2019年1月11日,国内针对近期媒体报道相关手机应用软件存在侵犯用户个人隐私的问题,工业和信息化部信息通信管理局约谈了北京百度网讯科技有限公司、蚂蚁金服集团公司(支付宝)、北京字节跳动科技有限公司(今日头条)。指出三家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况,要求三家企业本着充分保障用户知情权和选择权的原则立即进行整改。同月25日,中央网信办、工信部、公安部、市场监管总局等四部门召开新闻发布会,联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》。
面对社会越来越依赖于数字化的生存,有关个人信息、隐私保护的立法、规范相继推出,如欧盟的《通用数据保护条例》(GDPR)、英国的BS 10012《个人信息保护标准》、我国的《网络安全法》、《个人信息安全规范》,以及ISO/IEC 29151、ISO/IEC 27018等国际标准。自2018年5月25日欧盟的GDPR实施以来,企业整体上态度向好,触发了企业开始积极了解个人数据、隐私保护的立法,其中针对GDPR关注最多的是适用性问题,如:
1. 公司通过代理商向欧盟销售产品,不直接接触客户数据,是否不涉及GDPR?
2. 我们是一家制造型企业,只提供产品、关键元器件或服务,GDPR是否适用?
3. 我们只卖医疗设备给医院,不会接触个人数据,是否和GDPR没关系?
4. 欧盟居民来中国出差、旅游,酒店对其个人数据是否需要遵从GDPR?
5. 企业雇佣欧盟居民员工,对其个人数据是否需要遵从GDPR?
6. 通过数据漂白,仍然会留有节点可追溯到个人,这种场景是否在GDPR适用范围内?
7. 公司参加展会等市场推广活动,收集的名片、客户信息是否在GDPR适用范围内?(等)
此外对GDPR是否有类似ROHS、REACH之类的合规认证,是否需要投入(如IT方面)以及需要多大投入等问题也引起了企业不少关注,个别企业人士也提到了欧盟监管机构如何向企业罚得到款之类的问题,甚至对欧盟监管机构在法规实施落地方面提出了质疑。从GDPR实施半年多时间来,我们观察到企业大致体现出了几种不同态度和应对方式:(1)更新相关的服务条款和隐私协议;(2)直接关停相关业务;(3)观望或未关注。其中存在的主要问题是对法规的条款把握不准,以致在业务调整时产生较大偏差。如关于获得个人“同意”往往被强制执行成了“被同意”;或将个人数据权利过度要求,束缚了企业正常的业务行为。其次是对法规缺少敬畏,存在侥幸心理,走一步看一步。
2019年1月21日,法国数据保护监管机构国家信息与自由委员会(CNIL)向谷歌开出5000万欧元的罚单,原因是谷歌未遵从欧盟《通用数据保护条例》(GDPR)法规的要求。CNIL官网声明中表示,谷歌在向用户定向发送广告时缺乏透明度、信息不足,且未获得用户有效许可,“用户对于自己同意什么并没有充分的认识”。个人数据、隐私保护立法,是关乎企业合规经营的事,需要引起足够的重视,否则,因触碰到法律底线,一着不慎满盘皆输。尤其对有良好发展业务前景的企业,需要纳入企业的必修课,建立GDPR合规运营团队,从政策、组织、流程、管理、技术、规范等方面构建满足个人数据、隐私保护法律合规的长效机制。
面对国内外日益完善的个人隐私立法,企业如何做到合规?SGS凭借全球资源对欧盟GDPR以及各国个人数据、隐私保护法规、标准的解读和研究成果,愿与企业一道,识别与企业自身活动相关的个人数据、隐私保护风险与差距,找出应对方法,为企业的合规经营保驾护航,欢迎联系交流。
针对欧盟GDPR,可提供的专项服务:
1. GDPR法规解读系列课程(意识、法规条文、DPO赋能)
2. GDPR企业合规差距分析及最佳实践指导
3. GDPR合规流程设计和优化
4. 产品隐私设计及合规性测试
5. GDPR企业符合性审核及供应商符合性审核服务
本文著作权归SGS所有,商业转载请联系获得正式授权,非商业请注明出处