搜索歷史

熱搜詞

原創(chuàng)

活動(dòng)

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當(dāng)前位置：首頁(yè) >互聯(lián)網(wǎng)?IT > 存儲(chǔ) > 數(shù)據(jù)保護(hù) > 正文

互聯(lián)網(wǎng)公司進(jìn)軍歐洲別踩進(jìn)數(shù)據(jù)深坑

來(lái)源：財(cái)經(jīng)網(wǎng)（北京）作者：李軍 2017-08-21 10:05:15

相比華為和聯(lián)想這樣的“老司機(jī)”，OfO和摩拜需要快速地補(bǔ)上歐盟個(gè)人數(shù)據(jù)保護(hù)要求這一課，否則將面對(duì)天價(jià)罰單

相比華為和聯(lián)想這樣的“老司機(jī)”，OfO和摩拜需要快速地補(bǔ)上歐盟個(gè)人數(shù)據(jù)保護(hù)要求這一課，否則將面對(duì)天價(jià)罰單。

GDPR監(jiān)管的是數(shù)據(jù)本身，和數(shù)據(jù)存儲(chǔ)的物理位置無(wú)關(guān)。圖/英國(guó)《衛(wèi)報(bào)》資料圖

近期中國(guó)互聯(lián)網(wǎng)界最吸引眼球的事莫過(guò)于中國(guó)的共享單車(chē)企業(yè)OfO和摩拜單車(chē)齊頭并進(jìn)開(kāi)拓歐洲市場(chǎng)了。

繼今年初OfO和摩拜單車(chē)先后進(jìn)軍英國(guó)劍橋和曼徹斯特之后，7月24日摩拜單車(chē)宣布進(jìn)入意大利佛羅倫薩和米蘭，并在佛羅倫薩市政廳“舊宮”舉行盛大發(fā)布會(huì)。

發(fā)布會(huì)規(guī)格很高，佛羅倫薩市長(zhǎng)達(dá)里奧·納德拉（Dario Nardella）、米蘭市長(zhǎng)貝佩·薩拉（BeppeSala）及摩拜單車(chē)創(chuàng)始人兼總裁胡瑋煒共同出席發(fā)布會(huì)，為摩拜單車(chē)進(jìn)入意大利揭幕。

依托國(guó)內(nèi)自由的創(chuàng)新氛圍和充足的資金支撐，再加上政府對(duì)于“互聯(lián)網(wǎng)+”的大力扶持和引導(dǎo)，中國(guó)形成了獨(dú)特的互聯(lián)網(wǎng)創(chuàng)新生態(tài)環(huán)境，并逐漸形成了多種超越海外發(fā)達(dá)國(guó)家互聯(lián)網(wǎng)發(fā)展的產(chǎn)業(yè)環(huán)境。中國(guó)互聯(lián)網(wǎng)創(chuàng)新產(chǎn)業(yè)中的共享單車(chē)、支付寶、網(wǎng)購(gòu)甚至和國(guó)之重器“高鐵”被新華社并列為中國(guó)“新四大發(fā)明”。

中國(guó)的互聯(lián)網(wǎng)行業(yè)在多年的創(chuàng)新發(fā)展下形成了自己獨(dú)特的競(jìng)爭(zhēng)優(yōu)勢(shì)，并具備了走出國(guó)門(mén)向發(fā)達(dá)國(guó)家和地區(qū)進(jìn)行業(yè)務(wù)擴(kuò)展的能力，他們進(jìn)軍歐洲，并不是中國(guó)互聯(lián)網(wǎng)企業(yè)走出國(guó)門(mén)的特例。越來(lái)越多的中國(guó)企業(yè)在全球互聯(lián)網(wǎng)市場(chǎng)大融合和中國(guó)“一帶一路”國(guó)家戰(zhàn)略的背景下把目光投向了歐洲。

7月18日，騰訊旗下云計(jì)算公司騰訊云位于德國(guó)法蘭克福Interxion數(shù)據(jù)中心開(kāi)放，這個(gè)數(shù)據(jù)中心是從原有的騰訊云法蘭克福服務(wù)節(jié)點(diǎn)升級(jí)而成，也是中國(guó)云服務(wù)商首次將服務(wù)全面覆蓋歐洲。騰訊在媒體上表示，其法蘭克福數(shù)據(jù)中心將成為給在歐洲的中國(guó)企業(yè)以及歐洲本土企業(yè)提供高性能云計(jì)算解決方案的重要平臺(tái)。

繼東南亞之后，歐洲已經(jīng)成為中國(guó)互聯(lián)網(wǎng)企業(yè)走出國(guó)門(mén)，開(kāi)拓海外市場(chǎng)的下一個(gè)重要目標(biāo)。

