GDPR 最后倒计时,您准备好了吗?

与大数据或物联网等热议话题不同,《通用数据保护条例》(GDPR) 或许第一眼看上去是一项枯燥的欧盟法案。但是,如果我们仔细思考它可能带来的影响,那么这项法规无疑将会掀起一场行业巨变。

GDPR将于2018年5月25日正式生效 — 现在已经进入了最后的倒计时时刻。该条例面向所有收集、存储或处理欧盟境内任何居民的个人数据的任何组织及企业,无论该企业是否位于欧盟成员国内。这意味着,许多组织及企业现在都需要考虑应对该条例的机制,如何满足合规性 — 因为一旦违规,企业将面临高达2,000万欧元或全年总收入的4%的巨额罚款,以较高者为准。

企业面临的数据管理现实

为了保护所有欧盟成员国内的个人相关信息(个人数据),GDPR要求企业对个人数据的存储、传输、访问方式,以及审计进行更大力度地监督。简言之,GDPR 是一项要求企业实施适当的保护措施和流程,从而有效保护欧盟公民的个人数据和隐私的法案。

虽然GDPR看似只影响欧盟境内的企业,但是,实际上,该条例的影响力辐射全球,任何为欧盟公民提供商品或服务的企业都受该条例的管制。 根据Veritas 2017 GDPR报告,全球高达 47% 的企业都担心无法赶在GDPR条例生效之前满足合规要求。更令人担忧的是,只有31%的企业认为他们达到了GDPR的要求。

随着GDPR实施进入最终倒计时,各地企业应该比以往任何时候都严阵以待,否则将可能面临巨额罚款。与此同时,全球消费者表示,他们会对未妥善保护其个人数据的企业进行严厉的处罚。根据2018年Veritas发布的《全球消费者数据隐私报告》,90%的中国消费者会联合亲朋好友共同抵制未能保护个人数据的企业,88%的消费者声称会向监管机构举报泄漏隐私的企业。有趣的是,消费者也会奖励妥善保护个人数据的公司,其中,91%的中国消费者表示,他们更愿意向个人数据有保障的可靠公司购买更多产品或服务。

全球企业是否已经对 GDPR 做好准备?

根据Veritas针对GDPR的调研表明,很多企业现在面临诸多严峻挑战,尤其在了解所拥有的数据、数据存储位置,以及数据对企业的意义方面。主要研究结果显示,很多企业同样缺乏有效应对条例规定的技术。针对GDPR合规性,不少企业都还有很长的路要走。Veritas推出的2017 GDPR报告显示:

——18%的企业担心,不满足合规要求将最终导致公司破产

——32%的企业认为,他们没有合适的技术来满足GDPR的要求

——约40%的企业无法准确识别和定位相关数据,而这是GDPR条例要求企业所必须拥有的能力

——平均而言,企业将在2018年投入130万欧元来改善GDPR合规性

GDPR对中国企业有何影响?

GDPR 将会影响到全球各地的公司,包括为欧盟公民提供服务和/或商品的中国企业,同时它也会监控欧盟境内数据主体的行为。例如,如果一家中国企业经营一个可能面向欧盟消费者,提供商品或服务的网站,则该企业可能属于GDPR的管辖范围,因为它可能拥有欧盟消费者的个人数据。

作为全球发展最快的经济体之一,中国企业的业务范围已经迅速扩展到全球各地,这当然包括欧盟成员国。大型中国跨国企业,例如阿里巴巴、腾讯和海航等等,小米、摩拜、ofo、大疆等越来越多的后起之秀也开始将触角伸往欧洲。毫无疑问,GDPR 法规也适用于这些企业。

应该由哪个部门负责GDPR?

很多企业并不是十分了解企业内部数据的管理权归属。高管常常认为CIO是负责GDPR的关键人物,而CIO又认为这是高管的职责。公平地说,这需要多个职能部门的配合。这种跨职能性意味着,企业需要在创建合规和数据治理文化时,彻底改变思维模式。确保GDPR合规性不再只是CIO一个人的职责,而是需要所有部门的共同努力。

GDPR对企业有何好处?

虽然GDPR带来了严苛的规章制度,但也为企业提供了战胜竞争对手的机遇。很多客户经常在发生数据泄露登上头条时,才会认真检讨公司的数据政策。

随着GDPR的实施,企业将能够重新思考现有的流程,更高效地查找、分类和过滤信息,从而最终让数据变得更易于管理和更清晰,使企业收获更多更高的信任。此外,遵守GDPR的企业将能够通过有效的数据管理,更好地为客户提供以信息为中心的解决方案,获得更高的品牌知名度和客户忠诚度。

Veritas的企业合规性检查清单:

a)定位

满足GDPR要求的关键的第一步是要全面了解公司拥有的所有个人数据位于何处。制定有关信息存储位置、数据访问权限所有者、数据保存时间以及数据传输位置的数据地图,这对了解企业如何处理和管理个人数据至关重要。

b)搜索

目前欧盟居民可以通过提交一份“主体访问申请表 (SAR)”来申请查看相关公司持有的所有个人数据。他们有权要求企业纠正(如有错误)、导出(以合适的导出格式)或删除其数据。企业需要有能力及时满足这些需求,避免GDPR的罚款风险。企业应该部署相关技术,建立针对所有用数据的实时查看能力,通过基于自动化策略的方法来发现、分类和管理信息。

c)最小化

数据最小化是GDPR的主要原则之一,这是为了确保企业减少所存储的个人数据的体量。这可以通过仅在一段时期内保存与原始目标直接相关的个人数据,来实现这一目标。企业应该部署和执行能够随着时间演进自动让数据失效的数据保存政策。

d)保护

根据GDPR条例,企业有责任实施技术及企业相关措施,来展示他们已经将数据保护集成到了所有数据收集和处理活动中。

e)监控

GDPR 规定,所有企业都有责任在出现特定类型的数据泄漏时上报给相关监管机构,并在某些情况下通知受影响的个人。企业应该确保自身有能力监控可能的泄漏事件(比如意外或不寻常的文件访问模式),并快速启动报告流程。

总而言之,企业应该将GDPR视为一种新机制——负责地使用和管理企业数据,负责地对待客户和供应商。GDPR不仅能够促进企业建立遵守数据隐私法规的责任文化,还能够帮助企业赢取更多信任,提高品牌知名度,增强消费者关系。

【本文作者杨晨,系Veritas公司大中华区总裁】