4月27日訊 超過半數(shù)新加坡、日本與韓國企業(yè)表示,擔心其無法在2018年5月25日這一最后期限之前滿足 GDPR(《一般性數(shù)據(jù)保護條例》)合規(guī)要求,他們表示對于即將出臺的歐盟數(shù)據(jù)隱私法案表示尚未做好準備,而四分之一的澳大利亞與美國企業(yè)則表示企業(yè)有可能因此進行大規(guī)模裁員。
目前距離將于2018年5月25日正式生效的《一般性數(shù)據(jù)保護條例(簡稱GDPR)》還有一年時間,而56%的新加坡企業(yè)表示其擔心無法在截止日期之前滿足條例中提出的各項要求。
根據(jù)由Veritas Technologies公司委托Vanson Bourne進行的一項調(diào)查表示,表達同一擔憂的日本與韓國企業(yè)比例更是高達60%,這意味著在數(shù)據(jù)保護上這兩國的企業(yè)在全球范圍內(nèi)已經(jīng)處于落后地位。
該研究調(diào)查涵蓋900位企業(yè)決策者,分別來自德國、法國與英國在內(nèi)的八大市場。除美國有200名受訪者以外,其它各國市場受訪者數(shù)量為100位。這些受訪者均擁有至少1000名員工的企業(yè),且這些企業(yè)因與歐盟存在商業(yè)往來而持有歐盟居民個人資料。
就全球范圍來看,86%的受訪者擔心其可能因無法滿足GDPR合規(guī)性要求而導致自身業(yè)務遭遇重大負面影響,有近20%的企業(yè)認為這將造成毀滅性。澳大利亞與美國企業(yè)普遍持后一種擔憂,甚至這其中近25%受訪者擔心合規(guī)性問題可能導致其徹底退出歐洲市場。
《一般性數(shù)據(jù)保護條例(簡稱GDPR)》對企業(yè)有什么要求?
這項新的隱私法案指出,歐盟5億公民將有權將其數(shù)據(jù)在不同供應商之間往來遷移,要求對應企業(yè)停止對其數(shù)據(jù)進行配置并擁有“被遺忘權”。如果有違隱私法要求,相關企業(yè)將面臨高達其全球年營收4%的巨額罰款或者2000萬歐元(折合1.5億人民幣)罰款,且以數(shù)額較大者為準。
其中指定的個人資料包括信用卡、銀行以及醫(yī)療信息,這意味著任何向歐盟居民提供商品及服務或者對消費者行為進行監(jiān)控(例如在線購物習慣)的全球性企業(yè)皆將受到GDPR的約束。
亞太90%的企業(yè)都不清楚歐盟GDPR數(shù)據(jù)保護條例 恐遭巨額罰款!-E安全
Veritas公司執(zhí)行副總裁兼首席產(chǎn)品官邁克·帕爾默(Mike Palmer)指出,“距離GDPR正式生效已經(jīng)只有一年多的時間,但世界范圍內(nèi)相當一部分企業(yè)仍對此采取‘并不在意’的態(tài)度。無論您的企業(yè)是否處于歐盟境內(nèi),只要在該地區(qū)范圍中開展業(yè)務,您即會受到該項法案的約束。”
帕爾默同時警告稱,“如果不作出反應,則會導致企業(yè)的業(yè)務、品牌聲譽以及生存能力遭遇重大危機。”
E安全小編重點介紹GDPR的幾個特點:
一、法律適用范圍廣
依《歐盟數(shù)據(jù)保護條例》第三條第一款規(guī)定, 只要數(shù)據(jù)控制人或數(shù)據(jù)使用人在歐盟境內(nèi)設有辦公地點,且對個人信息的收集和使用屬于該機構的業(yè)務活動范圍,無論收集和使用行為是否發(fā)生在歐盟境內(nèi),該數(shù)據(jù)控制人或數(shù)據(jù)使用人都應遵守《歐盟數(shù)據(jù)保護條例》。對辦公地點應做廣義理解,只要有效地、實際地收集和使用了個人信息,只有一個工作人員的中國駐歐辦公室便足以構成辦公地點。
除此之外,該條第二款規(guī)定在兩種特殊情形下,只要數(shù)據(jù)控制人或使用人收集或使用了歐盟境內(nèi)數(shù)據(jù)主體的個人信息,即使其并未在歐盟境內(nèi)設有辦公地點也要遵守《歐盟數(shù)據(jù)保護條例》。這兩種特殊情形包括:
1、向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務,無論有償無償;
2、監(jiān)控數(shù)據(jù)主體在歐盟境內(nèi)的行為。該條規(guī)定是本次歐盟數(shù)據(jù)保護立法改革的亮點之一,對進軍歐盟的中國企業(yè),特別是互聯(lián)網(wǎng)企業(yè)來說意義重大。