作為數(shù)據(jù)戰(zhàn)略與數(shù)據(jù)治理領(lǐng)域的專(zhuān)家，我需要提醒國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)的是：歐洲市場(chǎng)在數(shù)據(jù)治理和數(shù)據(jù)保護(hù)方面，有著獨(dú)特的監(jiān)管要求。中國(guó)互聯(lián)網(wǎng)企業(yè)走向歐洲的時(shí)候，需要清晰了解歐洲的相關(guān)規(guī)定，并未雨綢繆做好數(shù)據(jù)保護(hù)的合規(guī)性準(zhǔn)備，否則將會(huì)面臨極為被動(dòng)的局面。

歐洲數(shù)據(jù)保護(hù)條例有四大坑

歐洲雖然由幾十個(gè)國(guó)家構(gòu)成，但歐盟作為歐洲最重要的跨國(guó)組織，制定了大量適用于歐洲絕大多數(shù)國(guó)家的法律法規(guī)和行政管理?xiàng)l例。

中國(guó)互聯(lián)網(wǎng)企業(yè)在開(kāi)拓歐洲市場(chǎng)時(shí)，應(yīng)該高度重視歐盟在數(shù)據(jù)保護(hù)的相關(guān)規(guī)定。而目前在數(shù)據(jù)治理和數(shù)據(jù)保護(hù)領(lǐng)域，對(duì)于中國(guó)互聯(lián)網(wǎng)企業(yè)最重要的條例就是《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱(chēng)GDPR）。

2016年4月，歐洲議會(huì)（European parliament）通過(guò)了《一般數(shù)據(jù)保護(hù)條例》，以歐盟法規(guī)的形式確定了對(duì)個(gè)人數(shù)據(jù)的保護(hù)原則和監(jiān)管方式，并確定所有企業(yè)和組織必須于2018年5月25日前滿(mǎn)足條例規(guī)定的數(shù)據(jù)保護(hù)要求。

GDPR之所以被我認(rèn)為是對(duì)于中國(guó)互聯(lián)網(wǎng)企業(yè)最重要的數(shù)據(jù)治理和數(shù)據(jù)保護(hù)法規(guī)，理由有四點(diǎn)。

首先，適用范圍跨越全球。

傳統(tǒng)來(lái)說(shuō)，任何法律法規(guī)都有管轄權(quán)，而管轄權(quán)一般是由物理位置決定的，數(shù)據(jù)在哪個(gè)國(guó)家物理存放，就適用于哪個(gè)國(guó)家的法律法規(guī)。而GDPR則打破了國(guó)家和地區(qū)的限制，明確指出任何處理歐盟公民相關(guān)信息的公司都必須遵守GDPR對(duì)于個(gè)人數(shù)據(jù)保護(hù)的相關(guān)要求，而不受物理位置的約束。

云計(jì)算時(shí)代，數(shù)據(jù)往往是在云端動(dòng)態(tài)地操作管理，其物理位置有可能在短時(shí)間內(nèi)發(fā)生重大改變。

GDPR的規(guī)定讓向歐盟提供數(shù)據(jù)和互聯(lián)網(wǎng)服務(wù)的云計(jì)算和互聯(lián)網(wǎng)企業(yè)對(duì)于數(shù)據(jù)保護(hù)的責(zé)任無(wú)可逃避。存在于任何國(guó)家的“云服務(wù)”都將不會(huì)被GDPR法規(guī)豁免。

因此，受GDPR約束的對(duì)象是所有處理歐盟公民數(shù)據(jù)的歐盟或非歐盟組織和企業(yè)。

所有進(jìn)軍歐盟的中國(guó)企業(yè)，甚至只是遠(yuǎn)程向歐盟提供數(shù)據(jù)服務(wù)的企業(yè)和組織都要適用GDPR，要遵守GDPR規(guī)定的監(jiān)管要求，并在違反規(guī)定時(shí)接受歐盟處罰。

中國(guó)互聯(lián)網(wǎng)企業(yè)意識(shí)到自己在監(jiān)管范圍內(nèi)了嗎？在摩拜單車(chē)（英國(guó)）網(wǎng)站的隱私與Cookie政策頁(yè)面上，目前是這樣的內(nèi)容：“從您那里收集到的數(shù)據(jù)，將被傳輸和存儲(chǔ)到歐洲經(jīng)濟(jì)區(qū)（European Economic Area）以外的地區(qū)，例如中國(guó)和新加坡等對(duì)于數(shù)據(jù)保護(hù)力度較弱的地區(qū)。”

