2018年5月欧盟发布的《通用数据保护条例》(常见简称GDPR)正式开启了数据治理依法监管、从严惩罚的趋势。自此,全球各国也开始跟进启动相关监管框架的设计,陆续发布数据保护方面的监管新要求,以下是近年来已发布的有代表性的数据保护立法:
欧盟发布的《通用数据保护条例》,立法框架全面、细致,为后续多国起草数据保护相关立法提供了参照。巴西、印度、印尼、澳大利亚等国近期发布的数据保护立法均有参照欧盟《通用数据保护条例》的法律框架起草。
值得注意的是,数据保护方面的立法和监管应对措施,与各国国情特色、人文习惯联系得十分紧密。
比如在欧盟地区,普遍强调个人权利至上,重视个人权利保护,因此该地区数据保护方面的法规赋予了监管部门较大的监管权利,并设置了严厉的惩罚机制。而在巴西,虽然巴西数据保护通用条例的法律框架结构,也是参考欧盟相关条例起草,但对于违规惩罚机制上,则比欧盟数据保护条例里设置的惩罚机制宽松了很多。
密集出台的数据保护监管框架并不是一纸空文。以欧盟《通用数据保护条例》为例,据统计,自该法规生效以来,截至2021年7月,4年时间相关处罚案件数量累计已达731件,处罚案件数量呈逐年攀升态势。而近年来,在监管从严的趋势下,由于违反数据保护相关规定,不少跨国知名企业、国际金融机构遭遇“天价罚单”的事情也屡见报端:
2020年10月,英国信息专员办公室(ICO)对英国航空(British Airways)用户信息泄露一事处以罚金1.83亿英镑。
2021年,卢森堡国家数据保护委员会(CNPD)对亚马逊开出7.46亿欧元的罚款通知,惩罚理由是亚马逊对个人数据的处理不符合欧盟《通用数据保护条例》。
2022年1月,法国数据保护局(CNIL)依据当地电子隐私条例,分别对Facebook.com 、Google.fr所属企业罚款6000万欧元和1.5亿欧元,惩罚原因是这两家数据平台不允许法国用户拒绝“第三方Cookie”在线跟踪技术。这成为了法国在数据保护方面迄今为止开出的最大罚单。
2022年1月,东亚银行就因在中国违反信用信息采集、提供、查询及相关管理规定被罚1674万元人民币。
据媒体统计,自2022年11月1日《中华人民共和国个人信息保护法》正式实施后,2022年上半年,中国银行、保险、信托、汽车金融、第三方支付等机构收到相关罚单66张,处罚金额合计6409.34万元人民币,已超过2021年全年相关罚单罚款的总计金额(约4654万元人民币)。
落实数据合规,已是当务之急
各国数据保护条例的发布实施改善了网络安全、极大地提高了对公民隐私权的保障,在诸多社会领域产生了积极的影响。
但与此同时,监管部门对于数据保护设置的处罚机制也相对严厉,整体而言,拥有越多用户数据的企业遭受处罚的风险也更大。这意味着——对于数据持有者,比如数字经济领域的各类企业或金融机构而言,一旦未能保护好用户的数据,违规使用数据或导致数据泄露,将会付出惨重、巨大的代价。
这些“天价罚单”事件给我们的反思是:在合规前提下开展数据治理,已成为各行各业都需要重点关注并积极探索的专项治理中的必要议题。
合规数据治理工作提示
了解风险
通过总结已发生的处罚案件,企业或金融机构在持有和使用数据中,常会触发的四种常见风险情形包括:非法处理个人信息、非法披露个人信息、未保护个人信息、违反或拒绝履行监管机构强制要求。
触发上述四种风险情形,在不同行业里有不同的表现行为,常见的行为包括:对个人数据违规采集或传输;隐私政策制定不规范;滥用数据;网站cookie跟踪不合规等。
在上述常见行为中,对个人数据违规采集或传输是监管机构监管的重中之重,因这种行为极易直接导致非常严重的后果,比如数据泄露事件。对此,目前大部分国家的数据保护监管条例中已明文指示与个人数据采集或传输的常见违规行为,包括:企业或金融机构未能充分向用户披露他们的个人信息是如何被收集的;没有明确告知用户收集这些信息的用途;或者在使用数据时未适当征得用户的同意。
制定规范的隐私政策
企业或金融机构落实数据领域的合规专项治理,首先,需要制定一份规范的隐私政策。
对于隐私政策的制定,企业要兼顾企业主体、企业管理者、用户等多个立场,在通用的合规目标上,一般不仅要通过隐私政策的制定,将企业在数据领域的可能违规风险降到最低,并且,还常常要求企业对于风险排除条款的设置,要考虑消费者的感知。简单来说,就是也要考虑用户体验和实际接受度,因为在实践中,企业过于严苛的风险排除条款,常会使用户或消费者直接放弃使用该数据产品或平台。
因此,隐私政策的制定,在确保规范的同时,也要力求在获取市场和风险规避中寻得一个良性的平衡。
提升数据隐私保护意识
其次,在合规实践上,需要定期评估数据保护的内控管理制度;对于敏感数据,要建立安全储存的有效工作流程和硬件设施;跨境企业要注意数据出境的约束要求,使用数据出境标准化合同降低违规风险,并要落实本土化和跨境的双重合规。
不同国家对于未成年人信息的采集使用、网络内容治理的细节要求差异较大,需多关注这些细节,及时调整企业的隐私政策与数据管理制度。
此外,还要通过组织培训,加强涉数据工作人员的隐私保护意识。根据superoffice发布的文章,截止2021年5月,在被调查的800余家IT企业中,依旧还有超过四分之一的企业尚未根据欧盟通用数据保护条例进行整改。可见,全球还有许多企业对于数据隐私保护的重要性认知不够,对不落实数据合规会带来的可能风险也认知不够。已有不少调查报告中都曾指出:数据泄露、欺诈等事件的发生,有大量漏洞都来自于企业内部人员的工作疏忽。
应用智能技术为合规降本增效
数据保护立法的发布与实施,为提升网络安全和个人隐私权的保障带来了积极意义,但也在一定程度上给企业增加了合规成本,并且也给部分中小企业带来了实际的运营难处。
积极应用智能技术,落实数据合规,可以有效解决上述难题。保护数据安全,每个人都责无旁贷,无论企业的业务是涉及收集数据,核验数据,还是使用数据,都会需要一个能够在其整个业务周期里都可以去信任的、中立可靠的智能技术解决方案。
ADVANCE.AI全新推出的星鉴数字身份验证与风险管理解决方案,为九大行业的企业提供中立、合规、符合数据保护条例和隐私治理标准的身份信息采集、验证和风险管理工具,助力企业开展更精准、更安全、效率更高的运营工作,帮助降低合规成本,进一步提升企业数据管理水平。
+++
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
责任编辑:kj005
文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com