6月7日,云栖大会 · 上海峰会GDPR专场,来自SCOPE、TrustArc、德勤、科文顿柏灵律师事务所和阿里云的相关负责人、专家和顾问,从监管、隐私评估方、管理咨询、律师以及云服务提供商的视角,对企业关注的GDPR要点做了一次“全向解读”。
电商、移动、零售、酒店等行业的CIO们,也根据自己的切身体会,提出了关于GDPR的疑问。
企业对GDPR有哪些“过度紧张”的误区?
出海企业面对GDPR,要做的第一步是什么?
客户授权同意应该做到哪个程度?
这些问题,想必每一个在欧盟地区有客户、或有意向开拓欧洲市场的企业和机构,都有过疑惑。
GDPR生效后,无论是监管方、顾问方、评估方,还是产品/服务提供商和个人,都站在一个新的起点去看待隐私保护,并且互相影响着对方。
作为数据隐私保护的领先者,阿里云愿从自己多年实践的经验出发,携手各方,帮助大家了解GDPR,提升全球数据隐私保护水平。今天开始,安全君将从“他们(第三方和监管),我们(阿里云),你们(行业CIO)”三个视角,回顾上海云栖 ·GDPR专场的精选观点和问答。
—
Jörn Wittmann
SCOPE Europe董事总经理
注:SCOPEEurope是欧盟行为准则的私立监管机构。
以GDPR为代表的现代监管时代来临,精髓在于协同合作、多方考虑
Jörn 的演讲提到了现代监管(ModernRegulation)的概念,和GDPR框架下欧盟云守则对现代监管理念的落实。从监管的角度,解读了GDPR法律出台的背景,及隐私保护的趋势。
全球所处的数字时代,其显著特征是:高速创新,对技术人员的高要求,不断变化的全新挑战。
而在传统的监管理念中,决策链一般过于冗长,对即将到来的挑战无法灵活应对,新的技术通常处于监管空白。没有多方协同的单一监管,难以真正落实到企业转型中。
而在现代监管的框架下,欧盟监管方在制定一项法律的时候,会考虑如下因素:
(1) 谁负责起草法律法规。举个例子,涉及消费者的法律,到底是普通“消费者”、消费者协会和相关部门、还是企业,具体让哪些群体来参与?
(2) 产业相关方(比如服务提供方),是否可以给法律制定方相关的建议?能影响到什么程度?
(3) 谁去审核法律内容的细节,以保证正确的目标实现?
(4) 被约束的一方,符合法律的动机在哪里?其中一种“动机”是负面“激励”措施,比如你不合法,就会受到相应的处罚。还有一种是正面激励。在很多法律实施的时候,我们会发现做得好的那些公司,是受到正面激励的公司。比如说,有限责任制就是一种正面激励。
在这个背景下,来看看GDPR和欧盟云守则(EU Cloud COC),它们可以称之为现代监管贯彻落实的一个很好案例,之前提到的四个因素都有被考虑到,缩小了隐私保护法律的模糊地带。
"欧盟云守则希望将GDPR的一些比较模糊的条款给具体化,尤其在云计算领域。"
基于守则,可以给云服务提供商具体的参考,告知其如何才算是合法合规,也告诉其最终客户,怎么去验证服务提供商的合规性。
在符合法律的过程中,机构和企业也可以借以“自省”:我在哪一方面做的不够好(驱动力:避免高额罚款),公司内部有哪些原则要遵守,我们给客户提供服务的边界在哪里。这也是作为监管方,对企业隐私保护的真正期待所在。
注:阿里云是欧盟云守则的创始会员和大会成员。
—
罗嫣
美国科文顿柏灵律师事务所高级顾问
赢在起跑线上:读懂GDPR的一字一句
罗律师向现场观众更加清晰、深入地解析了GDPR法律法规的要求。
首先,GDPR是什么。GDPR是一部旨在保护自然人(个人而非公司)之个人信息的法律,于2018年5月25日开始施行,直接适用于欧盟所有成员国。
那么,谁应该关注GDPR?罗律师定义出了一个加法公式:
在欧盟有相关实体的公司+向欧盟境内的个人提供产品或服务(无论是否需就该等产品或服务进行付款)的公司+监测欧盟境内个人之行为的公司(特征分析)
接着,GDPR对公司规定了哪些义务?
