主办单位:中国贸易报社

第A7版:代言工商 上一版3  4下一版
第A7版            代言工商
 
今日关注

2018年6月28日 星期    返回版面目录

放大 缩小 默认        

史上最严数据保护法生效一月有余

数据标准化建设是一场持久战

来源:中国贸易报  作者:本报记者 钱颜

5月25日,《欧盟通用数据保护条例》(GDPR)正式生效。“GDPR的影响不仅限于欧洲市场。作为史上最严厉的数据保护法,GDPR具有强监管性和法律合规性,将对全球市场的数据标准化建设产生重要影响。”在日前举办的GDPR对中国企业影响研讨会上,司力达律师事务所香港办事处法律顾问凯文·沃伯顿(Kevin Warburton)表示,GDPR赋予数据主体享有数据的知情权、查阅权、纠正权、删除权和数据转移权等多项权利。这将要求企业从根本上改变运营、处理风险和管理数据的方式。

凯文·沃伯顿举例说,原本某中国境内零售商的英文网站可以从欧盟境内访问,客户可以通过该网站直接下订单。而GDPR生效后,网站须采用人民币作为计价币种,地址栏只允许填写中国境内的地址。

据了解,GDPR的适用范围包括在欧盟境内设有机构的企业、向欧盟境内个人提供商品/服务的企业、监测欧盟境内个人行为的企业,以及代表受GDPR管辖的控制者处理个人数据的企业和存在国际数据传输行为的企业。

司力达律师事务所伦敦办事处合伙人兼数据保护及隐私业务联席负责人丽贝卡(Rebecca Cousin)指出,GDPR要求企业有专门的数据处理活动清单、政策和记录,需要聘用数据保护专员来充当监管机构与个人的联络人,协助数据控制者遵守其义务,处理数据泄露等相关问题。

在君合律师事务所合伙人董潇看来,关于如何规范使用数据,要考虑以下问题。企业利用的是哪些数据?这些数据何时、何地、被哪些主体收集和使用?数据是怎样被收集、使用、转移、删除的?对公民个人的影响是什么?是否有可能性/如何在保护个人权利的情况下利用大数据?

应对GDPR,企业应避免中式思维。“GDPR与国内实施的《网络安全法》不同,主要区别在于GDPR强调了数据可携权、被遗忘权和反对自动化决策权。”董潇认为,这些权利规定给中企经营带来挑战,增加了企业内部制度维护成本和外部监督成本。数据治理与隐私保护的合规是一场持久战,在GDPR背景下,企业急需高风险项目进行重新考量与取舍,增强企业的数据分析和建模等技术能力。

除了挑战之外,GDPR也给合规企业带来机遇。“GDPR有利于合规企业间数据的顺畅流动,也可以激励企业保护数据、完成内部重塑,将合规数据转化为企业的核心资产。企业自身能力提升后,可以免受黑客攻击、增加用户信赖、提升企业品牌价值。到时,腾讯与华为,hiQ与LinkedIn的数据之争将不复存在。”董潇说。

据了解,为遵循GDPR,避免财富和名誉的损失,各大企业已开始着手应对。如微软发布GDPR指南及专门管理工具,帮助企业用户理解自身合规风险并加以改进。Google更新了《欧盟地区用户意见征求政策》,以体现GDPR的各项新要求。华为任命了欧盟数据保护官,建立个人数据清单,完善隐私政策。阿里云规定,所有新发布的云产品上线之前,须通过“安全+隐私设计”双重评估确保其合规性。同时为全球客户提供账号删除功能,必要时,客户可以自主操作完成账号删除。

董潇认为,企业进行合规工作应分三步走:一是聘用专业机构协助企业搭建合规体系。专业机构通过了解企业定位和现状、发现企业问题和不足,指导企业找出合规差距,帮助企业规避未来法律风险。

二是完善内部数据治理制度。完成数据梳理、落实隐私政策、建立数据保护流程和问责机制,定期进行隐私影响评估、合规评估。

三是提高数据安全和隐私保护水平。将完善后的技术落地,定期进行员工培训,增强企业从上到下的数据安全和隐私保护意识。

关于我们 | 报纸征订 | 投稿方式 | 版权声明
主办单位:中国贸易报社 | 通讯地址:北京市三元西桥中国贸易报社