2018年5月25日,欧盟委员会正式实施《一般数据保护条例》(以下简称GDPR),这部被誉为“世界最严”条例成为全球第一部以正式法典形式出现的数据保护法案!
随着大数据、云计算、移动互联网、社交网络以及各种智能终端的普及,大型公司涉及数据的争端愈演愈烈。2018年以来,美国社交网络Facebook因数据泄漏面临自创建以来的最大危机,创始人马克·扎克伯格不仅在4月10~11日先后出席美国国会参议院和众议院听证会,更在5月22日前往布鲁塞尔会见欧洲议会领导人,针对英国咨询公司剑桥分析不当使用Facebook数百万用户数据的事情回答有关问题。有媒体大胆预测,除了2万亿美元的罚单、英国议会的传召,Facebook很有可能成为首家违反GDPR的企业。
在国内,2017年的顺丰和菜鸟、华为和腾讯之间的数据争端仍让人记忆犹新。尽管最终4家企业最终合议解决了争端,但由此也凸显了中国数据保护中的法规和监管体制的缺失问题!
一、全球大数据产业规模高达千亿美元
目前,中国和世界各国的大数据都处于起步阶段。其中,美国、英国、法国、澳大利亚等国在大数据核心技术方面居于领先地位;中国则在收集端和应用端全球领先,在处理端核心技术方面还有差距。全球公认的领军企业包括亚马逊、SAP、谷歌、IBM等。
2017年,全球大数据市场结构继续向服务化转变,同时从垄断竞争向完全竞争格局演化。典型的表现是,企业数量迅速增多,服务的差异度增大,技术门槛逐步降低,市场竞争愈发激烈。
根据美国国际数据公司(IDC)的统计,2017年,全球大数据产业市场规模将达1508亿美元,比2016年增长12.4%。其中,美国为788亿美元,西欧为341亿美元,二者之和占全世界市场规模的3/4;亚太地区(不包括日本)为128.5亿美元。
在亚太地区(不包括日本),中国成为该地区在大数据和商业分析解决方案方面最大的市场,预计2018年的支出将达到55亿美元,占亚太地区(不包括日本)大数据和分析总收入的37.3%。从行业来看,电信和银行业占据主导地位,2018年各项支出占总支出的14.6%,其次是专业服务,占比11.9%。
二、GDPR“世界最严条例”
随着数据产业规模的不断扩大,各国都在加强对本国数据的控制力,关注数据主权。美国、欧盟等纷纷利用技术优势和法律法规加强本国数据主权保护。作为第一部数据保护法典,GDPR要求掌握(或处理)数据的组织必须依法建立一套系统化的管理机制,符合GDPR条款中所要求的个人数据保护原则。
GDPR保护的隐私数据主要包括:基本的身份信息,如姓名、地址和身份证号码等;网络数据,如位置、IP地址、Cookie数据和RFID标签等;医疗保健和遗传数据;生物识别数据,如指纹、虹膜等;种族或民族数据;政治观点;性取向。
1.监管范围扩大到适用所有企业
欧盟1995年的《个人数据保护指令》的适用范围仅仅针对公司的成立地在欧盟,或者利用欧盟境内的设备进行了个人数据处理活动(仅仅是传输通道除外)的公司。
但GDPR却规定,任何存储或处理欧盟国家内有关欧盟公民个人信息的公司,即使在欧盟境内没有业务存在,都必须遵守GDPR。这也就意味着,GDPR新规几乎适用于所有的公司。符合GDPR新规的公司的标准如下:
① 在欧盟境内拥有业务;
② 在欧盟境内没有业务,但是存储或处理欧盟公民的个人信息;
③ 超过250名员工;
④ 少于250名员工,但是其数据处理方式影响数据主体的权利和隐私,或是包含某些类型的敏感个人数据。
2.数据主体权利进一步扩大
GDPR对数据主体的权利规定细致入微,包括数据主体知情权、访问权、更正权、被遗忘权、限制处理权、拒绝权及数据可携权等广泛的数据权利和自由,同时明确了数据控制者和处理者应尽到采取合法、公平和透明的技术和组织措施保护数据权益的法定义务,以及履行对监管部门及数据保护认证组织的法定义务。
3.强化对数据企业自身监管体制,建立问责机制
GDPR实施一站式监管,因此对于向欧盟不同国家提供业务的企业或者在不同国家都有设立地的企业来说,其不再需要与多个不同成员国的数据监管机构打交道,企业主成立地所在国家的监管机构将作为主导监管机构对企业的所有数据活动负有监管权力,其效力辐射于全欧境内,这在某种意义上也简化了跨国企业的合规程序,提升了跨国企业在数据经济中的创新能力和竞争力。
4.增强和扩大监管机构的执法权和自由裁量权
