随着欧洲新隐私保护法《通用数据保护条例》(General Data Protection Regulation,简称GDPR)周五开始生效,外界关注的焦点也集中在Facebook Inc.(FB)和Alphabet Inc.(GOOG)旗下谷歌(Google)等科技巨头如何应对的问题上。但实际上,新法的影响要广泛得多。
按照GDPR的规定,无论是万事达卡(Mastercard Inc., MA)和安联保险公司(Allianz SE, AZ)这样的跨国企业,还是小型制造商甚至是餐馆,成千上万家公司都须改变收集和处理欧洲个人信息的方式,即便这些公司在欧洲并没有实体存在。
隐私法律师和咨询顾问称,很多企业还没有完全准备好。为了赶在周五新法生效前作好准备,有些企业已经花费了数百万美元。
亚利桑那州坦普尔太阳能板生产商First Solar Inc.(FSLR)首席合规长Paul Delson说:“我认为,作为一家公司,我们还没有完全搞清楚新法有哪些要求。”这家公司匆忙草拟了新的员工及客户数据使用政策,描述了使用数据的方式。他说,公司起初抱着这样一种心态,“这是欧洲法律,而我们是一家美国公司”。
GDPR创建或强化了企业的许多义务,比如将他们收集信息的规模最小化。新法赋予个人新的或更大的权利,包括在许多情况下查看、更正或删除个人信息的权利。
企业有责任展示他们遵守了上述规定,否则可能被处以罚款,罚金或高达其全球收入的4%,或为2,000万欧元(合2,340万美元),二者中取较高的一个。监管机构对未及时合规的行为不太可能心慈手软,因为2016年通过的此项法规已延迟两年实施,给企业留足了准备时间。
Andrea Jelinek料从周五起执掌一个监督GDPR执行情况的欧盟新设委员会,该委员会包含欧盟各国的数据保护监管人员。Jelinek表示:“并无隐藏议程,我们将监督企业在执行该法规方面是否落后,以及落后的程度。”
对企业进行的调查显示,60%-85%的受访公司认为他们在周五前难以实现完全合规。咨询公司Capgemini SE在今年3月和4月对1,000家企业进行的一项调查显示,只有半数受访企业表示他们基本合规。
Capgemini的GDPR合规实践负责人Willem de Paepe表示,此类由多个部分组成的巨大项目程序有时需要数年才能完成。
那些表示将赶在最后期限之前完成合规工作的企业很多都投入了大量财力来完成这一任务。总部位于慕尼黑的安联表示,该公司为符合GDPR规定已耗资数千万欧元,包括集合旗下80家子公司的数百名隐私专家来作出调整,例如修改在线保险应用程序以避免要求客户提供投保人职业等保险报价不需要的信息。
安联集团首席隐私长Philipp Raether表示,这是一项浩大的工程。
总部位于伦敦、拥有90名雇员的视频游戏公司Bossa Studios表示,该公司为此支付了数万美元咨询费,最终咨询机构的结论是该公司符合GDPR的规定,无需进行任何调整,因为该公司仅保存了简单的数据。该公司首席执行长Henrique Olifiers称,这是一项非常复杂的问题,即便是咨询人员也在试图弄明白这些规定。
新规中一个颇为苛刻的要求是,企业必须列出所有收集和处理个人信息的方式。法国酒店集团雅高(Accor SA)雇佣一家外部机构制作了一份囊括该公司所有数据使用方式的图表,之后对这张图表进行随时更新,以备监管机构的审计。该公司未透露聘请该机构的费用。雅高负责数据保护的Thomas Elm表示,这是一个永无休止的过程。
收集大量乘客数据的美国航空公司不愿公开讨论这些公司的合规准备情况。一位航空业高管称,重点是创建一个储存在飞行常客奖励计划下的数百万会员信息的个人数据库,以及这些数据能如何共享给在线旅行服务机构等第三方机构。他已任命自己为首席数据保护长,这是根据GDPR要求设立的新职位。
科文顿·柏灵律师事务所(Covington& Burling)在布鲁塞尔的合伙人、数据保护专家Henriette Tielemans称,由于工作量巨大,企业难以达成新规要求的具体目标,包括信息处理活动的记录、转让协议、通知以及网站等,还包括更加概念化的处理方式,因为这与企业迄今为止的业务模式不一样。
万事达卡高管去年认识到,根据GDPR,该公司分析的信用卡交易数据(如显示采购趋势的数据)也许不再被视为匿名数据。这将意味着GDPR有可能限制这些数据今后的使用方式,因为该法限制将个人数据用于数据收集目的之外的用途。
于是,万事达卡今年3月效仿国际商业机器公司(International Business Machines, IBM,简称IBM),创建一只掌握这些数据并使之匿名化的外部信托,这样万事达卡便无法根据这些数据重新确认个人身份。该信托名为Truata,旨在接收万事达卡客户及其他客户的数据,使其在进行分析的同时能够确保数据匿名。
万事达卡首席数据长JoAnn Stonier称:“数据匿名化为个人提供了又一层保护。
纽约在线广告代理公司AppNexus Inc.首席执行长Brian O''Kelley称,由于GDPR的实施,该公司不得不与欧洲销售商和客户,以及那些在欧洲经营业务的美国公司重新签订合同。AppNexus约30%的业务在欧洲。
O''Kelley称:“我们正遭遇全球史上最严重的法律僵局之一,我最担心的是这种情况不能在10天内解决。”
预订和顾客信息服务平台SevenRooms的联合创始人Kinesh Patel称,就连美国的餐馆也担心GDPR合规问题,因为它们收集和保留赴美旅行并预订餐饮的欧盟居民相关信息。他还称,较大的餐饮连锁店一段时间来一直在为GDPR合规做准备工作,但这一新规令较小的餐馆感到意外。
Patel称,餐馆不是科技企业,但如今却被要求像科技企业一样管理其数据。
评论 (0)