在规范中发展 | 浅谈 GDPR 合规遵从与数据隐私治理
近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,先后颁布了一系列法律法规。依法加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为。通过法律法规维护国家网络安全、数据安全和社会公共利益,也告知企业唯有依法合规,才能获得更长远发展。
数字经济时代,数据价值的凸显带来了很多与数据相关的争议及风险,愈加严格的合规遵从要求,不断升级的黑客窃取手段及用户个人数据隐私权利的意识觉醒促使企业加大数据隐私保护的投入。作为隐私与数据保护领域20年来最引入瞩目的立法变革,欧盟《一般数据保护条例》(GDPR) 自颁布以来也引起国内外企业的广泛关注。如何在数字经济时代应对个人数据保护挑战,满足 GDPR 合规遵从是出海的中国企业关注的重要议题。
史上最严的个人数据保护条例 GDPR 具备哪些特点
1. 适用范围广泛
“保护性管辖”:GDPR 以保护欧盟境内自然人利益为宗旨,无论国籍或居住地。只要数据控制人或使用人收集或使用了欧盟境内数据主体的个人信息,即使其并未在欧盟境内设有办公地点也要遵守。
这包括向欧盟境内数据主体提供商品或服务,无论有偿无偿;还包括监控数据主体在欧盟境内的行为。例如,监控数据主体在欧盟境内的消费行为,预测该主体的消费偏好或进行自动决策。GDPR 突破了传统意义上属人原则或属地原则的适用范围。
GDPR 适用的主体,不仅包括企业,也包括决定和参与个人数据处理的任何个人、机构,包括政府部门、公共机构、司法机构以及其他实体。上述个人和实体作为数据控制者或数据处理者,均需要遵从 GDPR 相关规定。
数据控制者应当慎重选择数据处理者,要考量数据处理者对 GDPR 遵从水平。例如,企业在选择公有云产品方案时,要考量云服务提供商(数据处理者)的数据治理和合规遵从能力。数据处理者同样对数据主体承担义务和责任,不可将数据用于其他目的。
数据层面上看,在 GDPR 新规之下,个人数据指与已识别或可识别的自然人有关的任何数据信息,任何一个或多个数据信息,比如名字、身份证号码、位置数据、在线标识符、Cookie,又或者是身体的、生理的、遗传的、心理的、经济的、文化或社会身份的要素。个人数据的涵盖范围可谓史上最广。
GDPR 立法精神,是要求所有组织在使用个人数据方面更加透明和负责,把个人数据隐私作为基本人权来看待,应赋予个人更大的话语权和选择权。
2. 违法成本高
对于不遵守 GDPR 法案的企业处以严厉的制裁和巨额罚款,根据违规性质的严重程度,分为一般违法行为和严重违法行为。
对于一般违法行为,处以全年营收额2%或1000万欧元的罚款,两者以高者为限;
对于严重违法行为,处以全年营收额4%或2000万欧元的罚款,两者以高者为限。
此外,法案支持所有受企业违规影响遭受损失的个人向企业提出损失赔偿的请求,为民事诉讼提供了法律基础。
3. 平衡
被媒体称为“史上最严数据保护条例”,“被遗忘权”,“可携带权”等被赋予个人的权利,给人的感觉都像是某种程度的绝对权利,但实际上,GDPR 条款细则规定体现出需与其他基本权利或正当利益平衡的特点。GDPR 指出“保障个人数据的权利并非绝对权利,必须根据它在社会中的作用来考虑它,需要同其他基本权利相平衡”。GDPR 条款包含但书、克减条款,对例外情形作出补充,对权利作出适当限制。
GDPR 是在欧盟推动单一数字市场战略背景下颁布,为欧盟打造单一欧盟数据疆域和数字经济领袖地位整体规划服务。正如GDPR 条例第1条“主旨与目标”就强调不以保护个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止”。同时我们也看到,2018年10月份欧盟议会投票通过了《非个人数据自由流通条例》,该条例旨在欧盟单一数字市场内,统一有关非个人数据的自由流通规则,消除限制与障碍。
图片
GDPR的出台具备重要的现实意义也代表着目前个人信息保护的趋势史
从企业角度来看:
如今,我们常说数据是“新时代的石油”,那合规无疑是“开水器数字油仓的钥匙”。数据安全事件一再发生给数字化转型期的企业敲响警钟。
“If you think compliance is expensive, trynon-compliance.”