言下之意是，我們將滿(mǎn)足數(shù)據(jù)物理存儲(chǔ)所在國(guó)家的數(shù)據(jù)保護(hù)監(jiān)管要求，但會(huì)比歐盟的數(shù)據(jù)保護(hù)要求要低。在2018年5月25日GDPR強(qiáng)制合規(guī)日期前，這樣的免責(zé)陳述或許還能被接受。

2018年5月25日GDPR強(qiáng)制合規(guī)日期后，這樣的陳述根本不會(huì)被消費(fèi)者和歐盟監(jiān)管部門(mén)認(rèn)可，因?yàn)镚DPR監(jiān)管的是數(shù)據(jù)本身，和數(shù)據(jù)存儲(chǔ)的物理位置無(wú)關(guān)。

其二，涉及領(lǐng)域包含流程、組織、系統(tǒng)等多個(gè)方面。

GDPR對(duì)于個(gè)人數(shù)據(jù)保護(hù)的要求首先從業(yè)務(wù)流程入手。所有收集了歐盟客戶(hù)數(shù)據(jù)的企業(yè)和組織在對(duì)個(gè)人數(shù)據(jù)進(jìn)行操作時(shí)，必須記錄相關(guān)的操作流程和步驟。任何沒(méi)有系統(tǒng)監(jiān)控或不可審計(jì)的數(shù)據(jù)操作都不可接受。而所有的數(shù)據(jù)操作監(jiān)控和審計(jì)信息都需要備案并接受政府和相關(guān)監(jiān)管機(jī)構(gòu)檢查。

對(duì)于存儲(chǔ)個(gè)人數(shù)據(jù)的系統(tǒng)和相關(guān)設(shè)備，企業(yè)和機(jī)構(gòu)都必須將其記錄并納入數(shù)據(jù)安全策略管轄范圍內(nèi)，并確保數(shù)據(jù)加密策略的合理利用。這里談到的系統(tǒng)和相關(guān)設(shè)備包括但不限于服務(wù)器、傳統(tǒng)硬盤(pán)、固態(tài)硬盤(pán)、USB 閃存盤(pán)、計(jì)算機(jī)和各種移動(dòng)設(shè)備等。

對(duì)于組織機(jī)構(gòu)方面，在個(gè)人數(shù)據(jù)被廣泛使用的情況下，例如被超過(guò)250名雇員的企業(yè)使用、或者個(gè)人數(shù)據(jù)在特定目的下被持續(xù)和系統(tǒng)地收集監(jiān)控，那么進(jìn)行數(shù)據(jù)處理或控制的企業(yè)或組織應(yīng)該任命有專(zhuān)門(mén)數(shù)據(jù)保護(hù)知識(shí)的數(shù)據(jù)保護(hù)專(zhuān)員/數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）。

數(shù)據(jù)保護(hù)專(zhuān)員/數(shù)據(jù)保護(hù)官的任職期限至少為兩年，并向公眾及監(jiān)管機(jī)構(gòu)通報(bào)其姓名及詳細(xì)的聯(lián)系方式。

數(shù)據(jù)保護(hù)專(zhuān)員/數(shù)據(jù)保護(hù)官需要確保企業(yè)遵從個(gè)人數(shù)據(jù)保護(hù)條例的規(guī)定，并在企業(yè)發(fā)生個(gè)人數(shù)據(jù)操作違規(guī)時(shí)承擔(dān)相應(yīng)的法律責(zé)任。

可以說(shuō)，GDPR就是個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的薩班斯法案（對(duì)在美國(guó)上市的公司提供了合規(guī)性要求，使上市公司不得不考慮控制IT風(fēng)險(xiǎn)在內(nèi)的各種風(fēng)險(xiǎn)），為個(gè)人數(shù)據(jù)保護(hù)套上了從流程到風(fēng)險(xiǎn)控制再到組織架構(gòu)的層層約束，并通過(guò)強(qiáng)制設(shè)定數(shù)據(jù)保護(hù)專(zhuān)員的方式讓個(gè)人數(shù)據(jù)保護(hù)的責(zé)任落實(shí)到企業(yè)的組織架構(gòu)設(shè)置中。

第三，實(shí)施要求清楚明確。

歐盟從1995年通過(guò)《數(shù)據(jù)保護(hù)指令》（即“95指令”）以來(lái)，就不斷通過(guò)完善法律法規(guī)來(lái)加強(qiáng)互聯(lián)網(wǎng)時(shí)代對(duì)個(gè)人隱私數(shù)據(jù)的保護(hù)。從2002年發(fā)布的《隱私與電子通訊指令》，到2009年通過(guò)的《歐洲Cookie指令》，這一系列法律法規(guī)和監(jiān)管主要是從明確個(gè)人數(shù)據(jù)保護(hù)基本原則的角度作出了監(jiān)管規(guī)定。

