导语
从去年5月25日欧盟《一般数据保护条例》(GDPR)正式生效至今,已有一周年。GDPR到底对个人消费者和企业的影响是什么?
生活在欧洲的FT中文网专栏作家曹芊,在《GDPR生效的一年里发生了什么?》的文章中谈到,每天都要至少面对几次隐私设置的选择。看着那些眼花缭乱的条条款款,虽然有点困惑和担忧,但为了方便,他还是直接授权“同意"。
尽管作者“阿Q”精神般地自我安慰“可以体会‘我的数据我做主’的满足感(或者是幻觉?)”,但不能不承认,对于个人消费者来说,GDPR形同虚设。
身在国内的消费者,当然感受不到GDPR影响,但国内《个人数据保护法》即将出台之际,曹芊的感受颇有代表性。
46%不合规
对于企业来说,尤其是那些业务边界扩展到欧盟的互联网企业来说,GDPR最直接的影响是让这些企业增加合规方面的支出。因为根据GDPR规定,欧盟层面和各国的执法机构,可以对违规企业施以罚款,上限达2000万欧元或是企业全球营收的4%。
GDPR颁布之后,市场上迅速出现各种GDPR合规服务,比如IBM、微软等企业推出了GDPR相关的合规产品、技术和咨询服务。
一年来,企业合规情况如何?
IBM安全事业部4月17日发布的一项全球调研结果显示,网络安全事件响应计划的缺失,妨碍企业满足GDPR的规定。近半数的受访者 (46%) 表示,虽然 GDPR 正式实施已近一年,但企业尚未做到完全合规。
业内人士表示,国内企业不少企业已经做了GDPR备案,但大部分企业都在观望中,观察这件事情对他们的影响。
公开信息显示,目前数据泄露问题越发严重。欧盟数据保护委员会(EDPB,由欧盟各国的数据保护机构和欧盟数据保护监管局组成的委员会,旨在确保欧盟各国在数据保护执行中的一致性,并协调各国间的合作)提供的最新数据泄漏案例的统计数据是89271起。
一年来,欧盟开了哪些罚单?根据EDPB在2月底公布的数据,11个国家的案例罚款总额约5600万欧元。其中,谷歌一起案例就占了所有罚款总额的近90%,5000万欧元。谷歌提出上诉。
罚款案例的数额总体不大。例如,葡萄牙对一家没有妥善保护患者资料医院的罚款为40万欧元;波兰对一家泄漏公众邮箱地址的数据服务商处以22万欧元的罚款;德国一聊天平台因未将用户账号密码妥善保管被罚款2万欧元。最新一起罚款案例发生在立陶宛。5月16日,立陶宛数据保护监管机构对一家互联网支付公司泄漏数据并未及时报告,处以罚款61500欧元。
GDPR合规有多难
数据保护仅是GDPR合规的一部分,GDPR合规还涉及到整个企业内部的流程梳理,包括咨询服务、安全产品和技术的部署等。
从上面角度看,尽管个人消费者感受不到明显的合规价值,但为了合规,企业需要投入一定时间、资金和精力去部署合规技术、产品和服务,因此,GDPR更像是拉动企业信息安全产业升级的一道催化剂。
但是,让企业合规的成本不一定要花费很多,也不是很难。比利时的一家中型金融服务公司Copper & co.没额外花咨询费就合规了。CEO 德•舒尔沃对曹芹表示,参考了保险业中介协会的操作指南。该指南与金融服务的业务特别契合,免费提供给会员企业。从培训员工、升级数据系统等,前前后后大约用了三个月的时间,整个公司在GDPR落地前就做到了合规。
5月28日,中国信息通信研究院安全研究所联合相关单位共同免费发布《欧盟GDPR合规指引》,包括GDPR概述、合规体系、疑难点以及提供建议,为有需求的单位提供指引。该指引可以免费下载。
除了GDPR,国内还有等保2.0
尽管GDPR对国内企业开展海外业务的影响还不明显,但加速了我国在网络安全、个人数据保护方面的立法进程。
继2007年我国《网络安全法》出台之后,我国《个人数据保护法》、《企业信息安全等级保护》等制度相继推进。
今年5月22日我国《等保2.0》正式发布。对于国有大企业、政府机构、云计算服务商等来说,为了满足合规要求,需要投资安全产品、技术,因此加大了合规成本。
但对于信息安全产业来说,合规是件大好事,可以拉动百亿产业升级,因此,包括亚信、网宿、深信服等信息安全和服务器厂商、等级保护认证企业纷纷跑步入场,推动企业信息安全升级。
曾经对GDPR强烈质疑的美国,态度也正在发生改变。美国国会两院目前正在考虑参照GDPR,制定联邦层面的隐私保护法。执行保护消费者权利法的美国联邦贸易委员会(FTC)主席西蒙斯甚至表示,美国应该把欧盟GDPR看作是一次制度试验,观察它带来了什么,是否破坏了竞争,以便在设计制度时找到办法来规避其缺点。
版权声明:本文版权归《OBT商业科技观察》所有,未经允许,任何单位或个人不得转载,复制或以任何其他方式使用本文全部或部分,侵权必究。