– Former U.S. Deputy Attorney General PaulMcNulty
“如果你认为合规性的成本很高 – 那你可以尝试下不合规的后果”
– 前美国司法部副部长保罗·麦克纳尔蒂
GDPR 遵从给企业带来了合规成本的增加,但同时,其出台有利于更好的规范市场服务,避免劣币驱逐良币,有助于欧盟及全球数字经济的可持续发展。中国企业应该抓住这一机遇,强化数据治理,赢得用户信任,保护品牌价值及声誉,为全球化发展夯实合规基础。
全球运营,企业需要制定统一的数据合规战略。中国出海企业需要同时满足 GDPR,网络安全法等法规要求。而相关法规都规定有不同的数据本地化留存义务,企业需要考虑在其数据全球化、政策本地化的背景下,如何制定数据合规方案。例如针对 GDPR 数据跨境传输方面的要求,企业需要评估其适用的条例,如“有约束的公司规则 (BCR)”, “充分保护认定”等。
企业义务一览
从个人角度来看:
GDPR 把个人数据作为人的基本人权来看待,具有现实的积极意义,迎合了个人在数据隐私保护方面的诉求。
GDPR 关注数字经济时代最核心资产 —— 数据。长远来看,在迈向人机共生新纪元的进程中,个人数据作为每个普通民众核心资产,是普通民众数字化生存的重要砝码之一。保护个人数据权益,是确保社会公平正义,保障公共利益,确保新技术红利普惠民众的重要手段。
SAP 如何助力企业应对 GDPR 合规挑战
应对 GDPR,企业需要考虑优化数据合规战略,明确相关组织和岗位职能,调整政策与流制度,固化 GDPR 相关的风险评估(DPIA),处理记录(ROPA),数据泄露报告等标准合规程序,诊断及优化业务模式,加强内部培训,通过一系列有效的组织及技术手段应对 GDPR 合规遵从。
SAP 致力于数据保护,我们一贯将数据保护作为 SAP 通用产品标准的重要组成部分,并且已改进相关标准以反映 GDPR 法规的相关要求。同时,我们致力于完善产品方案以帮助用户更好的满足 GDPR 的各项条例,这包括已经发布的产品功能特性以及持续研发的新的产品及功能。
我们从三个层面来看一下 SAP 产品如何帮助客户更好的应对 GDPR 合规要求:
(一) 合规治理层
一方面,SAP 治理、风险与合规解决方案 (Governance, Risk and Compliance) 提供的流程控制 (Process Control) 和数据隐私治理 (Data Privacy Governance) 等产品模块,能够支持企业在公司范围内建立一套统一的 GDPR 合规框架,维护数据隐私政策、执行数据保护影响评估、记录数据处理活动、监控数据处理和数据保护措施是否到位,对外披露报告及向监管机构提供证据,实现 GDPR 合规治理工作端到端支持。相关产品模块及功能参考如下:
另一方面,从数据保护的角度,SAP GRC 信息安全相关产品帮助企业建立一套统一的数据隐私保护措施, 以满足 GDPR 相关条例 (条例4(5), 5(1), 32, 33, 34等) 对个人数据保护的要求,包括数据访问控制、敏感信息匿名化、数据泄露防护等方面。相关产品模块及功能参考如下:
(二) 业务执行层
SAP 最新智能套件及各业务线系统内置符合合规要求的功能特性以支持相关业务场景中对个人数据的合规化处理。以人力资源业务为例,SAP 人力资源方案 SuccessFactors 优化了特定的数据安全与隐私功能,围绕企业每一位员工及应聘者的“个人信息”建立数据保护。例如针对应聘者个人信息进行收集时,提供“个人许可”(以满足个人数据处理的合法性) 功能,以支持 GDPR 合规遵从。
了解更多信息,请访问 www.sap.com/gdpr
(三) 数据运营层
SAP HANA 数据管理套件及 Netweaver 技术平台提供一系列产品功能特性,能够完善企业日常数据处理工作,支持 GDPR 法规对于个人数据权益的支持,这包括访问权、被遗忘权、限制处理等。
SAP Netweaver 平台提供的功能特性包括而不限于:
Information Retrieval Framework (IRF) 提供查询和获取个人数据情况,及相关具体处理目的的框架。企业可以通过该框架维护模型生成个人数据报告,支持个人访问权益的响应;
Read Access Log (RAL) 能够记录对系统个人数据的访问情况,结合 GRCUI Logging,Enterprise Threat Detection 可实现更强大的监控和预警功能;
由 SAP Information Lifecycle Management 提供的“禁用及删除”功能,可基于规则对个人数据进行禁用和删除,支持用户限制处理和被遗忘权益的响应。
信息生命周期管理 (SAP Information Lifecycle Management) 除了提供整合在 Netweaver 技术平台的“禁用及删除”功能以外,还提供数据控制规则框架,以满足复杂的数据留存要求 (例如,不同法规数据留存政策差异) ,可基于规则实现自动化的数据归档、禁用、删除以及退役系统的数据保存。
SAP 信息管家 (SAP Information Steward) 模块提供数据目录,元数据管理等功能,可用来标记和分类个人数据,保障企业内部个人数据的准确性和一致性,帮助企业从数据管理的维度实现对个人数据全程探索和治理。
从数据的生命周期的角度看,SAP 方案对 GDPR 相关条例的支持作用:
如需了解更进一步信息,欢迎联系 SAP 中国市场部(电话:400-002-3266)。
相关资源推荐
