图为欧盟GDPR学院总裁Kersi F. Porbunberwall演讲现场
新华丝路网北京7月26日电 (记者李浩然) 欧盟GDPR学院总裁Kersi F. Porbunberwall 25日出席了中国贸促会全国企业合规委员会第四期企业合规讲坛,他认为在面临欧盟最新条款时,各大公司或机构需要从认知评估、完善修订和监管运营三个方面来调整信息保护措施以应对《一般数据保护条例》(简称GDPR)。
5月25日,欧盟颁布实行了有史以来最严厉的个人隐私信息保护法案——《一般数据保护条例》。按照这一法案,侵犯个人隐私的行为最高可能直接处罚2000万欧元,约合人民币1.5亿元。此法规定的另一种罚款方式是对违法企业或组织处以全球营业额4%的罚款。
企业所面对的法规原则
“《一般数据保护条例》不仅仅是关于数据保护的一项法规,它更是一套以人权和隐私权为保护基础的法规。” Porbunberwall说,凡是提供的产品、服务和数据方面涉及在欧洲居住且不限于欧洲国籍人员的隐私时,都受到一般数据保护条例的束缚。
《一般数据保护条例》第9条明确规定,“禁止在个人数据处理中泄露种族或民族起源、政治观点、宗教信仰、哲学信仰、工会成员资格等个人信息,禁止以识别自然人身份为目的对个人基因数据、生物特征数据的处理,禁止对健康数据、性生活、性取向等相关数据进行处理。”
“按照法治主义原则,自然人是构成政治社会的基础,因此对自然人的权利保护具有优先地位。” 独立观察评论员杨震表示,《一般数据保护条例》的出台表明了欧洲国家对市场规范开启了法治为根本的更加严格的标准。
《一般数据保护条例》要求企业公平合法地处理数据、确定合理的数据收集范围、及时更新并保证数据的准确性、及时销毁不必要的数据和保证数据的安全性。
Porbunberwall表示,在数据的安全性方面,《一般数据保护条例》不仅要求企业保证数据储存的安全性,还要求企业保证数据传输的安全性。如果企业发生了严重的数据泄露,企业必须及时通知用户以保证用户的知情权。
“用户同时还有权从企业方面获取其被收集的个人数据的备份并有权要求企业删除其被收集的所有个人数据。” Porbunberwall说,即便数据没有泄露,但是没有按照《一般数据保护条例》规范执行,同样也会被处以巨额罚款。
企业应对的策略
据金融时报调查显示,全球百大公司中87%认为泄露数据是其最高风险。然而只有60%的企业对员工进行了安全意识的培训。
“这便需要公司或者团体要明确意识到自己掌握了他人的私人信息。”Porbunberwall说,这需要公司或团体对已有隐私保护措施进行重新评估并制定修改方案。
为达到《一般数据保护条例》的要求,Porbunberwall建议企业或团体的管理层需要协调企业的法务部门、技术部门和管理部门共同作出改变,并加强对企业员工合规意识的培养,从而实现合规经营,有效避免合规风险。
“尽量减少所掌握的个人隐私与第三方较多的接触,即便要将信息与第三方共享,也必须征得数据主体的明确同意。” Porbunberwall说,更为重要的是除非第三国有与《一般数据保护条例》相似的法律法规,否则不能将欧盟内人员信息共享给第三国人员。
有关专家建议,公司和企业需要对相关人员进行培训,明确什么是数据泄露,如何进行泄露损失评估等。包括针对72小时的通知要求,帮助企业建立泄露后企业内部处理流程,以保证企业可以及时准确进行决策;同时,需要在技术方面实时监测数据保护,调查数据泄露,记录监测和调查结果。
Porbunberwall表示,任何公司或者团体不能够侥幸地认为可以把违规后的处罚转嫁给保险公司,这是《一般数据保护条例》不允许的。公司或者团体一定要制定严格的自我审查机制和规章制度以避免出现违规现象。
中国企业需要做什么?
“中国企业要在短时间内达到《一般数据保护条例》的标准还很困难,多数企业目前还缺乏对个人隐私保护的整个概念。”全国企业合规委员会副主席王志乐坦言,总体来讲,《一般数据保护条例》对中国企业的挑战多于机会。
有关专家表示,我们部分企业还是习惯于一种“半开放、不透明、不公平竞争”的制度环境下去拿项目,而不是在合法合规的条件下进行自由市场竞争。
Porbunberwall认为,企业在应对《一般数据保护条例》的同时也能够使企业更加关注合规问题从而帮助企业更好地利用数据,提高企业的声誉,增强企业的盈利能力。
“从清除数据开始。” Porbunberwall说,对于企业或团体不需要的数据不再搜集,同时,对于已经完成合作用户的数据,需要及时清理。
在管理数据方面,Porbunberwall建议重新整合数据库,以避免冗杂数据堆积,并且将收集的资料集中于一个部门或渠道进行集中管理。
“一定要在公司或团体内部制定隐私保护管理政策。” Porbunberwall说,同时制定应用软件更新保密等相应的辅助政策。
专业人士认为,中国企业需要在源头制止一切不合规的行为发生。熟悉所在国的法律法规,要从集团层面对海外业务进行整体合规性审查,将合规性要求放在海外投资的制度建设中,确保合规风险消除于萌芽状态。
“合规意识和经营理念的问题不解决,合规风险如影随形。”王志乐说,中国企业需要从自身的法治观念与经营理念进行反思,从整体开始净化,从诸如反垄断、反腐败和反洗钱等多方面进行改革。