作为欧盟1995数据保护条例(The European 1995 Data Protection Directive, Dir.95/46/EC)的替代,2018年5月25日生效的《一般数据保护条例》(或《通用数据保护条例》,General Data Protection Regulation,简称GDPR)具有更大的威力:对于用户而言,他们有权访问、改正、移植和删除其数据;对于监管者而言,他们第一次拥有了在欧盟范围内统一行动的权力,并有权对违法企业处以高达2000万欧元或者全球营收4%(两者取其大)的巨额罚款。该法规将影响欧盟内所有获取、存储或处理个人数据的企业,包括设立地在欧盟之外但获取过欧盟公民数据信息的企业。
企业应对GDPR的措施
在实践中,企业往往缺乏对于GDPR充分的理解:有些仅把它当作原有数据条例的加强版;另一些则把它看作是企业的负担,认为很难满足所有的要求。这两种观点都有失偏颇,应该从更长远的角度去认识和观察。中国涉及欧洲业务的诸多企业,已经被自动纳入到GDPR的管辖范围,应提前做好预案。这样,一方面可以有效规避潜在的高额惩罚;另一方面还可以抓住互联网转变的机遇,在新产业形成过程中占据有利地位,寻找新的利润增长点。
第一,凝聚共识,应对风险。企业首先需要在内部进行动员,贯彻针对GDPR进行改革的必要性和重要性,在思想上凝聚共识。这是因为改革会增加企业成本、降低利润、甚至需要对企业既定的战略和计划做出调整——而利益格局的改变必然会招致不同的声音。为了将风险最小化,企业在前期规划时一定要做好评估:清点所有的应用程序,明确企业内部数据的来源、储存和处理方式,指派人员承担相关职责,预测可能会带来的危害并提前制订应对方案。值得一提的是,员工个人的移动办公设备也存在数据泄露风险,因为这些设备接触到了公司的数据,可能会被备份,所以也应该纳入定期排查的范围。更重要的是,企业要善于在“危”中寻“机”,明确如何利用新规则挖掘商机。例如良好的数据保护会带来口碑和声誉、吸引潜在用户;公司数据利用能力的提升也为未来新业务的发展构筑了基础。数据管理公司Hanse Orga Group的首席战略官Christoph Dubies认为“致力于保护用户数据的企业可以预期得到良好的市场反应,它可以作为营销策略提升品牌知名度并获取用户的信任。”
第二,在企业内部构建数据处理机制。一个完善的数据处理机制包括从数据访问、存储、修正、乃至删除的整个过程,它拥有可以按照外部用户或监管机构的要求进行提取展示的能力;在特性上,应该兼顾全面性和专业性。GDPR影响了企业的整个运作流程,客观上要求企业在内部建立一个跨部门的组织,应该包括法律、财务、技术、市场等所有涉及用户个人信息的部门。比如,企业的法律部门首先需要厘清GDPR赋予企业的责任和权利,因为GDPR更多的是侧重于原则上的阐述而非具体的规则,给实施预留了一定的操作空间——而这就需要法律上的咨询建议,以确保企业行为在法规权限内落地实施。此外,财务部门提供资源支撑,技术部门保证实际运作,市场部门则将数据保护作为一项营销策略,用以增强用户好感、提升企业知名度。值得一提的是,企业需要保持与外界的良好沟通,让用户、监管者乃至社会公众了解你为数据保护所做出的努力,构造出一个数据守护者的形象,这无疑会有利于企业的长远发展。
第三,设置数据保护官(Data Protection Officer, DPO)等职位。GDPR第4章第4节明确规定,企业内应指派数据保护人员承担数据保护合规相关职责。在企业内部,要通过组织架构的调整赋予DPO足够权限,确保其可以同其他高管进行顺利沟通,并能争取到足够的资源。在企业外部,GDPR的规则会在不断的实践中逐渐成熟和完善,形成公认的知识经验,因此DPO需要同外界的同行、监管机构、司法系统等保持畅通的交流,以调整和优化企业的数据保护机制。DPO可以是企业内其他管理人员的兼职,如2018年5月东方航空任命总法律顾问郭俊秀为DPO;内部缺乏数据合规相关人才的企业也可以外部聘用DPO,因为GDPR允许一名DPO同时为多个企业工作。
第四,建立完善的数据库。数据库不仅仅是目录清单,用以追踪用户的数据流记录;它还涵盖了与数据相关的所有信息,包括数据来源、处理方式、法律依据、以及数据分享等。以此为基础,企业可以建立完整的数据库,它会是未来新兴业务发展的重要基础资产。数据库的构建要求企业拥有一定的信息技术的能力,可以操作海量数据,保证数据安全,并有能力在规定时间内(72小时)向监管者提取需要的信息。
个案分析:Facebook应对GDPR的措施