二、個人信息概念寬泛
《歐盟數(shù)據(jù)保護條例》第四條規(guī)定,已經(jīng)或者能夠通過直接或間接的方式識別自然人的信息為個人信息。該條例對個人信息進行了寬泛地解釋。
不僅用戶提供的交易信息如銀行賬號、地址和聯(lián)系方式等屬于個人信息,某些網(wǎng)絡數(shù)據(jù)也可以被認定為個人信息,例如IP地址。
在判定某一數(shù)據(jù)是否能夠識別自然人時,要將合理范圍內(nèi)所有可以采用的技術、非技術手段,以及該數(shù)據(jù)和數(shù)據(jù)控制人或使用人持有的其他信息之間的關系等因素都考慮進去。對于特殊類別的個人信息,比如遺傳數(shù)據(jù)和生物特征數(shù)據(jù),《歐盟數(shù)據(jù)保護條例》規(guī)定了更嚴格的保護措施。
三、數(shù)據(jù)管理者(data controller)或數(shù)據(jù)處理者(data processor)法律義務重
《歐盟數(shù)據(jù)保護條例》為個人信息的收集和使用規(guī)定了合法、公平和透明原則、目的限制原則、數(shù)據(jù)最少化原則、準確性原則、存儲限制原則、完整和保密原則以及責任原則。并賦予數(shù)據(jù)主體包括獲取信息權、修正錯誤信息權、信息移動權、遺忘權、限制信息使用權、限制程序分析權等在內(nèi)的多項權利。數(shù)據(jù)控制人或數(shù)據(jù)使用人有義務遵守各項原則并保證數(shù)據(jù)主體實現(xiàn)相應的權利。
此外,數(shù)據(jù)控制人或數(shù)據(jù)使用人還要積極采取技術措施、進行隱私影響評估、指定數(shù)據(jù)保護聯(lián)絡人、遵守個人信息泄露后的通知義務,從技術上和管理上降低隱私侵權風險及隱私侵權給數(shù)據(jù)主體帶來的損害。
四、懲罰力度大
《歐盟數(shù)據(jù)保護條例》第八十三條對不同的違法行為設定了不同的罰款標準。例如:
1、對未采取技術或管理措施來避免、降低隱私侵權損害的數(shù)據(jù)控制人或使用人,最高可處以10,000,000歐元或全球營業(yè)額的2%(以較高者為準)作為罰款。
2、對違反個人信息收集和使用的基本原則以及沒有保障數(shù)據(jù)主體權利的數(shù)據(jù)控制人或使用人,最高可處以20,000,000歐元或全球營業(yè)額的4%(以較高者為準)作為罰款。
3、除監(jiān)管機構外,數(shù)據(jù)主體還可尋求司法救濟并有權獲得賠償。
亞太90%的企業(yè)都不清楚歐盟GDPR數(shù)據(jù)保護條例 恐遭巨額罰款!-E安全
數(shù)據(jù)查找與識別是企業(yè)滿足GDPR要求的一大難題
著眼于全球范圍,Veritas研究中47%的受訪者不確定其能夠在2018年5月25日前滿足相關合規(guī)性要求,而31%的受訪者則表示其所在企業(yè)已經(jīng)為GDPR制度做好了準備。預計為了滿足相關合規(guī)要求,企業(yè)至少需要花費140萬美元用于各項調(diào)整舉措。
澳大利亞方面亦非常關心由此項合規(guī)要求引發(fā)的裁員問題。澳大利亞企業(yè)中有30%對這一潛在影響表示擔憂,美國與韓國的比例則分別為26%與23%。
韓國與日本另有21%的受訪者關注相關違規(guī)報告在消費者群體中造成的不良影響,新加坡的這一比例則為20%。
全球范圍內(nèi):
32%的受訪者擔心其現(xiàn)有系統(tǒng)無法有效管理相關數(shù)據(jù),并有可能影響到其搜索、發(fā)現(xiàn)并審計信息以確保符合GDPR相關要求的能力;
39%的受訪者表示,他們不具備按照該項隱私法案提出的、及時提供數(shù)據(jù)副本或者在30天內(nèi)刪除數(shù)據(jù)所必需的相關數(shù)據(jù)準確識別與查找能力。
這項研究結果與載體公司2016年10月進行的一項類似調(diào)查基本吻合。戴爾方面發(fā)現(xiàn)另一個問題值得注意,90%的亞太地區(qū)企業(yè)對于GDPR知之甚少:
僅有7%的受訪者針對這一新法律進行籌備;
85%的企業(yè)并不了解其現(xiàn)有運營方式是否會因與GDPR相關數(shù)據(jù)隱私政策要求相沖突而承擔罰款;
95%的受訪者認為,其所在企業(yè)的現(xiàn)行做法可能并不符合新的立法要求。