用GDPR。如果情况复杂、无法判断,可请外部机构调查确认。一旦确认适用GDPR,应开展相应工作。
閱讀更多 歐洲時報 的文章
