德勤谈GDPR:三项特殊权利导致国内企业面临空前难题

蓝河 安在 2018-06-06


文 | 蓝河

编辑 | 图图


为了帮助企业更好地了解并应对业已颁布并生效的GDPR,安在(AnZer_SH)此前通过采访业界专家和法律专家,分别从技术创新和法律层面对GDPR相关议题进行解读,以其给大家不同视角的解决思路。


近日,德勤也通过五大步骤来支招中国企业应对GDPR,安在为此专门与德勤中国风险咨询合伙人施建俊进行了一次访谈。站在咨询公司帮助企业合规的角度,来看GDPR到底还有哪些雷区,还会在未来给中国企业带来怎样的挑战。


人物介绍


施建俊 德勤中国风险咨询合伙人


GDPR区别于以往的法律提出了哪些特殊的要求?


德勤中国风险咨询合伙人 施建俊:GDPR提出了八项要求来强调欧盟公民隐私方面的权利,这其中与国内《网络安全法》区别最大的有三项权利,分别是“可遗忘权”、“数据的可携带性”以及“针对算法的自动决策”。


首先,关于个人信息的可遗忘权,要求企业在系统或组织内,根据欧洲公民的需求,把个人信息通过技术手段来实现“忘掉”。这个“忘掉”不一定是物理上删除,也可以通过去标识化、去匿名化等手段,保证用户在行使权力的时候,感受到自己隐私的痕迹不会被使用和暴露。《网络安全法》在过去没有明确提出遗忘权的概念,这对企业内部的信息系统和数据管理等方面提出了巨大的挑战。


其次,数据的可携带性要求企业必须把其平台上和用户个人信息相关的所有数据打包,按照可读的方式提供给用户,通过这种方式告诉用户企业在平台上搜集和存储了用户的哪些个人信息。数据的可携带性和可遗忘权是相互关联的,因为这两种权利都要求了企业要非常完整地了解自己掌握了哪些用户个人信息,包括信息的数量、类型、存储位置、应用的场景等,在用户提出索求时能够准确、及时地提供。


最后,针对所谓的利用算法来进行自动决策,其实是赋予了欧洲公民可以拒绝企业利用搜集到的个人信息来进行自动判断和决策的权利。这种拒绝权利可能会导致企业不能利用个性化的个人信息和行为来进行客户画像和自动推荐等。最近还有相关新闻报道未来可能会出台更加严厉的法规来规定这方面的行为,这给很多强调用户体验和个性化服务的大数据企业和互联网企业带来了商业模式上的冲击。


这三项权利是GDPR关于用于隐私保护八项权利中与《网络安全法》区别最大,也是对现有企业系统架构、作业流程和业务模式都会产生巨大影响的核心难题。


针对这三项特殊的要求,企业在应对上目前有哪些难点?


德勤中国风险咨询合伙人 施建俊:围绕这三项关于用户隐私保护的特殊权利,要求企业必须对其所搜集和掌握的个人信息有一个清晰的脉络图。企业必须花力气盘点清楚自己到底搜集了哪些信息,有什么样的应用场景,信息会被存放在哪里,有谁能够接触到,并有可能进行怎样的分析处理,会不会存在数据跨境传输等问题,并且及时维护好该信息清册。这是GDPR里明确要求的,而且维护成本远比想象中要高得多。


再有一个难点就是,GDPR要求企业在发现个人信息泄露问题后,必须要在规定时间内(根据问题性质不同有不同时限要求,一般不超过72时)上报监管机构。这意味着企业在发现问题后,要在的时间内很短内完成安全事件的调查,并向所归属的监管机构报告。这对企业的安全事件管理流程,包括事件侦测、损害评估、应急响应、内外部沟通机制等,都是非常高的要求,也是过去所没有提出的。


GDPR的生效与互联网企业的商业模式产生了正面的碰撞,那么互联网企业该如何应对?



