当前位置:首页 » 行业动态

中国公司欧洲新挑战:遭遇史上最严数据保护法

欧盟在第一年将可能收到60亿美圆的罚金。这60亿美圆的罚金会有来自中国公司的“贡献”吗?但愿不会有。

《财经》记者 周源 特约撰稿人 何芊樾/文 谢丽容/编辑 《财经》记者 周源 特约撰稿人 何芊樾/文 谢丽容/编辑

  5月25日,欧洲居民一醒悟来发现,他们被芝加哥论坛报和洛杉矶时报等一些知名新闻网站暂时屏蔽了,点开网站时,显现出的只需一则暂停运用的通知。构成这一改动的缘由在于5月25号正式开端实行的欧盟《通用数据维护条例》(General Data Protection Regulation,以下简称GDPR)。

  GDPR被称为有史以来最为严厉的数据维护法规。作为一项强迫性,它维护的是自然人的“个人数据”,包括姓名、地址、华诞、、银行、医疗信息、位置信息、IP地址等等。

  任何在欧盟设立机构的企业或向欧盟境内提供产品和效劳的企业,在处置欧盟境内个人的数据时都遭到GDPR的约束,除非放弃欧盟5亿兴隆人口市场。

  假如违背GDPR,企业最高将面临高达全球年营收4%或者2000万欧元(约1.5亿钱)的巨额罚款(两者取其高)。

  不过,巨额罚款仅是一方面,上市公司们假如被发往常个人数据维护方面有渎职以至“失德”行为,必将面临股价和名誉的双双“跳水”,Facebook即是前车之鉴。

  国外的大企业们早已行动起来应对GDPR。例如,苹果中止了在其机器学习和AI系统开发中运用用户数据;微软为GDPR项目投入了1600多名工程师;Facebook将约15亿用户的注册地从转往美国,来完成GDPR的合规;Twitter关闭了Poku、Android TV和Xbox版的Twitter应用。

  一些中国公司同样对GDPR枕戈待旦。一位中国知名公司法务通知《财经》记者,该公司半年前开端依据欧盟GDPR规范中止产品合规的改造与升级。“据我所知,中国其他一些大的互联网公司也是如此。”她说。

  25日官网上贴出公告,称其内部审计部门完成了全面的技术和流程的审视,确保相关业务服从适用的GDPR请求。而且,华为一切业务单元均设置有专职的隐私相关的角色和/或组织。依据GDPR的请求,该公司还任命了欧盟数据维护官。

  阿里云表示已从平台、系统、产品、效劳、合规、流程、政策等方面,全面依照该请求持续中止数据维护与相关效劳改进,相关工作曾经准备就绪。阿里云特别强调,该公司已为客户提供账号删除功用,全球客户能够自助操作完成。

  GDPR偏重“自然人的基本权益和自由,特别是数据主体的权益”,特别是“数据的被遗忘的权益/删除权”,能否提供账号删除效劳也成了能否契合GDPR的最显著标志之一。

  京东法律研讨院以至编撰了国内第一本GDPR专著:《欧盟数据宪章-GPDR评述及实务指引》。

  但并非一切受GDPR约束的中资企业都有实践行动。安杰律师事务所IT和数据业务合伙人杨洪泉通知《财经》记者,从其效劳的涉欧企业来看,固然大部分企业关于GDPR的适用范围和违背GDPR可能招致的巨额罚款比较分明,但仍有些企业关于GDPR的域外效能(即能够管辖远在中国的企业)半信半疑,仍在张望。

  还有一些公司是低估了业务合规改造的复杂度,招致实践上并未在25日之前完成改造。

  “这是个系统化的问题,先要找出在什么环节可能会遇到什么问题,再制定系统化的调整计划,然后请求IT部门执行,其后还要定期给相关人员做培训,是个需求调动各部门联动的任务,很复杂。有的公司了解不够,觉得我写个公告就完了,但是事情并不是这么简单的。”3HR律所董事李海巍向《财经》记者解释说。

  李海巍主要担任中资公司在英国的业务。据他引见,大部分驻英中资公司是近三五年才来到英国,管理层的主要肉体还在树立业务结构上,能够说在最忙的时分遇到GDPR,因而比较被动。

  即便是欧洲外乡公司,也为GDPR合规做出大量准备。芬兰AI教育公司Claned的 COO Kalle Lehtinen通知《财经》记者,为了抵达合规规范,他们一方面审视内部流程,针对相关环节做出技术处置计划并改进;另一方面,他们也对用户协议中止了更新。“我们曾经投入了数月的时间来顺应新的法规,也破费了大量的肉体来培训我们的员工,”Kalle说。

  Kalle以尴尬点在于,新规请求在流程中树立必要的控制措施,从而能够记载“一切操作(everything)”,以证明数据处置是依照GDPR完成的,而这个工作量庞大。此外,去征求客户同意必要的数据处置协议也是一个难点,由于有些客户迟迟没有完成同意协议的升级这一步。

  但无论处于哪一状态的中资企业,无论是中国企业还是外国企业,没有谁真正有十足的把握表示曾经彻底准备好。从《1995数据维护指令》34个条款展开到99条,GDPR创建了大量的新概念、新准绳、新权益,招致产生许多争议和尚待细化的范畴。

  “2016年GDPR立法文本的正式经过,并不意味着制度规范都已成熟,相反,次序树立才刚刚拉开序幕,面临应战的不只是GDPR的适用对象,也包括GDPR自身。”腾讯研讨院数据维护法律法规资深研讨专家王融说。

  杨洪泉以为,中国企业所面临的应战还包括,如何在满足GDPR请求的同时接驳中国的网络安全法及其配套法律法规、以及《个人规范》的请求。固然中国《网络安全法》已出台,但仍有部分配套法规尚未最终落地(例如《个人信息和重要数据出境安全评价办法》),这亦给企业的合规理论带来不肯定性。

  市场调研公司Ovum的一份调查报告显现,52%受访的IT决策者估量GDPR将招致他们公司收到罚款。管理咨询公司奥利佛.怀曼(Oliver Wyman)则预测,欧盟在第一年将可能收到60亿美圆的罚金。这60亿美圆的罚金会有来自中国公司的“贡献”吗?但愿不会有。

    本文首发于微信公众号:财经杂志。文章内容属作者个人观念,不代表和讯网立场。投资者据此操作,风险请自担。