北京赛车pk拾计划软件:中国国际电子商务网,第一手的商务信息

当前位置 : 电商时政 > 网络生态 > 正文

欧盟GDPR正式生效 倒逼中国企业从源头建立用户数据安全体系

来源:南方都市报作者:2018-06-15 09:26:15
导读:凡是与欧盟有业务往来的中国企业都可能受到影响。一些行动较早的企业已经建立起相应的数据安全治理体系。但还有很多企业处于起步状态,只能先采用“打补丁”式的方法满足GDPR的基本要求。

北京赛车pk10定位单双 www.jqdrm.cn 通过6款APP隐私政策内容对比,值得注意的是,有4款APP均提到了未成年人?;さ奈侍?,其中YouTube有专门针对儿童的隐私声明。未成年人网络?;ぶ行慕衲?月发布的《未成年人网络?;けǜ妗废允?,鲜少有APP像YouTube这样提供单独的儿童隐私政策,且近两成平台缺乏相关的儿童信息?;ぬ蹩?。

据记者了解,GDPR的一大亮点在于增加了数据主体的权利,规定用户享有访问权、更正权、删除权、限制处理权、数据可携权和拒绝权等。其中备受争议的是删除权(又称被遗忘权)和数据可携权,前者允许数据主体在特定情形下,有权要求数据控制者立即清除相关的个人数据。而数据可携权是指,用户有权以结构化、通用、机器可读的格式获取个人信息副本,并移至其他数据控制者。

6款APP基本上都提到了GDPR里赋予用户的几大权利。以可携权和被遗忘权为例,领英称,用户有权访问和索取您的数据,要求提供和索取一份个人数据的副本,并承诺通??稍?0天注销账号。谷歌表示,用户可以随时从谷歌账号中导出和删除信息副本。

相比之下,爱彼迎在“数据访问与转移”说明中,较为谨慎,多了在某些司法管辖区的前提条件,称适用法律使得您有权要求获得个人信息副本。同时界定在技术可行的情况下,用户可要求将这些信息传输至其他服务商。

在删除信息方面,Facebook隐私政策新增说明,“我们存储数据,直至我们不再需要这些数据来提供服务和Facebook产品或直至用户的帐户被删除——— 以较早发生者为准?!盕acebook举例称,如果用户提交政府发放的身份证件的副本用于帐户验证,平台将在提交30天后删除该副本。

GDPR生效

5月25日,欧盟《一般数据?;ぬ趵?General Data Protection Regulation,以下简称GDPR)正式生效。由于这一“史上最严数据?;ぬ趵苯视梅段Ю┱沟健笆羧斯芟健?,凡是与欧盟有业务往来的中国企业都可能受到影响。据记者了解,一些行动较早的企业已经建立起相应的数据安全治理体系。但还有很多企业处于起步状态,只能先采用“打补丁”式的方法满足GDPR的基本要求。

挑战

“属人管辖”与巨额违规成本

GDPR的特殊之处在于,它的适用范围从“属地管辖”扩大到了“属人管辖”。按照GDPR的规定,只要一家企业满足以下两个条件之一,即受到管辖:(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。

这意味着,无论办公地址和服务器是否在欧盟境内,无论产品和服务是否收费,只要企业在提供产品和服务的过程中处理了欧盟境内个体的个人数据,或者对欧盟境内个人的活动实施了监控行为,就将落入GDPR管辖——— 在金融、制造等传统领域和社交、电商、云计算等新兴领域,符合条件的中国企业都绝不在少数。相较于国内的网络安全法等,GDPR的规定更加具体,明确了处罚违规企业的分类办法。如果发生最为严重的侵犯个人信息安全的行为,例如,没有充分获得用户同意就处理数据,或者核心理念违反“隐私设计”要求,相关企业就可能面临高达其全球年营业额的4%或2000万欧元(以较大者为准)的行政???。

全球年营业额的4%是什么概念?以《财富》杂志“世界500强排行榜”的数据作为参考,2016年排名第一的沃尔玛营业收入达4858亿美元,排名第二的国家电网营业收入为3151亿美元,它们的4%分别约为194亿美元和126亿美元。对企业来说,这样的巨额??钗抟墒恰安荒艹惺苤亍?。

