第二看台
5月25日,被称为“史上最严”数据信息保护条例的欧盟《通用数据保护条例》(GDPR)正式生效。由于拥有超重罚款和最广泛管辖权,全球各行各业都不得不重新审视自己的数据处理政策和行为,以避免动辄数亿的罚款。
互联网无国界,我国涉及跨国业务的互联网企业也会涉及到GDPR的合规问题。这种形势下,中国企业该如何应对?
“由于其具有全球性影响,无论公司的营业地点是否位于欧盟境内,对于已在欧盟进行战略布局,或者拟将业务网络拓展到欧盟的中国企业来说是不得不面对的现实,违反条例要求的企业将面临巨额的罚款,而且不能以对法规的无知作为辩护。”5月28日,法律出版社编辑总监张雪纯在接受科技日报记者采访时说。
此前,网络巨头脸书公司因为泄露用户隐私,在美国本土遭到国会质询,令其创始人扎克伯格灰头土脸。如果以后再发生类似事情,欧盟的执法机构可能会征收其年营业额4%的罚款。2017财年,脸书公司全球营收额为406.53亿美元,罚款4%即为16.3亿美元。
当前,以云计算、大数据、人工智能为代表的信息技术发展迅速,并与各个行业进行了跨界融合,以数据驱动为核心的数字经济已经成为最具发展潜力和创新活力的领域。
“然而,在技术快速发展的同时,个人信息过度收集和滥用的问题也同时存在,对数字经济的健康发展带来了巨大的挑战。”京东集团首席人力资源官兼总法律顾问隆雨说,如何平衡数据收集、传输、处理和使用过程当中个人信息的保护和商业利用之间的关系,找到中间合理的平衡点,是全球数据治理重要的课题。
对于GDPR的实施,中国社会科学院法学研究所研究员、中国法学会互联网与信息法学研究会副会长周汉华认为,从1995年欧盟通过的《数据保护指令》到GDPR,带来的变化是全面而深刻的,不仅只是法律形式的变化,更反映了欧盟在大数据时代协调个人数据保护与促进信息自由传递的一种新的尝试。
周汉华指出,1995年,数据的价值没有也无法得到充分认识,但到了当今人工智能、物联网、云计算的时代,欧盟升级了已经实施20余年的指令,正说明了欧盟不是不想发展,而是想实现发展与保护之间的平衡,突出体现了“激励相容”原则。
欧盟数据保护条例出台后,我国企业该如何应对?周汉华建议,一是在加强对个人信息保护的同时,适应大数据时代的需要,如在个人信息使用目的限制、数据留存期限等方面留有空间。二是加强内部治理,把责任转到企业内部的数据控制。三是建立强有力的外部监督机制,一旦发现不合规行为,就予以严厉的惩罚。
为此,京东还发布了国内首部关于GDPR的著作《欧盟数据宪章—GDPR评述及实务指引》。该书全面介绍了全球数据保护面临的突出问题、GDPR立法背景、保护原则、数据主体权利、数据控制者和处理者义务、跨境数据流动规则等方面的内容。
张雪纯认为,企业要重视用户数据的安全,不能短视,要着眼整个行业发展的大势。只有与用户建立良好的信任机制,树立用户数据安全就是企业自身安全的理念,行业才有前景,企业才能走得更远。