歐盟開槍,誰會成為GDPR的槍下鬼?
5月25號,也就是幾天后,《歐盟數據保護通用條例》(General Data Protection Regulation,簡稱GDPR)就正式實施了。從2016年發布至今,兩年的過渡期轉瞬間就過去了,數字化企業大佬們有沒有做好準備,在GDPR的槍口下,全球性的企業能在歐盟合法地做生意嗎?
GDPR對數據隱私的部分保護條款有悖我們的"常理",所以更需要企業領導以及產品業務的設計者學習了解,哪些行為違規,哪些動作存在風險。雖說法律工作者提供了非常詳細專業的解讀和分析,也給出了不少應對的策略和路徑,但是對于絕大部分中國企業來說,對于GDPR的重視和理解程度仍不充分。
尤其是準備積極投身全球市場的互聯網企業,國內對野蠻生長的寬容以及企業自身的快速發展掩蓋了很多問題,年輕的他們還不太理解"合規經營"的分量,以及違規的風險。而GDPR里很多的規則涉及到了互聯網數字化企業經營的核心,GDPR生效后,個人以為:大數據和云服務這兩類企業被GDPR擊中的概率比較高。
今天先探討下大數據的情況。既然是數據保護方面的法規,大數據企業在中槍排行榜的排序是相當靠前的。這不僅包括從事數據采集、數據處理、數據分析以及數據呈現的企業,甚至包括大數據的使用者,也可能中槍。
相關的條款非常多,這里我只挑幾個可能性比較大的說說:
1. 對于“合法”的定義非常嚴苛
根據GDPR的要求,處理個人數據必須要有合法理由和方式,而對于“合法”的定義非常嚴苛。
首先,必須事先征得數據主體的同意,而且"同意"必須是具體的、清晰的,是用戶在充分知情的前提下自由做出的。比如國內企業常用的,以小字號淡顏色甚至缺省方式獲取用戶的授權,通過冗長晦澀的隱私政策來獲取用戶同意,或者讓用戶在簽訂業務協議時通過"打勾"作出一攬子授權,都可能被認定為違規。
那么如果企業將數據使用的范圍擴大了呢?無論是將數據提供給了第三方,還是把數據作為企業對外服務的一部分(比如提供給廣告企業作為營銷推廣對象,或者作為對外發布的報告中的案例),都必須重新獲取數據主體的授權和同意。
其次,GDPR賦予數據主體可以隨時撤回同意的權利,而且數據控制者應當明確告知用戶現有該權利,并為用戶方便地行使該權利提供便利。用戶提出撤回之后,就意味著用戶不再"同意",企業再使用這些數據就是違規的了。
企業經客戶同意后獲取了數據,但用戶后悔了,提出刪除要求,企業就要從浩如煙海的數據里找到相關數據(包括原始數據以及基于這些數據處理之后的信息)并刪除。不僅如此,如果這組數據已經傳播出去,或者給第三方使用了,這個企業還有責任通知數據的使用者刪除。
還有,在處理兒童個人數據時,必須獲得其父母或者其他監護人的同意。這個舉證行為責任在于數據控制者,真產生糾紛的時候必須由數據控制者提供證據,來證明其從監護人那里獲得了"同意"。這意味著如果和企業打交道的是熊孩子,企業就得先識別出來他是兒童,再從父母或者監護人那里或者正式的確認證據,才能進行下一步操作。
2. GDPR中明確定義了數據主體的權利
GDPR在為個人有效行使權利提供法律保障的同時,也對企業處理和使用數據提出了苛刻的要求。
首先,數據控制者必須以清楚、簡單、明了的方式向個人說明,其個人數據是如何被收集處理的。這些信息不僅包括數據控制者的身份和聯系方式、數據的接收者或數據接收者的類型、還要包括個人數據的保留周期以及采取該周期的理由。如果涉及自動化的數據處理,包括數據畫像等活動,還需要提供基本的算法邏輯以及針對個人的運算結果。
敲黑板,看重點:那些拿客戶數據打標簽做畫像的,要提供基本算法邏輯和運算結果。
其次,個人有權獲得其提供給數據控制者的相關個人數據,且其獲得的個人數據應當是結構化的、普遍可使用的和機器可讀的。如果技術可行,數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者。
還好,有"技術可行"四個字,否則如果用戶提出要求:"把我在京東上的購買記錄同步到淘寶上",而后臺京東和淘寶就要聯網對接實現數據的自動搬遷。而第二天用戶提出反向的要求之后,兩家公司還得攜手把數據搬回去。
還有更可怕的規則:當用戶依法撤回同意,或者控制者不再有合法理由繼續處理數據等情形時,用戶有權要求刪除數據。如果控制者將個人數據進行了公開傳播,應該采取所有合理的方式予以刪除,控制者有責任通知處理此數據的其他數據控制者,刪除關于數據主體所主張的個人數據鏈接、復制件。
控制者不僅要刪除自己所控制的數據,還要承擔對其公開傳播的數據進行處理,互聯網的世界如此開放,要確定并通知所有的第三方停止利用并刪除,這幾乎是不可能完成的任務。然而這確確實實是GDPR的條款,雖然條款里面還有可回旋的余地,但足以讓那些基于"數據+傳播"開展精準營銷等業務的企業不寒而栗。
這個條款之下,更可憐的是那些使用數據的企業,他們并不是直接獲取數據的,所以并不知道從別人那里買過來的一坨數據和信息中,那些可能會因為客戶的撤回而必須刪除;而如果他們也只是數據加工企業,還要承擔責任去告知他們的客戶,把哪些數據和內容刪除處理。如果這是一串依托數據開展運營的企業,那么真難以想象一個用戶刪除信息的要求,會導致什么樣的連鎖反應。
3. GDPR其他規則需要關注的問題
直接交易客戶因素數據肯定是違法的,所以很多玩大數據的企業,現在都是通過與其他企業合作獲取數據和信息,然后將這些數據留存后,并與別的數據進行整合,產生出新的價值。然而這種方式與GDPR的規定沖突極大。
鋌而走險的代價會多大?
對于違法行為,GDPR并沒有設置具體的罰金幅度,而是設定兩個檔次的***金額限制:
- 1)輕者處以1000萬歐元或者上一年度全球營收的2%,兩者取其高;
- 2)重者處以2000萬歐元或者企業上一年度全球營業收入的4%,兩者取其高。
什么是輕?違反隱私保護設計,以及默認隱私保護,沒有實施充分的IT安全保障措施、違反數據泄露通知要求,屬于能力問題。
什么是重?違反數據處理原則,數據處理沒有合法基礎,違法同意要求,侵害數據主體的合法權利,屬于態度問題。
這么嚴苛的規則和罰則,足以把違規者罰死。有報道分析,GDPR實施的***年,歐盟的罰款收入可達60億美金;如果真抓著一個大家伙,這個數字顯然過于保守。
那么惹不起,能躲得開么?
GDPR的實施范圍可以從兩個維度來看。
首先,是成立地在歐盟的機構必須遵循GDPR,無論數據處理的活動是否發生在歐盟境內。
其次,成立地在歐盟以外的機構,只要其在提供產品或者服務的過程中,無論是收費還是免費,只要處理歐盟境內個體的個人數據,就必須遵循GDPR。尤其是后面這條規則,意味著無論你是不是把服務器放在了歐盟里,只要你為歐盟范圍之內的客戶提供服務,就在GDPR的管控范圍內。
看起來在歐洲做大數據生意,難度越來越大。那如日中天的云服務,在歐洲開展業務時遇到GDPR時,會不會出師未捷身先死?下一篇談談這個話題。