而对于那些正在积极“出?!?,力图实现国际化愿景的中国企业而言,违反GDPR的代价远不止在财务层面?!捌笠底畲蟮姆缦帐鞘ヅ分奘谐∽既牖岷陀没У男湃??!庇幸的谌耸勘硎?。

应对

从结构到技术,调整企业数据治理体系

从2016年4月27日GDPR获得通过到今天正式实施,短短两年时间,动作快的企业已经投入了大量的时间精力?!按车陌踩卫砜蚣苡牖チ笠档哪J酱嬖谝欢ǖ某逋?,企业要在安全治理和快速发展之间找到平衡点?!毙∶紫喙馗涸鹑送嘎?,小米对GDPR及欧盟各国隐私法规的调研始于2016年,同时启动了全球数据中心部署项目。2018年初小米聘请第三方咨询公司针对GDPR做了对标检查,并修正了对标过程中发现的问题。

按照GDPR的规定,掌握用户个人数据的企业,即“数据控制者”,要履行极为细致的义务,比如默认隐私?;?、数据?;び跋炱拦?、设置数据?;す?Data Protection Office,简称DPO)等。小米据此梳理了各业务场景的个人数据流向,设置各项公司内部机制,以保障用户权利实现。

对企业而言,挑战之一在于GDPR规定的“72小时内报告数据泄露事件”。小米相关负责人称,“72小时”在实践中是非常高的标准,为了实现这一点,企业要建立完善的数据监控机制,实时发现内部违规操作和外部入侵行为。同时,企业应当提升公司内部的安全意识,完善数据泄露发现、核查和报告的流程。

几乎与小米同时,2015年上线欧盟配送业务的顺丰也开始行动。据顺丰介绍,GDPR刚获通过,法务部门就联手信息安全、业务部门制定实施方案。去年11月,各部门联动落地方案正式实施。目前,顺丰为欧盟消费者和欧洲员工分别制定了相应的隐私政策,并在A PP下单等信息收集页面为欧盟消费者接收营销信息设置了单独的勾选项。

在顺丰相关负责人看来,各部门联动,是GDPR合规过程中的一大难点?!癎DPR的要求多且复杂,需要欧盟律师协助梳理业务模式后确定改进措施。而数据的收集、处理各个环节涉及多个部门,为了提高工作效率,集团将此项工作作为专项开展,通过例会跟进?!彼撤嵯喙馗涸鹑私樯?,专项工作前后调动了公司法务、信息安全、IT、营运、市场、人力资源等多个部门的上百名员工。

他说,履行GDPR规定的具体义务时,顺丰最大的挑战是个人数据的匿名化。在技术层面,数据匿名化处理导致系统的实现逻辑发生变化,某些系统的逻辑复杂度和耦合度提高。在业务操作层面,要增加一定的设备辅助操作程序。为避免业务流程变更对一线快递员的效率影响,企业须投入大量人力,循序渐进地推广。

难点

仍有很多企业处于“打补丁”阶段

值得注意的是,GDPR引入了从设计着手?;ひ?privacybydesign)和默认?;ひ?privacybydefault)两项原则,要求各类组织机构在产品和服务的初始设计阶段以及整个过程中,都将数据与隐私?;た悸窃谀?。有业界人士认为,像小米和顺丰这样从源头调整内部的数据治理体系,才是根本的合规之道。

但事实上,并非所有企业都具备这样的能力。在隐私?;し矫?,小米和顺丰都属于“内功深厚”型选手:小米自视是“数据驱动的互联网公司”,很早就设置隐私委员会(类似于GDPR要求的DPO),2014年进入国际市场时成为中国第一家取得国际TRUSTe隐私认证的企业。顺丰此前也已建立起非常完善的数据?;ぷ橹芄购图际醮胧?,针对GDPR的合规措施更多是原有措施的进一步细化。

中国大多数企业没有类似的基础。传统大企业更是受制于自身的组织架构与业务规模,难以快速建立起由上到下的隐私?;ぬ逑?。它们只能对照GDPR的条款要求,逐一采取应对措施,如数据流向的梳理,隐私政策的修订和补充等———就像打补丁,哪里有缺口就在哪里补上。

“GDPR其实是关于数据隐私的,这就意味着在谈到隐私?;の侍馐?,大家一直依赖的传统加密和基于角色的访问控制策略都不再足够。相应的,各家企业要衡量分析型的收益与守法的支出之间的关系?!泵拦莨綢mmuta的首席技术官Steve Touw接受媒体采访时如是说。