根据GDPR新规,无论是对数据违法行为及严重后果的认定,还是最终罚款额度的确定,欧盟成员国的监管机关都具有很大的自由裁量权。
监管机构的执法权包括:通知数据控制者、处理者相关违反行为;要求违法者提供相关信息,或者向监管机构提供访问此类信息的接口;现场调查、审计;命令修改、删除或者销毁个人数据;可以采取临时性的或者限定性的数据处理禁令;课以罚金。
5.实施高额的罚款制度
企业一旦违反GDPR,欧盟将有权对其进行高额罚款,罚金分为两档:
(1)处以1000万欧元或者企业上一年度全球营业收入的2%,两者取其高。
针对的违法行为包括:没有实施充分的IT安全保障措施,或者没有提供全面的透明的隐私政策,没有签订书面的数据处理协议等;
(2)处以2000万欧元或者企业上一年度全球营业收入的4%,两者取其高。
针对的违法行为包括:无法说明如何获得用户的同意,违反数据处理的一般性原则,侵害数据主体的合法权利,以及拒绝服从监管机构的执法命令等。
与其形成对比的是,如果在美国触犯了隐私保护条例,那通常情况下罚金的大概范围是几十万到数百万美元。而在中国,根据《中华人民共和国网络安全法》,侵害个人信息相关权利时,对直接责任人员的罚款数额上限为10万元人民币,对网络运营者的罚款数额上限为100万元人民币。
三、GDPR对中国企业的影响
一旦正式实施GDPR,首当其冲受影响的中国企业涉及银行、电子商务、互联网、IT企业和软硬件生产商等,尤其是大数据和云服务这两类企业。这些中国企业面临3个选择:停止向欧盟居民提供互联网服务(包括免费服务);或者接到罚单后再去面对;主动完成欧盟GDPR的合规性要求。
普华永道发布的调查数据显示,68%的美国公司预计将投入100万—1000万美元的来满足GDPR的合规性要求;另有9%的企业预计将投入1000万美元以上。如果要想合规GDPR,中国相关企业应关注以下几个方面:
① 必须设立一个数据保护官(Data Protection Officer,DPO),其职责是监管和规范数据负责人和数据处理者的数据活动;
② 需要保留用户数据监管信息,并定期删除无关数据;
③ 必须部署合适的工具用以保护数据,以防数据丢失、损坏或泄露。当发生任何数据泄露相关事件,数据管控者与数据处理者需要在72小时内进行报告;
④ 处理个人数据必须要有合法理由,包括数据主体的同意、为了签订或履行合同需要、遵守法定义务的需要、为公共利益或行事政府授权以及为追求数据控制者的合法利益等;
⑤ 当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据,用户有权要求删除数据;
⑥ 用户有权并可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者处;
⑦ 禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、工会组织成员的数据、个人基因识别数据、生物数据、涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要在法律允许的范围内已采取了适当的保护手段等;
⑧ 处理16岁以下儿童的个人数据时,必须获得该儿童父母或监护人的同意或授权;
⑨ 需要实现数据的“缺省保护隐私”,即这种数据保护的隐私设计需要有默认的两个原则,一是数据采集与数据使用目的的一一对应原则;二是数据采集的最小化原则。
四、中国数据保护机制仍然缺失
尽管我国早在2003年就提出了制定“个人数据保护法”,并制定了大数据行业规划,但截至目前,我国在数据保护方面的法律分散且仅覆盖少数部门。
尽管我国的相关数据立法也是构建?在个人数据权利和自由的基础上,但突出数据公共利益成为我国数据保护法的主导思想之一,这也是我国为何迟迟不出台强制性法的原因之一。
但随着跨国数据企业的不断进入中国市场,未来谷歌、Facebook、亚马逊等科技巨头带来的数据垄断问题将会越来越严峻,这些垄断数据的跨国科技巨头正在通过竞争跨领域的数据,从而最终形成极度中心化的商业格局。
同时,随着互联网和在线服务的快速发展,涉及个人信息泄露、数据权属、数据交易、数据滥用等一系列的问题频发,数据保护业已成为信息时代的一大隐忧。因此,尽快启动和构建国内数据保护法律体系,规范和完善数据的收集、使用、保存、复制等,已迫在眉睫!
(机工智库研究员 裘红萍)