亚太90%的企业都不清楚欧盟GDPR数据保护条例 恐遭巨额罚款!
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全4月27日讯 超过半数新加坡、日本与韩国企业表示,担心其无法在2018年5月25日这一最后期限之前满足《一般性数据保护条例》(简称GDPR)合规要求,他们表示对于即将出台的欧盟数据隐私法案表示尚未做好准备,而四分之一的澳大利亚与美国企业则表示企业有可能因此进行大规模裁员。
目前距离将于2018年5月25日正式生效的《一般性数据保护条例》还有一年时间,而56%的新加坡企业表示其担心无法在截止日期之前满足条例中提出的各项要求。
根据由Veritas Technologies公司委托Vanson Bourne进行的一项调查表示,表达同一担忧的日本与韩国企业比例更是高达60%,这意味着在数据保护上这两国的企业在全球范围内已经处于落后地位。
该研究调查涵盖900位企业决策者,分别来自德国、法国与英国在内的八大市场。除美国有200名受访者以外,其它各国市场受访者数量为100位。这些受访者均拥有至少1000名员工的企业,且这些企业因与欧盟存在商业往来而持有欧盟居民个人资料。
就全球范围来看,86%的受访者担心其可能因无法满足GDPR合规性要求而导致自身业务遭遇重大负面影响,有近20%的企业认为这将造成毁灭性。澳大利亚与美国企业普遍持后一种担忧,甚至这其中近25%受访者担心合规性问题可能导致其彻底退出欧洲市场。
《一般性数据保护条例》对企业有什么要求?
这项新的隐私法案指出,欧盟5亿公民将有权将其数据在不同供应商之间往来迁移,要求对应企业停止对其数据进行配置并拥有“被遗忘权”。如果有违隐私法要求,相关企业将面临高达其全球年营收4%的巨额罚款或者2000万欧元(折合1.5亿人民币)罚款,且以数额较大者为准。
其中指定的个人资料包括信用卡、银行以及医疗信息,这意味着任何向欧盟居民提供商品及服务或者对消费者行为进行监控(例如在线购物习惯)的全球性企业皆将受到GDPR的约束。
Veritas公司执行副总裁兼首席产品官迈克·帕尔默(Mike Palmer)指出,“距离GDPR正式生效已经只有一年多的时间,但世界范围内相当一部分企业仍对此采取‘并不在意’的态度。无论您的企业是否处于欧盟境内,只要在该地区范围中开展业务,您即会受到该项法案的约束。”
帕尔默同时警告称,“如果不作出反应,则会导致企业的业务、品牌声誉以及生存能力遭遇重大危机。”
E安全小编重点介绍GDPR的几个特点:
依《欧盟数据保护条例》第三条第一款规定, 只要数据控制人或数据使用人在欧盟境内设有办公地点,且对个人信息的收集和使用属于该机构的业务活动范围,无论收集和使用行为是否发生在欧盟境内,该数据控制人或数据使用人都应遵守《欧盟数据保护条例》。对办公地点应做广义理解,只要有效地、实际地收集和使用了个人信息,只有一个工作人员的中国驻欧办公室便足以构成办公地点。
除此之外,该条第二款规定在两种特殊情形下,只要数据控制人或使用人收集或使用了欧盟境内数据主体的个人信息,即使其并未在欧盟境内设有办公地点也要遵守《欧盟数据保护条例》。这两种特殊情形包括:
1、向欧盟境内数据主体提供商品或服务,无论有偿无偿;
2、监控数据主体在欧盟境内的行为。该条规定是本次欧盟数据保护立法改革的亮点之一,对进军欧盟的中国企业,特别是互联网企业来说意义重大。
《欧盟数据保护条例》第四条规定,已经或者能够通过直接或间接的方式识别自然人的信息为个人信息。该条例对个人信息进行了宽泛地解释。
不仅用户提供的交易信息如银行账号、地址和联系方式等属于个人信息,某些网络数据也可以被认定为个人信息,例如IP地址。
在判定某一数据是否能够识别自然人时,要将合理范围内所有可以采用的技术、非技术手段,以及该数据和数据控制人或使用人持有的其他信息之间的关系等因素都考虑进去。对于特殊类别的个人信息,比如遗传数据和生物特征数据,《欧盟数据保护条例》规定了更严格的保护措施。
《欧盟数据保护条例》为个人信息的收集和使用规定了合法、公平和透明原则、目的限制原则、数据最少化原则、准确性原则、存储限制原则、完整和保密原则以及责任原则。并赋予数据主体包括获取信息权、修正错误信息权、信息移动权、遗忘权、限制信息使用权、限制程序分析权等在内的多项权利。数据控制人或数据使用人有义务遵守各项原则并保证数据主体实现相应的权利。
此外,数据控制人或数据使用人还要积极采取技术措施、进行隐私影响评估、指定数据保护联络人、遵守个人信息泄露后的通知义务,从技术上和管理上降低隐私侵权风险及隐私侵权给数据主体带来的损害。
《欧盟数据保护条例》第八十三条对不同的违法行为设定了不同的罚款标准。例如:
1、对未采取技术或管理措施来避免、降低隐私侵权损害的数据控制人或使用人,最高可处以10,000,000欧元或全球营业额的2%(以较高者为准)作为罚款。
2、对违反个人信息收集和使用的基本原则以及没有保障数据主体权利的数据控制人或使用人,最高可处以20,000,000欧元或全球营业额的4%(以较高者为准)作为罚款。
3、除监管机构外,数据主体还可寻求司法救济并有权获得赔偿。
数据查找与识别是企业满足GDPR要求的一大难题
着眼于全球范围,Veritas研究中47%的受访者不确定其能够在2018年5月25日前满足相关合规性要求,而31%的受访者则表示其所在企业已经为GDPR制度做好了准备。预计为了满足相关合规要求,企业至少需要花费140万美元用于各项调整举措。
澳大利亚方面亦非常关心由此项合规要求引发的裁员问题。澳大利亚企业中有30%对这一潜在影响表示担忧,美国与韩国的比例则分别为26%与23%。
韩国与日本另有21%的受访者关注相关违规报告在消费者群体中造成的不良影响,新加坡的这一比例则为20%。
全球范围内:
32%的受访者担心其现有系统无法有效管理相关数据,并有可能影响到其搜索、发现并审计信息以确保符合GDPR相关要求的能力;
39%的受访者表示,他们不具备按照该项隐私法案提出的、及时提供数据副本或者在30天内删除数据所必需的相关数据准确识别与查找能力。
这项研究结果与载体公司2016年10月进行的一项类似调查基本吻合。戴尔方面发现另一个问题值得注意,90%的亚太地区企业对于GDPR知之甚少:
仅有7%的受访者针对这一新法律进行筹备;
85%的企业并不了解其现有运营方式是否会因与GDPR相关数据隐私政策要求相冲突而承担罚款;
95%的受访者认为,其所在企业的现行做法可能并不符合新的立法要求。
E安全要闻简讯
官网:
2017年4月