Touw提到的收益和支出的关系,也是很多中国企业缺乏体系建设动力的原因。守法需要成本,而企业都是逐利的。GDPR尚未开始实施,某些具体要求尚不明确,也无相关案例可供参考。因此,部分企业仍抱有侥幸心理,一边“打补丁”一边观望事态进展。

有分析人士指出,有效实施隐私策略需要强大、多构面的隐私组织,且隐私组织需要与业务单位合作完成数据的?;?、管理和利用。要让公司从上到下都认识到隐私?;さ闹匾杂氡匾?,在意识上首先进行转型,其实是最难的。

影响

GDPR倒逼中国企业更重视隐私安全

可以确定的是,GDPR的影响迟早会来,中国企业无法完全规避。为了更好地开拓欧盟市场、赢得欧盟用户的信任,中国企业应及时审视现有的商业操作。

工信部赛迪智库网络安全研究所助理研究员魏书音判断,未来,C 2C模式下的电子支付、电子商务,以及云服务、区块链、大数据征信等场景,将更加紧密地涉及用户个人数据的收集、控制、处理及利用。在GDPR的监管下,企业面临维护用户隐私与充分发挥数据价值、寻求商业利益之间的平衡难题。

“企业需要培养个人信息安全?;さ恼铰砸馐??!蔽菏橐艚ㄒ槠笠蛋咽莅踩魑加惺谐『驮銮坑没д承缘恼铰跃俅?,融入业务发展的各个环节,“同步设计、同步建设、同步更新,变被动为主动?!?/p>

顺丰相关负责人认为,GDPR将使企业更重视用户的隐私安全,更尊重用户的选择?!凹际醴矫?,能促使企业提高数据?;つ芰σ苑婪缎畔⑵苹?、泄露,用技术手段?;び没б?。合规治理方面,能促使企业提高合规管理水平,如制定和完善相关合规措施、开展员工培训等?!彼?。

小米相关负责人则表示,GDPR为所有企业制定了更高的标准,为行业的发展设定了隐私底线,为公平竞争提供了外部环境。小米会抓住隐私高标准的契机,努力为用户提供更好的产品和服务。

“这里可以打个比方,任何汽车都有油门和刹车,我们买汽车是为了开车,刹车却是为了减速,然而不会有人说一辆汽车只要油门就够了。没有规范的互联网发展与失控的汽车没有两样,而GDPR就像是一辆汽车的刹车装置。对互联网企业进行规范的目的,是为了使其更好发展,无论是在国内还是国外,规范管理与加快发展都不构成矛盾?!敝泄畔踩芯吭焊痹撼ぷ笙八?。

热门标签
微信扫一扫
关注EC官微
  • 蓝天保卫战强化督查:发现涉气环境问题187个 2019-02-15
  • 赵旭日为C罗颁发MVP:他挺强的 但我更看好梅西捧杯 2019-02-15
  • 国家邮政局局长马军胜:今年将实现寄递实名制全覆盖 2019-02-14
  • 共产党人要念好马克思主义“真经”(人民要论) 2019-02-14
  • 21岁女子沙井村帮男友取"包裹" 没想到刚拿到手就被抓了男友包裹-西安新闻 2019-02-13
  • 【健康提示】吃海鲜、烧烤小心寄生虫感染——食品安全频道——黄河新闻网 2019-02-12
  • 朝鲜官媒公开朝美峰会纪录片 大量画面首次曝光 2019-02-11
  • 【华商侃车NO.193】网约车不再是你想开就能开的了 2019-02-10
  • Monopoly practices may backfire on Chinas mobile economy 2019-02-10
  • 主持人资料库——朱迅 2019-02-09
  • 孙月亮的专栏作者中国国家地理网 2019-02-08
  • 都昌一代课教师无证上岗体罚学生? 县教体局称将辞退 2019-02-08
  • 美国MSNBC网站2010年震撼大片 2019-02-07
  • 地球上最后一片净土也沦陷?塑料污染到达南极洲 2019-02-06
  • 第一发布--河北频道--人民网 2019-02-05
  • 456| 608| 891| 347| 214| 346| 195| 326| 360| 378|