但是在具體操作層面還相當(dāng)粗略，既沒(méi)有給出企業(yè)在遵循相關(guān)規(guī)定時(shí)需要達(dá)到的客觀標(biāo)準(zhǔn)，也缺乏有威懾力的違規(guī)懲戒措施。

GDPR作為歐盟歷史上最嚴(yán)格的數(shù)據(jù)保護(hù)措施，一改以往的大處著眼、細(xì)節(jié)模糊的做法，從各個(gè)角度明確了企業(yè)和組織在涉及個(gè)人數(shù)據(jù)保護(hù)時(shí)需要承擔(dān)的責(zé)任和義務(wù)，甚至包括個(gè)人數(shù)據(jù)泄露時(shí)需要完成的強(qiáng)制補(bǔ)救措施。

除了前文提到的設(shè)置數(shù)據(jù)保護(hù)專(zhuān)員/數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）之外，GDPR還明確了企業(yè)在進(jìn)行個(gè)人數(shù)據(jù)操作時(shí)需要承擔(dān)的監(jiān)控記錄責(zé)任，以便監(jiān)管機(jī)構(gòu)對(duì)于個(gè)人數(shù)據(jù)保護(hù)的合規(guī)審計(jì)。

當(dāng)發(fā)生嚴(yán)重的數(shù)據(jù)泄露時(shí)，GDPR要求公司及組織第一時(shí)間通知相關(guān)國(guó)家監(jiān)管機(jī)構(gòu)，并把數(shù)據(jù)泄露的數(shù)量、方式、渠道以及可能的影響范圍上報(bào)，甚至明確了數(shù)據(jù)泄露的通知上報(bào)必須在獲知泄露的72小時(shí)內(nèi)完成。

最后也是最有威懾力的是，GDPR對(duì)未滿(mǎn)足合規(guī)要求的企業(yè)和組織給出了罰金標(biāo)準(zhǔn)。

這讓未來(lái)歐盟針對(duì)違反GDPR的行為開(kāi)出高額罰款有了明確的法律依據(jù)。一旦違規(guī)，罰款金額巨大。

條例中最引人注目的就是巨額的罰金上限，因?yàn)榱P金上限是按照企業(yè)全球年收入劃定的，并不局限于歐盟范圍的業(yè)務(wù)收入。

對(duì)于嚴(yán)重的違法，如大量泄露個(gè)人數(shù)據(jù)、嚴(yán)重違反個(gè)人數(shù)據(jù)保護(hù)操作規(guī)范或在歐盟警告下多次違反GDPR的相關(guān)規(guī)定，罰款上限是2000萬(wàn)歐元或前一年全球營(yíng)業(yè)收入的4％（兩值中取大者）。如果是針對(duì)Google這樣年收入近900億美元的公司，基于一年全球營(yíng)業(yè)收入4％的罰款就將達(dá)到36億美元。

對(duì)于不太嚴(yán)重的違法，例如沒(méi)有保持清晰明確的個(gè)人數(shù)據(jù)操作記錄、沒(méi)有向監(jiān)管機(jī)構(gòu)和數(shù)據(jù)所有者通知數(shù)據(jù)泄露、或者沒(méi)有就個(gè)人數(shù)據(jù)操作流程進(jìn)行實(shí)施影響評(píng)估，罰金上限是1000萬(wàn)歐元或前一年全球營(yíng)業(yè)收入的2％（兩值中取大者）。

對(duì)于大型公司來(lái)說(shuō)2％－4％的罰金上限，對(duì)于中小型公司來(lái)說(shuō)1000萬(wàn)－2000萬(wàn)歐元（近8000萬(wàn)－1.6億元人民幣）的罰金上限，都是足夠有威懾力的。

中國(guó)公司尚未做好準(zhǔn)備

GDPR對(duì)于歐盟內(nèi)整個(gè)數(shù)字化產(chǎn)業(yè)的影響都將是深遠(yuǎn)的。一方面各個(gè)企業(yè)和組織需要重新審視自己的數(shù)據(jù)業(yè)務(wù)流程，并根據(jù)GDPR的要求調(diào)整現(xiàn)有的業(yè)務(wù)并改造IT系統(tǒng)，以滿(mǎn)足GDPR的合規(guī)性要求。

