企业如何找到大数据发展与个人隐私之间的平衡点？

文｜胡文娟

图：网络

去年《经济学人》的一期封面文章称，如今全球最宝贵的资源不再是石油，而是数据。足以可见，大数据时代数据对于企业来说蕴藏着巨大的商业价值。但就在各大公司纷纷开展数据业务、疯狂“攫取”数据资源时，有关公民个人隐私数据泄露的新闻却此起彼伏。

前有社交平台Facebook泄露五千万数据，趣店数据遭遇内鬼外泄，后有YouTube被指控泄露儿童数据隐私，大众点评网泄露客户行踪。

许多知名互联网企业屡次被曝泄露用户信息或侵犯个人隐私，而这些平台就像开了无数“后门”，成为威胁个人隐私的罪魁祸首。是互联网的光芒照耀下个人隐私真的“无处躲藏”？还是某些企业暗藏滥用用户信息牟利的私心？

2018年5月25日，史上最严的《欧盟通用数据保护条例》（General Data Protection Regulation 简称GDPR）正式施行。尽管它的目的是保护消费者个人数据避免滥用，但这项法案无疑对企业有着深远的影响。因为如果企业不好好处理的话，它们面临非常复杂的诉讼官司以及巨额罚款。

GDPR是什么?

欧盟通用数据保护条例（GDPR）整合了隐私保护指令、电子通信隐私保护指令、及欧盟公民权利指令，历经四年讨论于2016年4月27日由欧洲议会通过。该条例旨在保护欧盟和欧洲经济区域内的个人数据隐私。

GDPR由各国政府强制执行，目的就是通过加强执法和增加违规罚款，让消费者掌控自己的个人数据。尽管条例已经于2016年通过，但关于该条例的新闻报道从进入2018年后才开始增加。这主要是因为欧盟给予了企业两年过渡期，让它们慢慢为2018年5月25日的正式全面实施做好充足准备。

无论是法人还是自然，也不管公司规模大小以及拥有欧洲居民个人数据多少，只要企业的核心业务直接或间接和欧洲居民的个人数据搜集、处理和利用相关，那么从2018年5月25日后，都必须及时调整，以便能够符合GDPR对于个人数据保护的规范和要求。

同时，在这项法案中，个人信息是指“与已识别或可识别的自然人有关的任何信息；可识别的自然人是指可以直接或间接识别的人。”这里的“任何信息”不仅包括直接信息（姓名、住址、电话号码等），还包括网络信息（ip地址、cookies等）和间接信息（包括所有可追溯至某一特定个人的生理、心理、基因、文化等特征）。根据GDPR的规定，企业必须：

• 明确披露已收集的任何数据，

• 声明他们将如何使用这些数据，以及使用这些数据的合法依据和意图，

• 披露数据将被保留多长时间，以及

• 是否会被任何第三方或欧盟以外的国家共享。

公民除了行使“被遗忘权”，即他们有权要求在某些情况下删除他们的个人数据，还有权要求对已收集的任何数据进行便携式复制。即用户可随时查看、修改、移动、删除数据，并要求企业开具数据备份及数据使用方式。同时，用户也拥有随时取消授权和抗议的权利。

当获取数据时所述的目的不再适用或用户不再允许企业使用该数据，GDPR规定企业必须删除用户信息，同时将用户的数据清除请求告知第三方处理机构。

GDPR建立了严格的处罚机制。如果企业规范了GDPR的规定，监管部门可以对其处以高达全球营业额4%的罚款。

敲黑板，划重点——

1. 使用范围更广：不仅对欧盟境内的公司使用，所有接触和处理欧盟公民数据的企业（包括境外企业）都将受到影响。比如在美国、中国注册，但用户包括欧洲公民的企业。

2. 罚款额度更高：最高罚款2千万欧元或年度营业额的4%，择金额较高者。

3. 个人数据删除权：如个人想收归个人数据处理权限，持有单位无正当理由继续保存该数据的，则必须予以删除。

4. 重新修订同意权概念：收集数据时须名曲告知数据使用意图，且个人可以随时以任何理由撤销同意。

5. 若资料外泄，须依法告知：若企业发现数据泄露，须于得知后72小时内汇报主管机构以及受影响的个人数据当事人。

6. 个人数据可授权：个人数据当事人有权利把个人数据从原有持有单位撰写至另一单位，原持有单位不得阻碍干涉。

7. 隐私政策设计：企业须根据业务程序发展，制定符合需求的个人数据保护政策。

8. 指派个人数据保护官：企业必须指派个人数据保护负责任，且必须为独立职位。

这对企业意味着什么？企业又需要采取什么行动呢？

虽然这只是欧盟颁发的一部法律，但是总部设在全球任何其他地方但在欧盟设有分支机构的企业，以及向欧盟公民提供数字商品和服务的任何企业，都将受到这一规定的影响。

对企业来讲，虽然GDPR的实施看起来似乎是一种行政负担，但如果处理得当，它其实可以作为品牌建设的组成部分，成为企业最有利的竞争优势。

而对消费者来说，增加透明度是一种建立信任的方式。据一项调查结果显示，73%的消费者认为易于阅读的隐私政策会增加他们对公司在保护个人信息方面的信任。企业主动保护用户隐私的话，用户更有可能与企业保持长期关系。

我们需要采取风险导向型的方法，采取积极的措施和计划，防止滥用用户的个人信息。企业在证明其遵守法例时须考虑以下五项措施：

• 采取“隐私设计”（Privacy by Design）理念，即在整个过程中考虑隐私，将保护隐私的概念融入其产品，而不再完全依赖那些没人愿意读的隐私政策。

• 进行数据保护影响评估（Data Protection Impact Assessment），识别并管理风险。

• 制定内部政策或指导方针，规划出保持合规所需的行动计划。

• 任命一名数据保护官（Data Protection Officer）监督、实施和就GDPR的遵守情况提出建议。

• 保存数据处理活动的记录。

为了评估你所在公司的操作程序是否需要调整以符合GDPR，企业应检查其现有的数据管理程序。对于那些已经已经拥有了严格程序，部分完成了GDPR的要求的企业来说，这避免了可能的重复工作。

一旦评估了程序，就有必要对私隐专员的要求与现有要求进行差距分析，以确定下一步应采取什么步骤，以及实施起来所需的资源。

在此基础上，企业应制定出内部合规战略，列出所有必要步骤和所需人员。该战略应根据公司提供的商品服务性质以及经营规模进行调整，以便实施最有效和最具成本效益的程序。为了表明企业对合规的承诺，还可以制定全公司范围内的数据处理和管理政策，作为内部和外部使用的交流工具。

（本文部分内容编译自CSR Asia2018年6月6日博客文章What businesses need to know about the General Data Protection Regulation）

— END —

金蜜蜂官方微信

十年专注社会责任领域

百余名咨询师独家解析

千余篇干货秘籍尽分享

金蜜蜂微信将为您提供

CSR微课、新闻评述、行业微报告、品牌实验室

商业解决方案、金蜜蜂倡议2020、趣味评测

金蜜蜂-----乐撒责任花粉 悦享可持续未来！

微信：JMFCSR

微博@金蜜蜂CSR中国网