Facebook因“泄密门”事件遭遇了自公司成立以来最大的“滑铁卢”,扎克伯格在欧盟委员会上的听证也在客观上树立了GDPR的权威性。Facebook被质疑强行索取个人信息,用户不得不在注销账户和“同意”之间二选一。在面对英国《卫报》的采访时,Facebook首席隐私官(Chief Privacy Officer,CPO)Erin Egan说:“为了满足GDPR的要求,我们提前做了18个月的充分准备。我们让政策更加清晰,隐私设置更为便利,还可以让用户方便的访问、下载和删除他们的信息。在5月25日GDPR正式生效之后,我们还会继续完善用户隐私权。比如建立‘清晰历史’(Clear History),它可以让用户查询到曾经提交过的网站和应用信息、清除这些信息、或者拒绝Facebook继续存储个人信息。”
在登录Facebook时,用户需要在界面跳出的公告中重新选择数据使用权限。为打消公众疑虑,公告第一句便是:“我们重视对你隐私的保护,不会出售你的数据”,并阐明“会通过广告主,应用开发者和发行商提供的数据,了解你在Facebook旗下产品站外的活动,据此为你展示更好的广告”。这些从合作伙伴那里获取的数据包括“Facebook业务工具的网站和应用上的活动,例如在线购物或下载应用”以及“与合作伙伴的线下活动,例如在自行车店购买安全帽”。
为体现GDPR的“限制处理权”和“拒绝权”,Facebook阐明“你可以控制是否允许我们使用这些数据向你展示更好的广告”。例如,Facebook在获取用户使用数据的允诺之后(点击“接受并继续”)会向具备特定特征的用户展示广告;如果用户不愿意分享数据,则可以在“数据设置”里面进行设置。但是,公告中特别声明,即便用户不愿意分享数据来推送广告,Facebook仍会在法律框架内有限度的使用用户数据。
为了让用户直接控制自己的数据,Facebook将用户登录过的应用和网站信息放在设置页面下的“应用和网站”板块,用户可以方便地进行清除。“应用和网站”板块包含“使用中”“已过期”和“已移除”等三个部分。在“使用中”,用户可以查看并更新对方可获取的信息,并清除不再需要的应用和网站;“已过期”的应用和网站无法再访问用户的私人信息,但用户可以更新访问权限、编辑信息或者直接清除;“已移除”的应用和网站仍可以访问用户之前分享的信息,但无法获取更多私人信息。对于“使用中”和“已过期”的应用和网站,用户可以通过简单的点选进行清除,并通过“查看和编辑”按钮设置信息、应用可见度以及能否向用户发送通知等功能。“已移除”的应用和网站只能通过“查看详情”了解移除日期、用户编号以及数据访问权限等信息。有趣的是,Facebook以防止陌生人访问用户的照片和视频为由,在公告中顺便推销了自己的人脸识别技术。如果选择打开人脸识别设置,Facebook会“把它与其他照片和视频的分析进行对比,从而辨别这些照片或视频中是否有你”。
此外,Facebook在页面下方新设了“广告选项”和“隐私权政策”。在“广告选项”里,Facebook提供了多种控制向用户推送广告的方式,如选择退订所有相关公司的广告,并提供了如何在浏览器和设备中退订广告的方法。“隐私权政策”展现了Facebook收集的用户信息的类型,包括用户和他人执行的操作及提供的信息、设备信息以及来自合作伙伴(广告主、应用开发者以及发行商)的信息。在收集信息后,Facebook会提供、定制并优化产品,提供成效衡量、分析和其他商业服务,加强用户安全、数据安全和产品信誉,为社会公益目的进行研究和创新。不过,用户有权拒绝将数据用于企业利益或公益的目的。
针对GDPR的“删除权(被遗忘权)”,Facebook规定会对用户数据进行存储,但在不需要该数据或者账户注销时才能删除。例如,用户可在搜索后删除历史记录,但该搜索的日志要在六个月后才能真正清除;用户提交的用于账户验证的身份证件副本,要在30天后才能清除。此外,为回应GDPR的要求,Facebook还提供了负责用户信息的数据管控方Facebook Ireland的具体联系地址,并声明用户有权向其及主要监管者“爱尔兰数据保护专员”或当地监管者提起投诉。
在英国《卫报》的报道中,美国数字民主研究中心的创始人Jeffrey Chester将GDPR的实施称为“不可思议的突破”,因为它改变了互联网巨头与用户之间的权力平衡。对于企业而言,不遵守GDPR规则可能会在无意间面临声誉受损、高额罚款甚至是刑事责任,从而在市场竞争处于劣势地位;而因应时势,借由数据保护新规则开辟新的商业机会和利润空间的企业,则可以创造出更高的价值,转危为机,实现企业的新发展。