解读欧盟的合规要求:通用数据保护条例GDPR 违者或最高两千万欧元罚金

未达到欧盟《通用数据保护条例》(GDPR)要求的公司会面临罚款,然而许多在欧洲开展业务的美国公司却仍未做好准备,眼看要错过最后期限。事已如此,如何迎头赶上呢?

欧盟一般数据保护条例GDPR将在2018年5月25日生效

欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR,以下简称《条例》)将在2018年5月25日正式生效。考虑《条例》所作出的一系列的重大制度改革,2年过渡期并不是那么宽裕。为踏上数字时代新秩序的起跑线,全球企业都在积极准备。合规不仅因为高昂的处罚而攸关企业生死线,更决定了如何合法地应用新技术、业务创新来获取基于个人数据的巨大价值。本文全面梳理《条例》带来的重大变化,既为企业参考,也为我国政府考虑大数据背景下的数据保护规则提供新视角。

Ayla Networks安全隐私官表示,因公司产品和业务也因此法规,而加强了合规特性的梳理和开发:

通用数据保护法规(GDPR),自2018年5月25日起生效。预先警告,违反全球数据保护法规的罚款是巨大的,而且不能用对该法规的无知作为辩护。
 

GDPR的目的是什么?

Payne:GDPR的目的是:在当今快速的技术变化中,加强对欧盟所有人的隐私权保护,物联网的隐私权保护,并且简化数据保护的管理。GDPR替换了1995年的欧盟数据保护指令 – 这个指令只提供了指导而不是可执行的规定;各个欧盟成员国也用了不同的方式去执行这个指令。

GDPR的重点有以下几点:

  • · 加强个人权利,为个人提供更多的对自己信息的控制权
  • · 加强欧盟内部的隐私和安全法律
  • · 如果一个实体要向第三方传递个人身份信息,必须要提供对该信息的“充分保护”,至少要像该数据保留在欧盟境内一样强

哪些公司会受新的欧盟数据隐私法规的管辖?

Payne:任何机构,如果收集、传输、保留或处理涉及到欧盟任何人的个人信息 – 其中可能包括姓名、电邮地址、计算机IP地址、照片、社交媒体帖子、医疗信息或财务信息 – 就必须遵守GDPR。该法规不会考虑机构的地理位置,或者个人身份信息是否关系到个人隐私、专业水平或公共生活。

GDPR涵盖了数据的任何“控制者”和“处理者”。

如果企业不遵守GDPR,会发生什么?

Payne:不遵守新的数据隐私法规的后果就是严厉的制裁、巨额的罚款。GDPR规定了两层罚款:

  • · 高达两千万欧元,或全球年度全入的4%,两者中比较高的数额
  • · 高达一千万欧元,或全球年度收入的2%,两者中比较高的数额

制裁的严重程度是基于:

  • · 违规的性质、严重程度和违规的持续时间
  • · 违规是故意的还是因疏忽而造成的
  • · 对个人身份信息的责任心和控制程度
  • · 违规是单个事件还是重复事件
  • · 受到影响的个人资料的种类
  • · 个人遭遇损害的程度
  • · 为了减轻损害而采取的行动
  • · 由违规产生的财务预期或收益

RSA 2017及Gartner 2017峰会都反复提到GDPR

在这个充斥着流行热词的行业,GDPR符合所有的热词特征。缩略词?是;专家很多?是;出现在展会上的营销横幅上?确定无疑。谣传、炒作和误解无法掩盖这是一个重大法规的事实,它将会促使在欧洲经营业务的组织在数据保护方面做出改变。

GDPR将于2018年5月25日全面实施,是对现有1995年欧盟指令(95/46/c)的重大更新。它为28个欧盟成员国统一了数据保护要求,使各国无需为此各自立法。吸引人们眼球的当属高达2000万欧元(或年度总营业额的4%)的数据泄露罚款以及强制安全通知、用户许可方面的新规、个人数据(如IP地址)的更明晰定义、更多的用户权限(访问或要求删除公司所持信息)等。