另一方面，企業(yè)在引入任何新技術(shù)和新平臺(tái)/軟件時(shí)，都會(huì)把GDPR合規(guī)作為一票否決的需求。這一點(diǎn)對(duì)于像騰訊這樣積極開(kāi)拓歐洲市場(chǎng)的云計(jì)算服務(wù)提供商來(lái)說(shuō)，是必須要面對(duì)的強(qiáng)制客戶(hù)要求。

目前進(jìn)軍歐洲的OfO和摩拜單車(chē)為明年5月就將落下的“達(dá)摩克里斯之劍”做好準(zhǔn)備了嗎？

在摩拜單車(chē)英國(guó)的網(wǎng)站上（https://mobike.com/uk/privacy），有關(guān)《隱私和Cookie使用聲明》（PRIVACY AND COOKIE STATEMENT）中，就個(gè)人數(shù)據(jù)保存與保留有如下描述：

VI. Retention of Personal Data（個(gè)人數(shù)據(jù)保留）：We shall retain your personal data for such period as you have an account with us（在您擁有[摩拜單車(chē)]賬戶(hù)期間，我們將保留您的個(gè)人數(shù)據(jù)）。

GDPR明確規(guī)定，數(shù)據(jù)所有者（用戶(hù)）擁有個(gè)人數(shù)據(jù)刪除權(quán)（有時(shí)也被稱(chēng)為“數(shù)據(jù)被遺忘權(quán)”，“right to be forgotten”）。當(dāng)數(shù)據(jù)所有者（用戶(hù)）撤回自己向企業(yè)或組織授予的個(gè)人數(shù)據(jù)使用權(quán)時(shí)，相關(guān)企業(yè)或組織必須立即無(wú)條件刪除所有的個(gè)人數(shù)據(jù)。

在目前摩拜單車(chē)英國(guó)的網(wǎng)站上，只列出了個(gè)人數(shù)據(jù)保留的內(nèi)容，但對(duì)于個(gè)人數(shù)據(jù)刪除權(quán)的保障，以及具體的個(gè)人數(shù)據(jù)刪除功能提供，都只字未提。目前這樣的描述如果延續(xù)到明年5月不做修改，一定是違反GDPR的。

至于OfO英國(guó)的網(wǎng)站，連最基本的隱私和數(shù)據(jù)保護(hù)策略的內(nèi)容都沒(méi)有，更談不上GDPR合規(guī)的其他要求了（作者注：雖然英國(guó)脫離歐盟已經(jīng)在進(jìn)程中，但英國(guó)政府明確表示GDPR同時(shí)在英國(guó)生效）。

或許有人質(zhì)疑，GDPR目前還沒(méi)有到最后截止期，OfO和摩拜單車(chē)也許已經(jīng)開(kāi)始了針對(duì)GDPR的合規(guī)性準(zhǔn)備，目前還沒(méi)有正式發(fā)布相關(guān)內(nèi)容。

那么我們可以看看2011年5月25日在歐盟正式啟用的《歐洲Cookie指令》。該指令要求網(wǎng)站在用戶(hù)初始使用時(shí)必須關(guān)閉Cookie的使用，直到用戶(hù)明確同意啟用Cookie時(shí)才能開(kāi)啟此功能。

目前歐盟范圍內(nèi)絕大多數(shù)企業(yè)和政府網(wǎng)站都遵從此指令對(duì)用戶(hù)給出了明確的Cookie使用選擇。遺憾的是，目前OfO和摩拜單車(chē)都沒(méi)有給出明確的Cookie使用選擇提示。

多年前就開(kāi)始全球化進(jìn)程并進(jìn)入歐洲市場(chǎng)的華為和聯(lián)想，在自己的歐洲國(guó)家主頁(yè)上都明確給出了網(wǎng)站使用Cookie的提示，提供了用戶(hù)關(guān)閉Cookie的選擇，并在條款中明確包含了隱私政策的詳細(xì)說(shuō)明鏈接。

相比華為和聯(lián)想這樣的“老司機(jī)”，OfO和摩拜單車(chē)需要快速地補(bǔ)上歐盟個(gè)人數(shù)據(jù)保護(hù)要求這一課。

企業(yè)全球化和開(kāi)拓歐洲市場(chǎng)需要建立在對(duì)當(dāng)?shù)胤煞ㄒ?guī)和監(jiān)管要求清晰了解的基礎(chǔ)上，希望未來(lái)更多走出國(guó)門(mén)的中國(guó)互聯(lián)網(wǎng)企業(yè)能夠認(rèn)識(shí)到這一點(diǎn)，避免未來(lái)要付出的高昂“學(xué)費(fèi)”。

編輯：趙津蔓

關(guān)鍵字：數(shù)據(jù)保護(hù)