![]()
5月25号,也就是几天后,《欧盟数据保护通用条例》(General Data Protection Regulation,简称GDPR)就正式实施了。从2016年发布至今,两年的过渡期转瞬间就过去了,数字化企业大佬们有没有做好准备,在GDPR的枪口下,全球性的企业能在欧盟合法地做生意吗?
GDPR对数据隐私的部分保护条款有悖我们的"常理",所以更需要企业领导以及产品业务的设计者学习了解,哪些行为违规,哪些动作存在风险。虽说法律工作者提供了非常详细专业的解读和分析,也给出了不少应对的策略和路径,但是对于绝大部分中国企业来说,对于GDPR的重视和理解程度仍不充分。
尤其是准备积极投身全球市场的互联网企业,国内对野蛮生长的宽容以及企业自身的快速发展掩盖了很多问题,年轻的他们还不太理解"合规经营"的分量,以及违规的风险。而GDPR里很多的规则涉及到了互联网数字化企业经营的核心,GDPR生效后,个人以为:大数据和云服务这两类企业被GDPR击中的概率比较高。
今天先探讨下大数据的情况。既然是数据保护方面的法规,大数据企业在中枪排行榜的排序是相当靠前的。这不仅包括从事数据采集、数据处理、数据分析以及数据呈现的企业,甚至包括大数据的使用者,也可能中枪。
相关的条款非常多,这里我只挑几个可能性比较大的说说:
1. 对于“合法”的定义非常严苛
根据GDPR的要求,处理个人数据必须要有合法理由和方式,而对于“合法”的定义非常严苛。
首先,必须事先征得数据主体的同意,而且"同意"必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。比如国内企业常用的,以小字号淡颜色甚至缺省方式获取用户的授权,通过冗长晦涩的隐私政策来获取用户同意,或者让用户在签订业务协议时通过"打勾"作出一揽子授权,都可能被认定为违规。
那么如果企业将数据使用的范围扩大了呢?无论是将数据提供给了第三方,还是把数据作为企业对外服务的一部分(比如提供给广告企业作为营销推广对象,或者作为对外发布的报告中的案例),都必须重新获取数据主体的授权和同意。
其次,GDPR赋予数据主体可以随时撤回同意的权利,而且数据控制者应当明确告知用户现有该权利,并为用户方便地行使该权利提供便利。用户提出撤回之后,就意味着用户不再"同意",企业再使用这些数据就是违规的了。
企业经客户同意后获取了数据,但用户后悔了,提出删除要求,企业就要从浩如烟海的数据里找到相关数据(包括原始数据以及基于这些数据处理之后的信息)并删除。不仅如此,如果这组数据已经传播出去,或者给第三方使用了,这个企业还有责任通知数据的使用者删除。
还有,在处理儿童个人数据时,必须获得其父母或者其他监护人的同意。这个举证行为责任在于数据控制者,真产生纠纷的时候必须由数据控制者提供证据,来证明其从监护人那里获得了"同意"。这意味着如果和企业打交道的是熊孩子,企业就得先识别出来他是儿童,再从父母或者监护人那里或者正式的确认证据,才能进行下一步操作。
2. GDPR中明确定义了数据主体的权利
GDPR在为个人有效行使权利提供法律保障的同时,也对企业处理和使用数据提出了苛刻的要求。
首先,数据控制者必须以清楚、简单、明了的方式向个人说明,其个人数据是如何被收集处理的。这些信息不仅包括数据控制者的身份和联系方式、数据的接收者或数据接收者的类型、还要包括个人数据的保留周期以及采取该周期的理由。如果涉及自动化的数据处理,包括数据画像等活动,还需要提供基本的算法逻辑以及针对个人的运算结果。
敲黑板,看重点:那些拿客户数据打标签做画像的,要提供基本算法逻辑和运算结果。
其次,个人有权获得其提供给数据控制者的相关个人数据,且其获得的个人数据应当是结构化的、普遍可使用的和机器可读的。如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。
还好,有"技术可行"四个字,否则如果用户提出要求:"把我在京东上的购买记录同步到淘宝上",而后台京东和淘宝就要联网对接实现数据的自动搬迁。而第二天用户提出反向的要求之后,两家公司还得携手把数据搬回去。
还有更可怕的规则:当用户依法撤回同意,或者控制者不再有合法理由继续处理数据等情形时,用户有权要求删除数据。如果控制者将个人数据进行了公开传播,应该采取所有合理的方式予以删除,控制者有责任通知处理此数据的其他数据控制者,删除关于数据主体所主张的个人数据链接、复制件。
控制者不仅要删除自己所控制的数据,还要承担对其公开传播的数据进行处理,互联网的世界如此开放,要确定并通知所有的第三方停止利用并删除,这几乎是不可能完成的任务。然而这确确实实是GDPR的条款,虽然条款里面还有可回旋的余地,但足以让那些基于"数据+传播"开展精准营销等业务的企业不寒而栗。
这个条款之下,更可怜的是那些使用数据的企业,他们并不是直接获取数据的,所以并不知道从别人那里买过来的一坨数据和信息中,那些可能会因为客户的撤回而必须删除;而如果他们也只是数据加工企业,还要承担责任去告知他们的客户,把哪些数据和内容删除处理。如果这是一串依托数据开展运营的企业,那么真难以想象一个用户删除信息的要求,会导致什么样的连锁反应。
3. GDPR其他规则需要关注的问题
直接交易客户因素数据肯定是违法的,所以很多玩大数据的企业,现在都是通过与其他企业合作获取数据和信息,然后将这些数据留存后,并与别的数据进行整合,产生出新的价值。然而这种方式与GDPR的规定冲突极大。
铤而走险的代价会多大?
对于违法行为,GDPR并没有设置具体的罚金幅度,而是设定两个档次的***金额限制:
- 1)轻者处以1000万欧元或者上一年度全球营收的2%,两者取其高;
- 2)重者处以2000万欧元或者企业上一年度全球营业收入的4%,两者取其高。
什么是轻?违反隐私保护设计,以及默认隐私保护,没有实施充分的IT安全保障措施、违反数据泄露通知要求,属于能力问题。
什么是重?违反数据处理原则,数据处理没有合法基础,违法同意要求,侵害数据主体的合法权利,属于态度问题。
这么严苛的规则和罚则,足以把违规者罚死。有报道分析,GDPR实施的***年,欧盟的罚款收入可达60亿美金;如果真抓着一个大家伙,这个数字显然过于保守。
那么惹不起,能躲得开么?
GDPR的实施范围可以从两个维度来看。
首先,是成立地在欧盟的机构必须遵循GDPR,无论数据处理的活动是否发生在欧盟境内。
其次,成立地在欧盟以外的机构,只要其在提供产品或者服务的过程中,无论是收费还是免费,只要处理欧盟境内个体的个人数据,就必须遵循GDPR。尤其是后面这条规则,意味着无论你是不是把服务器放在了欧盟里,只要你为欧盟范围之内的客户提供服务,就在GDPR的管控范围内。
看起来在欧洲做大数据生意,难度越来越大。那如日中天的云服务,在欧洲开展业务时遇到GDPR时,会不会出师未捷身先死?下一篇谈谈这个话题。