德勤中国风险咨询合伙人 施建俊:GDPR的生效对互联网企业的运营模式是一个巨大的考验,尤其以国内互联网企业的实际情况来看,在掌握大量用户的个人信息之后,通过对用户行为的分析产生直接(如精准广告投放)或间接(如根据行为进行画像来提供一些更精准、个性化的服务)的收益,这是目前很多互联网企业的盈利模式。但是GDPR的生效,导致这个模式在面向欧盟市场时可能不再行得通。


从德勤的角度来看,由于GDPR的巨额罚款,大大提高了企业的违规成本,提高了企业合规的红线,以往那种简单的通过获取用户个人信息并进行直接利用的模式将面临极大的合规风险。但是企业仍然可以在对个人信息去连接和匿名化之后,通过大数据分析和建模,得出关于市场需求、行业趋势等方面有价值的信息,为商业决策提供依据。这要求企业要有更高的数据分析、建模能力以及对行业更深入的理解,而不是在低水平上重复。


这是一个去劣存良的过程,低水平的、不尊重用户隐私的互联网企业会被逐步淘汰,而那些确实有数据分析能力、对行业有独到研究,并充分尊重用户隐私权利的企业,将会被更加认可。所以GDPR的合规也是很多互联网企业转型升级的机遇,会带来对互联网经济的新理解。


从5月25日GDPR生效至今,国际上有哪些比较典型的处罚和起诉案例?


德勤中国风险咨询合伙人 施建俊:目前就公开报道来看, Google和Facebook已经在欧洲被起诉。该诉讼主要针对两家公司获得隐私政策同意的方式,即要求用户选择“同意”选项以获取服务,否则就不能使用服务。对于很多在线服务来说这是一种普遍的做法,但是律师认为它迫使用户进行“要么全赢,要么全输”的选择,“不同意就拉倒”,这违反了GDPR关于获取同意的规定。事实上在我国颁布不久的《个人信息安全规范》中就要求企业明确区分其提供的核心业务功能和附件业务功能,基于用户充分的知情权和选择权。。


从这两起起诉案例可以看出,不仅是监管机构,每一个欧盟公民都有会关注自己的隐私权,并拿起法律的武器。


目前德勤在帮助企业合规GDPR上,有没有开展一些新的工作?


德勤中国风险咨询合伙人 施建俊:关于GDPR的合规工作,需要从两个部分来进行,一个是法律层面的工作,另一个是个人信息保护体系建设的工作,两者同等重要。


法律层面主要是通过律师来帮助企业进行法律方面的分析和诊断,并进行隐私政策、合同条款等方面的重新拟定(大家最近一定收到了很多网站发来的隐私政策更新通知邮件)。但是隐私政策合法的前提是其中的内容是准确和完整的,这依赖于企业所建立的个人信息清册的完整性、准确性和及时性,以及各项配套的内部管理流程的完善情况和落实程度。


这就需要我们来帮助企业来进行个人信息数据流的梳理,了解企业本身的业务流程,搜集个人信息的原因、范围,以及商业目的。如果确实有收集信息的需要,则进一步厘清到底通过何种渠道收集了哪些信息,储存的位置、应用场景、涉及的第三方、以及现有的安全管控手段,在此基础上识别各个环节是否有潜在不合规或管控薄弱的事项。


能否披露一些目前德勤正在帮助企业合规GDPR的细节?


德勤中国风险咨询合伙人 施建俊:目前我们正在帮助一些知名的跨境电商、云服务厂商和家电企业实施GDPR合规项目,他们都在欧洲有广泛的业务在开展。


我们首先帮助企业完整、准确地识别其搜集的个人信息和应用场景,厘清个人信息数据流、建立个人信息清册和识别各个环节的潜在风险;其次和企业的法务部门和外部律师一起完善企业的隐私政策、声明和合同条款等;最后帮助企业建立个人信息管理体系,落实GDPR所要求的“Privacy by Design”要求。


事实上,随着GDPR的正式生效,还有很多环节需要企业逐步完善,如客服的流程,安全事件响应的流程,第三方管理流程等都需要来进行进一步的增强和完善。尤其是第三方管理,除了要在合同上约定双方的权利义务之外,企业也有义务对第三方实际的有效性管控做进一步的监督。个人信息的保护是整个生态都负起责任,而不仅仅是某个企业问题。。


GDPR的生效以及未来处罚案例的产生,能否带给国内企业在保护用户隐私方便一个态度上的转变?能否推动企业的良性发展?