这样,GDPR已不仅仅是IT范围内的法规,还涉及到诸如销售和营销之类的领域。其复杂性导致了各种误解。例如,人们普遍认为,许可无论何时必须明示,4%的罚金针对各种数据泄露(其实不然),必须指定数据保护官DPO(设置DPO角色多是为了处理“特殊数据类型”)。数据处理者和控制者的角色含糊不清(2015年针对谷歌的颇有争议的西班牙法庭判决也并未厘清这两个概念)也是一个令人头痛的问题,尤其是对于云中存储的数据来说。

这种混乱导致了如下后果:WatchGuard近期所作研究表明,全球三分之一的组织不确定自己是否需要遵从GDPR。其他类似研究也发现,大量美国公司认为其不受该法规影响(在处理欧盟个人数据时会有影响)。在7月份举行的一次会议上,一位发言人透露,四家FTSE(英国富时指数)100公司对于GDPR合规问题尚未有任何动作,说明对于未知的恐惧可能会阻止这一合规进程。

不过,现实是GDPR与现有数据保护条例并没有太大区别,问题是各组织对这些条例也并没有做好充分准备。品诚梅森律师事务所(Pinsent Masons)的首席信息安全官Christian Toon表示,

“对于GDPR,大家感到震惊的是,公司甚至没有遵从现有的数据保护法律,许多公司在合规问题上畏缩不前,因为‘合规’很难定义。此外,他们相信,清晰的行动计划就足以应付监管机构。”

Network Rail的数据保护官Jon Baines也认为,GDPR和之前法规并无太大区别。

“GDPR是数据保护法的更新,而非革命。与1995年的指令相比,围绕公平性、透明度、限制用途、最小化数据和安全性的大多数核心原则并没有发生太大变化。”

不过,Baines注意到,GDPR的确有一些关键变化,以“使人们更好地控制自己的个人数据”,同时还“引入了一些欧盟统一法则,以实现单一数字市场(Digital Single Market)。也就是说,数据主体有权简化自己的数据访问,有权移植数据(在不同的服务提供商之间传输数据),还有更明确的‘被遗忘权’(须按用户请求删除数据,除非法律要求保留数据),再加上个人数据遭受严重泄露后的知情权。”

Baines补充说,

“现在,企业需要遵守适用于欧盟各国的通用法规,这些规定要求在处理个人数据时采用基于风险的方法。加强了问责与透明方面的要求,企业须接受如‘设计中考虑且默认进行数据保护’这样的提法,在严重违反数据保护法时,还会面临比现在高得多的罚款。”

为GDPR做好准备:企业现状

企业目前对于GDPR的准备如何?在伦敦举行的RANT大会上,对首席信息安全官和隐私专家作了投票调查,结果显示,几乎无一表示做好了准备。不过,Baines认为,这与“准备好”的定义有关。毕竟,条例规定了公司须提供“合理”水平的保护。“若是指‘能够依据GDPR尊重人们的权利,且能够应对合规与合法挑战’,则数字要[比报道的]高很多。”

然而,有些公司已经在有条不紊地进行合规方面的工作,Toon就表示,品诚梅森正着手此事。

“与很多公司一样,我们对于实施控制采取了基于风险的方法;确定数据所在位置以及如何对其进行保护,确保我们的供应链符合新规。”

支付公司Vocalink的首席信息安全官Gilbert Verdian也介绍了公司在遵从欧盟法规方面所做的努力,但同时他也承认,公司的个人身份信息(PII)仅限于HR系统中的员工信息。

“我们成立了跨部门团队,了解新法规的覆盖范围,评估了现有流程和控制措施,发现差距,再着手缩小差距。我们还实现了跨系统自动识别、搜索数据库的机制,将其与数据分类技术(这种技术基于数据保密性对数据进行标记)结合,最后再与数据泄露防护控制措施联动,仅允许特定类型的数据在网络间传输。”