(1)透明度(网站隐私政策——cookie政策——隐私声明)
(2)数据处理的法律依据
(3)与关联方或者第三方共享数据的限制
(4)向欧盟境外传输数据的限制
(5)数据安全要求
(6)数据量最小化
(7)问责措施(记录、 数据保护官(DPO)、数据保护影响评估(DPIA)等)
(8)关于数据保存时间限制的要求
罗律师也提到了GDPR框架下AI发展的问题。针对当下AI客户公司的发展热潮,从法律角度提出了七条实用建议。
第一,对数据的使用保持透明;第二,尽可能的使用最少量的个人数据,如果可能尽量完全匿名化数据;第三, 对生理数据的收集和使用获得明示同意,了解同意可以被撤回,仅有极少数例外情况;第四,合理地保护个人数据的安全;第五,避免使用儿童数据;第六,考虑广泛的个人数据权利,比如访问权、可携权;最后,考虑更高的隐私敏感度。例如,德国禁止可以进行收听信息的玩具。
—
Chris Babel
TrustArc的首席执行官
注:TrsutArc为隐私认证方案提供商,第三方隐私合规机构。2017年,阿里云与TrustArc达成合作,向全球企业提供从咨询、计划定制、到合规改造执行的解决方案。
GDPR是一个新的开始:在数字经济时代,不去适应世界范围内隐私保护的脚步,世界就会反过来推着你走
Chris首先强调数据安全保护与隐私保护的区别。数据安全保护更多的关注在数据免遭黑客攻击,防止内部泄露,从而保护内部和客户的“数据资产”;
而隐私保护更多的是:如何在数据开放的时代下尊重、保护消费者,构建与客户之间的关系,最终获取信任。而隐私法律,就是强制要求企业、机构和社会去定义、构建这种信任。
98%左右的企业认为隐私管理变得越来越困难、越来越复杂,这也是GDPR真正要出现的一个背景。
77%的大型美国企业(职工人数大于500人)说,他们将会投入100万美元以上,用以GDPR合法改造; 42%的公司会在隐私保护上重点加大投入;
企业和机构要满足GDPR要求,在Chris看来有三个最关键的点:首先是隐私深度,在企业内部,隐私保护到底落实到了哪一层,有时候企业可以雇佣外部律所或专业团队来协助此事;第二是需要有隐私保护流程、框架,包括之前提到的隐私融入设计概念(Privacy by Design),就是一个很好的例子。
“在我接触到的一些大型企业中,其中一些的业务流程可能达到500多页,都与数据息息相关。”
第三,技术。强有力的技术支持会给企业的GDPR准备工作带来很强的助推,比如应该知道企业内部数据如何流动,系统如何改造等等。
“在一个全球化的环境中,如果企业不主动去跟上全球隐私法律的脚步,那么它就会倒逼你。”
Chris提到,很多公司说GDPR是最难做的事情,确实是这样,但对待GDPR的正确方式不是被动地去达标,而是借由GDPR来树立自己的优势。
—
Max Lin
德勤高级总监,风险管理顾问
从内控到外管,GDPR要求企业将一个机制落实到每一天的业务运行中
Max的建议从实际案例出发,为企业和机构的隐私保护管理提出建议。
“GDPR给企业和机构一个很重要的要求就是:用什么样的方式去做管理和运维。如前面几位演讲者所说,隐私保护不是一个525节点就能做完的事情,而是需要持续地推动整个团队去协作。”
GDPR的法条,并不是每一条都需要去拆解、理解,而最重要,也是最麻烦的部分,是判断哪些法条是和你的公司直接相关,而公司的系统、业务,又有哪一些涉及隐私风险。
有一个企业常见误区:寄希望于雇佣一个DPO (数据保护官),但隐私保护绝对不是一个岗位一个人能去推动的。不然这个岗位会成为一个“苦差事”。隐私保护工作要有一个团队或者小组推进,真正落实到业务中。
还有一种令人担忧的情况:为了“满足”GDPR,有些公司定了一本厚厚的隐私保护体系书,需要企业去“内化”的,但并没有去搭建起来一个团队,明确职责,把这个机制运作起来。
在企业内部的管控之外,Max也说到供应商的管理。
“之前我有听过一些客户说他们(不正确)的‘供应商管理之道’ — 看看哪个地方监管比较松,就将供应商的采购往这个地域集中”。
而Max认为的供应商管理重要原则是:界定我们怎么做,别人怎么做,才不会违背我们的业务要求。很多企业需要有一个职责岗位,或者一个团队,去了解整个供应链中的各方,是否都符合共识要求,并遵照行事—— 比如有人可以去做现场的审计,追踪供应商的隐私协议履行情况等。