德勤中国风险咨询合伙人 施建俊:国内目前有很多企业都在积极地关注并了解GDPR,但GDPR毕竟只是欧盟的法律,如果国内企业不予理睬,欧盟也没有执法权的,后果就是企业会进入欧盟的黑名单,在未来无法涉足欧盟市场。


从这个角度来看,对于在欧盟有很大业务体量,并且在世界上有一定品牌声誉的企业,在合规GDPR的工作上投入是很大的,因为这里面不仅包括的业务上的考量,同时也要考虑中国企业形象的问题。有些企业也许在欧盟利润并不高,但是如果因为GDPR就退出了欧盟市场,对中国企业的整体形象是会造成负面影响的。


但对于部分中小企业而言,可能会出现合规成本过高的情况。所以据悉已经有一些企业计划针对欧盟公民推出差别化的服务,或干脆不再为欧盟公民提供服务。


总体上来说,国内企业对于GDPR的重视可以说是空前的,当然这个也得益于国内近几年,尤其是去年网信办依据《网络安全法》对很多互联网企业的个人信息做出了相应的处罚和约谈,以及媒体的宣传,使得企业开始逐步自律。所以在GDPR生效后,国内个人隐私的保护,应该是近几年安全界和法律界最热的课题之一了。


在这种情况下,有很多企业在法规面前退缩了,也有很多企业迎难而上了,市场必定会回报给那些更守法的企业。


附文


【热点话题】德勤支招中国企业:五大步骤应对《通用数据保护条例》


近来,在欧经营业务的中国企业最关注的问题就是即将于2018年5月25日生效的《通用数据保护条例》(以下简称《条例》)。


众多专家认为最新生效的《条例》是过去出台的数据保护规定中 “最严格”的,此项《条例》旨在统一欧盟内部数据保护法规,加强个人对私人数据的控制,通过经济手段提升企业数据保护意识。德勤中国网络风险服务领导人薛梓源指出,


《条例》将影响中国企业在欧盟的业务与投资,尤其是在法律合规、信息技术和数据管理方面:


法律合规 —— 要求改进公司的隐私管理战略、资源管理以及组织控制,同时要求董事会更多参与隐私保护工作。


信息技术 —— 重新考虑信息安全保护以及其他合规事宜所需技术,同时成本也可能随之提高。


数据管理 ——《条例》中除去以往常规的信息管理,还针对数据合规管理提出新要求。


为应对上述挑战,德勤建议中国企业应遵循“五大步骤”:


评估当前GDPR就绪状况,清晰了解当前企业应对新条例的目前状态,战略规划提高企业合规管理。


基于上述评估,量身打造合规转型计划,做好充足的应对准备。


建立数据处理清单,了解数据整体情况及其处理过程中的风险。


开展数据保护影响评估,确保企业项目未来遵守隐私政策。


管理第三方数据处理过程,降低外界因素导致的隐私泄露或违规风险。


一直以来,德勤都是隐私保护及网络安全管理领域的佼佼者,德勤在世界各地拥有12000名IT风险咨询专业人员、3000名信息安全专家,同时设立了专门研究欧盟隐私保护的德勤欧洲隐私保护学院,共有500名国际隐私专家协会(IAPP)注册人员组成。


德勤中国致力于帮助企业解决数据保护方面的挑战难题,我们组建了一只精专团队,为大型企业的隐私管理项目提供专业服务。


最近,德勤成功助力一家电子商务企业及几家在欧洲开展业务的制造企业建立并完善隐私保护体系,为其全球业务保驾护航。




「推荐阅读」


如何从法律层面合规GDPR:这里有你没见过的干货 
全知方兴:GDPR当前,哪些企业死期将至?

人物 ∣ 热点∣ 互动 ∣ 传播

投稿及商务合作请在后台回复关键字即可

    本站仅按申请收录文章,版权归原作者所有
    如若侵权,请联系本站删除
    觉得不错,分享给更多人看到