■ 最严隐私法即将生效 ■
欧盟“通用数据保护条例”(GDPR)即将在5月25日正式生效。这项被称为“最严隐私法”的法律,是欧盟在互联网技术、移动智能设备快速发展下应运而生的法规,以保障欧盟公民个人数据隐私安全。企业如果在未经允许的情况下收集或使用个人信息,就会被罚款。
个人数据在新的条例中有了更为广泛的定义,例如包括IP地址等数据。新条例还定义了基因数据、生物数据、犯罪记录等数据为敏感个人数据(sensitive personal data),这类数据受到更严格的条例保护。
之所以被称为“最严隐私法”,因为GDPR不仅对个人数据的收集、使用(什么时间、什么数据和为什么使用数据等)做了明确规定,在数据泄露处理上也设定了非常具体且严格的规定。根据其地域规定,对任何搜集欧盟公民数据的企业(无论在不在欧盟),都将受到该法规的限制。违反GDPR的行为将进行处罚,罚款范围是1000万到2000万欧元,或企业全球年营业额的2%到4%。
对企业有哪些影响
对企业来说,不仅需要采取措施,让所有数据搜集行为得到用户的知情和认可,在用户数据的保护方面也需要承担更多的责任。由于数据搜集行为受到制约,这对极其重视用户数据的企业来说业务也会受到一定的影响。同时大数据、物联网、智慧城市、云计算、人工智能等前沿技术的深入研究也将受到影响。
最高额达年收入4%的罚金,违反GDPR的后果可能让大部分公司都无法承受。以Facebook为例,2017年总营收为406.53亿美元,假如Facebook违反了GDPR的规定,那么罚金就有可能高达1.6亿美元。与之相比,美国的罚金大概是几十万到几百万美元。
GDPR将影响到所有可能使用欧盟公民数据的企业,尤其以互联网公司为主,Facebook、Google、亚马逊等大量利用用户数据获得收入的跨国互联网公司将受到巨大影响。4月QQ国际版发布公告暂停服务时,就曾遭到猜测可能是为应对GDPR会停止服务。目前已有企业表示,因为GDPR,将停止在欧洲地区的服务。
虽然已经给了企业两年的过渡期,但事实上,据Gartner预测,到2018年底,50%的受影响公司甚至还没有准备好。
等待最后一天
影响如此巨大,为什么企业们不抓紧准备呢?
《Veritas 2017 GDPR报告》调查显示,众多企业都认为准备中存在很多难点,将对企业造成影响。
首先通过使用用户数据为部分企业带来营收,遵循限制后必将对业务有影响。
对很多公司来说,用户数据已经成为指导经营、促进销售必不可少的要素。尤其是对于精准营销来说,千人千面、个性化推荐等都是建立在对用户数据的挖掘上。目前火热的新零售概念正是需要获取用户数据,再基于大量用户数据反馈到业务中改善经营管理。数据渐渐成为基础设施,成为企业的重要竞争力。
根据GDPR规定,只有匿名数据才可以无条件使用,但其规定的通过技术处理之后的匿名数据对大多数需要进行用户分析的公司来说,基本失去了价值。对依赖于数据画像的企业来说,如何设计一套有效的机制,既能够符合GDPR有关透明性和用户同意的要求,同时也能使得数据分析活动得以继续,是摆在面前的一道难题。
其次加强隐私管理必然会产生新的成本。
为应对新的监管,企业可能需要改变原有的业务模式、增加对用户的数据使用提示、雇用员工(如数据保护官)、改进网络安全措施、聚焦更新安全软件。这对企业来说会产生一笔不小的开支。
此外,到底如何才能满足条例合规要求,大多数企业并不十分清楚。
调查显示,企业对条例应对准备存在一定的误解,以至于出现认为自身已经满足相关条件,但实际上并未准备充分的情况。《Veritas 2017 GDPR报告》指出,31%的受访者声称他们的企业已经满足该条例的关键要求,但实际调查显示只有2%的企业满足要求。
企业如何应对
对企业来说,研究GDPR的条款是首要工作,企业需要了解自身所拥有的数据,同时,还需要清楚知晓该如何采取措施,如何分类数据,并部署相应的策略。
互联网公司们也出台一些政策试图减少影响,谷歌表示,它将创建一个不基于任何个性化定位的新广告服务。Facebook也进行调整,允许用户永久删除自己的记录,会出现“许可屏幕”询问用户是否接受数据收集,但如果不接受,他们就无法继续使用Facebook服务。
除了用更公开的方式进行数据收集,给用户开放更多数据管理权限,减少对个人隐私数据的使用外,企业在数据的保护上也需要采取更多的措施。据专家分析,这项法规将要求各公司采取一种新的全面数据治理措施,包括数据剖析、数据质量、数据沿袭、数据屏蔽、测试数据管理、数据分析和数据归档等。同时法规中还要求部分企业设立数据保护官。众多企业都将根据条款更改自己的模式。
随着中国企业加大走出去的步伐,阿里巴巴、腾讯、华为等公司在欧洲都有大量云计算、支付、社交等业务,众多企业也将去欧洲发展,必须要遵守当地法律法规。在中国,目前对用户数据隐私保护相关的法律法规过于宽泛,存在一些灰色地带,但中国人对隐私保护的意识也在逐渐提高,这对企业提出了更高的要求。
5月1日起,推荐性国家标准《信息安全技术个人信息安全规范》正式生效,对APP在什么情况下需要用户授权,注销账户的权利是否是必须的等问题都做了规定。长远来看,合理利用用户数据,维护网络的安全,增强客户的信任是企业健康发展中必不可少的要素。企业遵循用户意愿收集数据,合理的使用用户数据,并做好数据保护,才能得到消费者的信任。
更多精彩,敬请关注浙江省大数据应用产业技术联盟微信号
