中國企業(yè)無需懼怕GDPR

焦旭

在大數(shù)據(jù)時代，數(shù)據(jù)不僅“改變”了我們的生活，還將“顛覆”我們的生活。

試問，你是否在意企業(yè)“瘋狂”采集個人數(shù)據(jù)的行為、是否在意企業(yè)采集的個人數(shù)據(jù)到底屬于誰、是否在意那些被采集的個人數(shù)據(jù)到底用作什么？答案一定是肯定的。沒有人還會對個人數(shù)據(jù)的安全無動于衷。

這個夏天，就在人們熱議《網(wǎng)絡安全法》施行1周年之際，那些已經(jīng)或即將走出國門的國內(nèi)企業(yè)已把目光聚焦在歐盟《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）的身上了。

5月25日，GDPR結束了兩年的過渡期正式生效，被業(yè)內(nèi)認為是有史以來最為嚴格的數(shù)據(jù)保護法規(guī)，作為一項強制性法律，它取代了歐盟通行20年的《計算機數(shù)據(jù)保護法》。

號稱最嚴，嚴在哪里？

為保障GDPR推行，歐盟增設了獨立監(jiān)管機構——歐洲數(shù)據(jù)保護委員會也于同一天正式成立。委員會的新任主席安德烈亞·耶利內(nèi)克表示：“在必要的時候，我們可以作出裁決，我們將集合28個（成員國）監(jiān)管機構的智慧，找到歐洲數(shù)據(jù)保護的最佳方法。”

“分得細、管得寬、罰得狠”，背著這些標簽的GDPR被稱為“有史以來最嚴”的數(shù)據(jù)保護條例。首先，GDPR大幅拓展了對于“個人數(shù)據(jù)”的定義，除了姓名、手機號、用戶名、網(wǎng)絡IP地址以及定位地址這些常規(guī)信息外，還包括健康數(shù)據(jù)、政治觀點等敏感信息。其次，用戶將經(jīng)常需要選擇是否授權企業(yè)或機構獲取其個人數(shù)據(jù)，會有一些選項框供用戶勾選，企業(yè)或機構必須用通俗的語言向用戶說明用途。此外，用戶還有權要求企業(yè)或機構刪除其個人數(shù)據(jù)。

無論企業(yè)是否在歐盟境內(nèi)，只要與歐盟企業(yè)發(fā)生業(yè)務往來，或涉及存儲、處理、交換任何歐盟公民的數(shù)據(jù)，都在這一條例的管轄范圍之內(nèi)。理論上，違規(guī)企業(yè)最高可能受到2000萬歐元或全球營業(yè)額4%的罰款，以較高者為準。

就在正式生效的當天，包括《芝加哥時報》和《洛杉磯時報》在內(nèi)的多家美國熱門新聞網(wǎng)站在歐盟地區(qū)陷入癱瘓，原因是沒能及時取得用戶授權。

對中企是挑戰(zhàn)更是機遇

許多人可能認為，如果公司是在中國處理數(shù)據(jù)，就不用遵守GDPR。但事實上不是這么回事，今后只要涉及到使用歐盟個人數(shù)據(jù)，中國公司就一定要遵守GDPR。

比如人工智能、電子商務、互聯(lián)網(wǎng)金融以及新興的分享經(jīng)濟企業(yè)，只要與數(shù)據(jù)、互聯(lián)網(wǎng)相關，他們在開展業(yè)務的時候不可避免地要收集個人信息。哪怕中國企業(yè)沒有在歐盟設立任何分支機構，但是歐盟用戶上這個中國的網(wǎng)站，注冊購買商品、購買服務，這個時候，這家中國企業(yè)如果不當收集信息，那么歐盟監(jiān)管當局就可能對中國企業(yè)處以巨額罰款。

如此看來，GDPR對于涉及數(shù)據(jù)業(yè)務的互聯(lián)網(wǎng)企業(yè)而言確實“猛如虎”。

Veeam中國區(qū)總裁施勤在接受記者采訪時，提出了自己的觀點。他指出，作為全球發(fā)展最快的經(jīng)濟體之一，中國企業(yè)的業(yè)務范圍已經(jīng)迅速擴展到全球各地，這當然包括歐盟成員國。大型中國跨國企業(yè)、以及越來越多的后起之秀也開始將觸角伸往歐洲。GDPR的實施對全球市場在數(shù)據(jù)標準化的建設產(chǎn)生積極的影響，對于中國企業(yè)有利也有弊。它有利于提高我國數(shù)字經(jīng)濟企業(yè)的國際競爭力，有利于我國數(shù)字經(jīng)濟企業(yè)做大做強，進而有利于促進我國的數(shù)字經(jīng)濟市場的整體良性快速發(fā)展。施勤表示：“數(shù)據(jù)變得越來越金貴，它需要更好的保護。數(shù)據(jù)的采集、提取和監(jiān)管的成本，都相應增加了?！彼?，GDPR的實施會給企業(yè)帶來一定的合規(guī)成本。

施勤強調(diào)：“誠信度的提高，對于企業(yè)而言是一件好事情。雖然短期內(nèi)會有一筆投入，但是卻提高了企業(yè)對個人隱私數(shù)據(jù)保護的意識。企業(yè)提高整體素質(zhì)，對提升中國本土用戶數(shù)據(jù)保護的意識非常有益。一旦企業(yè)實現(xiàn)合規(guī)，將大大提高競爭力。”

在Veeam內(nèi)部，也專門成立了一個數(shù)據(jù)管理小組。目前，Veeam的解決方案針對數(shù)據(jù)提供了很好的管理和報告功能，可以幫助驗證是否符合GDPR的某些條款，Veeam的解決方案在企業(yè)業(yè)務計劃外中斷之后，幫助企業(yè)快速恢復數(shù)據(jù)訪問和可用性方面的能力是市場領先的。同樣，Veeam解決方案的備份驗證功能可確保企業(yè)能夠評估為恢復而保存的數(shù)據(jù)的有效性，以滿足GDPR這方面的要求。

施勤建議相關企業(yè)進行一次GDPR差距分析，評估在合規(guī)方面的現(xiàn)狀。從數(shù)據(jù)流映射開始，提供所有個人可識別信息（PII）的位置，開始評估過程，包括誰有權訪問，在哪里提高效率，數(shù)據(jù)應移動到哪里等等。接下來，Veeam會提供更多協(xié)助用戶制定GDPR合規(guī)計劃的信息，這些用戶既會有要走出去的國內(nèi)企業(yè)，也有將入駐中國的全球企業(yè)。

施勤最后表示，企業(yè)應該將GDPR視為一種新機制，負責地使用和管理企業(yè)數(shù)據(jù)，負責地對待客戶和供應商。為此企業(yè)需積極應對，做好數(shù)據(jù)保護準備，主動迎接GDPR的合規(guī)挑戰(zhàn)，努力與GDPR的水平接軌。