作者:Danny Allan, Veeam产品策略副总裁
自欧盟委员会于2018年5月25日发布《通用数据保护条例》(GDPR)以来,外界对该条例的恐惧、不确定及质疑的声音持续存在,但是时候跨过这些声音走向下一阶段的讨论了。
过去的12个月里,该条例取代了1995年颁布的《数据保护指令》(Data Protection Directive),并显示了其重要的两项特征:具体且具有强制性。
以上特征使得数据隐私的概念获得全球认可,如同基本人权概念的普及过程。如今,数据处理企业不仅应该遵守《通用数据保护条例》,而且也被欧盟要求这样做,此举被视为科技行业前进的动力和成功。只有获得用户对与其相关的数据安全性和隐私性的信任,技术的潜能才能得以释放。
数据隐私具体化
“具体”是《通用数据保护条例》最大的亮点之一。它对于其服务对象、适用者、强制执行内容及对违规者的惩罚十分明确。也因此,更多的人将自己的数据隐私视为一种基本人权,类似于言论自由。
之所以踏出这步改变,是因为《通用数据保护条例》增加了用户和企业对此的认识。正如911悲剧事件使得我们为飞机驾驶舱上锁一样,《通用数据保护条例》给数据隐私的管理、监管和报告方面都带来了具体而又根本性的改变。
据欧盟委员会的官方数据显示,监管部门收到了9.5万多起与《通用数据保护条例》相关的用户投诉,显示出用户对其对数据是否收到侵犯一事更加关注。该数据同时也显示了企业的高度认知,其中有4.1万家企业自曝曾违反过这一条例。
其它可追溯到《通用数据保护条例》的有形影响,是第三方网站跟踪cookie的使用减少及营销供应链中不信任的增加。路透社新闻学研究所报告称,自《通用数据保护条例》公布三个月后,cookie的使用量下降了22%。而同时,出版社、广告技术公司和代理商也正在修改合同以避免因数据泄露而受到牵连。
所以,和增加了飞行安全而又不影响整体飞行体验的紧锁驾驶舱门一样,《通用数据保护条例》已经产生了隐形但意义非凡的影响。思科的研究发现,75%的用户意识到了他们对隐私安全的投资正在获得更广泛的收益。此外,更优秀的数据管理会让他们更敏捷和更创新。
《通用数据保护条例》以牙还牙
《通用数据保护条例》在数据隐私和公司法律领域之外引起轰动的最显著的原因之一,是对不遵守条例者的严惩。欧盟委员会有权对已证实违反条例中某项规定的企业处以2000万欧元或其全球收入4%的罚款,并以金额更高项者为准。
更重要的是,数据隐私监管机构已经执行了这些措施,欧盟委员会在《通用数据保护条例》通过后的八个月内共计报告了91起罚款。
最臭名昭著的经济处罚是由法国国家数据保护委员会(French National Data Protection Commission)发布的,即其在2019年1月对谷歌处以5000万欧元的巨额罚款。德国当局亦发布了40多起针对《通用数据保护条例》违规行为的小额罚款。
除了金融制裁之外,该条例还存在更微妙的威慑作用——声誉损害,且相较于世界上最大的数据处理器,小型组织所受到的这种伤害要更为严重。随着数据隐私日益被视为一种基本的公民自由,各种规模的企业组织都无法承受被认为有滥用该权利的谩骂。
《通用数据保护条例》的下一步?
从监管的角度来看,明年不会出现根本性转变。简而言之,《通用数据保护条例》在持续发挥作用。可预见的结果是数据隐私监管机构会做出更多举动:更多的罚款、更严厉的惩罚以及对违规行为的更多揭露。
值得关注的是,《通用数据保护条例》 促使首席信息官 (CIO) 进行的对话类型是否会在全球范围内产生影响,尤其在中国和美国等国的数据隐私实践中。
我们将看到欧盟委员会持续展现其在数据隐私上的能力,也会看到企业对于个人数据使用方式的转变。在数字时代下,数据是企业的命脉,尽管有些企业在面对《通用数据保护条例》时采取激进立场并删除了整个用户数据库。
当下收集的数据可用以洞察未来、创造更好的用户体验、开发能真正满足市场需求的产品,以及回馈忠实用户。随着意识的提升,用户对那些收集但不尊重数据的企业,容忍度将会降低。
因此,那些未能处理好数据隐私且未能在文化上进行调整的企业将会受到客户的排斥及监管机构的严厉惩罚。对于卫盟软件而言,我们认为数据隐私及保护不能为了完成任务而做,或者硬着头皮去做只完成任务,更不是因为不得不做而已。
遵守《通用数据保护条例》是一个持续的过程,且其成功与否不应以是否被罚款来衡量。企业应该为其理解、管理并保护好数据而感觉到骄傲。遵守法规是为成为数据驱动型企业踏出的一步,这意味着要不断找寻新的方式来将信息转化为为用户打造的更好的产品、服务和体验。