Verdian称,Vocalink的法务、运营和安全团队联合制定了公司的GDPR战略,基于欧盟条例分析了公司环境,拟定了弥补差距的线路图。

其他组织已主动采用了这一条例。英国的劳埃德银行集团在对营销出版物The Drum的近期访谈中谈到了GDPR开辟了数字营销的新视角,即以客户为中心。O2通信公司的首席信息官称GDPR提供了“赢得客户信任的机会”。英国的连锁酒吧Weatherspoon采取了更为严厉的措施,删除了整个客户邮件数据库,称这样做是为了遵守欧盟新条例。

尽管GDPR会使组织忧虑重重,但也可带来正面效益,如提升数据管理和用户忠诚度。Baines称,

“其中一个明显的正面影响是提升信息管理,采用隐私设计理念,若精心筹划产品和服务营销,可取得商业上的成功。”

……采用隐私设计理念,若精心筹划产品和服务营销,可取得商业上的成功。

— Jon Baines

然而,这种做法实际上并不普遍。大多数组织都非常落伍,只是刚任命数据保护官和成立指导委员会,正努力安排会议室。其他组织则在信息审计方面进度缓慢,一般正在整个公司范围内培养信息安全意识。在RANT上,Ticketmaster的信息安全主管Nick Green呼吁公司成立GDPR团队,但很多公司仍不清楚哪些人应该负责这一事务。

或许,担忧从中作梗,尤其是对数据外泄罚款和“被遗忘权”方面的忧虑,这对于Google等巨头公司来说是一场后勤梦魇。Toon和Verdian称,公司不应过于担心罚款问题,特别是因为数据保护机构,如ICO几乎没有资源或无意开出大额罚款。Verdian称,“我们几乎未听闻过巨额罚款。”。

“公司真正关注的应是罚款之外的其他惩罚,如联系近几年的每个客户并知会他们,或引入其他需求或措施为每个受害人提供修复(例如,对每个客户的信用评分进行监控)。”

若您在特定时间段内未满足这些需求或可面临额外惩罚。他说,“这些惩罚可能会为组织带来巨大的行政负担,使组织付出的代价要比罚款大的多。”。此外,他还进一步强调说,这还会使组织员工无法集中精力提升企业效益和创新。

同样,Toon也对72小时的强制安全时间满不在乎。这可能让人有点儿意外,因为大多数组织在数月内也无法调查清楚网络中的外泄事件。GDPR要求必须在特定时间内将对人们的数据的“损坏、损失、修改、未经授权的披露或访问”上报至国家的监管部门。“很明显,在72小时内上报事件并不困难,这主要是对所发生的事件向监管部门进行粗略描述,并非提交具体的诊断说明和报告。分享你获得的事件信息、对进一步调查的计划、事件分级以及预期时间安排。”

其他专家也对该条例的影响进行了研究。Burberry最新离职的信息安全主管John Meakin表示,向监管人员反馈是实现透明,避免高额罚款的关键所在。

公司如何加速实施GDPR行动计划

Baines建议组织与数据保护官及其团队密切合作。若组织未任命数据保护官,首席信息安全官和首席信息官应尽力说服董事会设置这一职位,让其明白“数据保护不是且也不应只是信息安全主管的职责。”

Toon建议组织采用一些“经过验证的可靠”建议,委托专人或团队管理GDPR所有相关事务,包括从提供公司范围的培训到确保供应链当前为最新状态(建议更新合同)。他表示,这些工作的核心是完善的数据管理。他说,“弄清您拥有的个人数据及其存储位置和获取方式。删除不需要的数据。”此外,他补充道,任命数据保护官是比较可取的做法。

Verdian认为组织必须了解数据类型、存储位置以及使用方法,然后与该条例的要求进行比较。“整个组织范围均应符合该条例的要求。利用隐私影响评估等工具将隐私保护纳入项目和计划,从而了解每个活动的风险。”

发表评论