欧洲“通用数据保护条例”(General Data Protection Regulation,GDPR)已经于当地时间5月25日正式生效。这项制定时间长达七年的监管法规,将对从科技到广告、从医药到银行在内的各行各业带来彻底改变。
什么是GDPR?
该法规将接替“1995年数据保护条令”——该条令迄今为止是欧盟处理数据的最低标准。随着GDPR的生效,它将显著增强一些权利:个人用户将拥有更多权利要求公司披露或删除他们持有的个人数据;监管机构将能够首次在整个欧盟范围内协同工作,而不是在每个辖区内开展单独行动;并且监管机构的执法行动将更具震慑力,现在最高罚款金额可以达到2000万欧元或者公司全球营业额的4%。
谁会受到管制?
GDPR会影响每家公司,但影响最严重的将会是那些持有并处理大量消费者数据的公司,包括科技公司、营销商以及连接他们的数据中介。
即使只是遵守数据访问和删除的基本要求,也会给一些公司带来很大的负担,因为这些公司以前可能根本没有工具来整理他们持有的数据。
但是影响最大的将会是那些商业模式依赖于大规模获取和利用消费者数据的公司。GDPR要求用户明确表示同意他们的数据使用方式——如果使用情况发生变化也必须征求其他同意。
它如何影响科技巨头?
全球的大型公司已经更新了他们的网站从而遵守GDPR要求。Facebook推出了一系列工具,通过统一隐私选项并构建“访问您的信息”工具,使用户能够在其网站上查找、下载和删除特定数据,从而“让用户更好地控制其隐私”。该公司还强迫所有用户都要同意新的服务条款,并借此机会推动他们选择面部识别技术。
苹果公司则披露了其隐私控制政策,该公司声称与竞争对手不同,它从一开始就没有收集太多用户数据,因此为了遵守GDPR要求并不需要做太多改变。谷歌采取了不同的方式,该公司悄悄更新了其产品和隐私政策,并且没有对此进行大肆宣扬。
这对普通用户意味着什么?
用户对于企业进行交易将拥有前所未有的影响力。如果个人开始大量利用GDPR,通过拒绝同意对某些数据的使用,要求从数据中介那里获取个人信息,或者完全从网站上删除他们的信息,这可能会对数据产业产生巨大影响。
长期影响是什么?
即使没有来自用户方面的压力,新法案赋予欧盟信息专员的权力,也将导致将旧数据用于新用途时的数据处理更加小心谨慎。
但是也有可能这会巩固占据主导地位的公司的势力。一家新的创业公司可能很难说服用户同意大量的数据收集,但是如果像Facebook这样的公司提供一个不容讨价还价的交易,那么它可能会迅速获得数百万用户的同意。
这是全球性的吗?
GDPR只适用于欧盟,但是考虑到市场规模,许多公司正在考虑在全球范围内应用这些条款——可以理解为一种必要的公关手段。例如,苹果公司与Facebook的隐私工具都是全球性的,虽然后者承诺无法在全球范围内遵循GDPR的各方面条款,并称这些规则可能会与其他司法管辖区的隐私法规相冲突。
企业如何满足GDPR要求?
Ovum认为,企业无法通过一个单一解决方案就能实现满足GDPR要求。如今的IT环境过于多样化并且非常复杂,通过单一软件是无法满足GDPR所有条款要求的,企业需要通过多种软件解决方案的集成来实现。
这是因为,GDPR最显著的特性之一是其广泛性。与大多数仅限于单一行业的其他法规不同,GDPR在其覆盖范围内是横向的,它将对IT堆栈的所有层面产生影响。遵守该法规将带来跨部门的挑战,它将涉及跨部门的协调;该发规律不仅是技术性的,而且也适用于人员和流程。鉴于此,Ovum建议企业将合规性分为三个不同的类别来帮助确定所需的合规软件:
.技术合规性:企业如何能够满足法规中的技术要求,例如加密、匿名化和系统高可用性?
.证明合规性:企业如何向监管机构证明其符合技术要求?记录保存、文档记录和软件透明度是至关重要的。
.流程合规性:企业内现有的以人为中心的流程与监管目标的吻合程度如何?如果不利用现有的流程和工作流程的话,孤岛化的软件几乎无法支持合规性。
Ovum数据和企业智能高级分析师Paige Bartley表示,市场上大部分的供应商都关注于如何实现第一类:也即技术合规性。但是,如果企业无法向监管机构证明其实际上符合技术要求,那么即使对技术合规性作出最严谨承诺也是徒劳的。这就是为什么证明合规性和流程合规性是法规中对技术要求的关键补充。流程尤其难以通过软件来实现;最好的合规工具将是利用现有的由人员驱动的流程和工作流程,而不是试图建立自己的流程。
GDPR合规解决方案两大阵营
作为一项法规,GDPR是技术不可知且以过程为中心的。除了少数如加密和系统高可用性等标准安全措施作为参考外,该法规并没有提及特定的技术。Ovum表示,这么做自然有其理由:技术的发展速度远远超过监管和法律框架的制定速度。如果监管机构认可或者依赖于特定技术的可行性,那么它可能很快就过时了,并且无法履行其保护数据主体的信息和权利的职责。尽管如此,技术将是满足GDPR要求的关键组成部分。毕竟,这些规定与数据保护有关,而数据要在基于技术的系统中进行存储和处理。
实际上,遵循GDPR要求有两个主要组成部分:数据资产的直接技术控制,以及可重复人员流程的存在和文档记录。两者相互依存,不可孤立。
鉴于这些需求的混合性,提供GDPR相关解决方案的供应商格局大体上演变为两个阵营:采用基于技术的方法阵营和采用基于流程的方法阵营。这两种方法通常都依赖于软件为任务管理和人与数据的交互提供集中接口,但是它们的目标和执行往往不同。尽管广泛的概括作用有限,但是一些产品使用了重叠的方法,其大体区别如下:
.基于技术的方法,取决于基于技术的机制来满足特定的技术需求,例如数据加密。数据处理和数据操作的自动化很常见。这些解决方案可能会为产品用户分配严格的角色,并且通常会使用它们自己的预置工作流程和模板。数据资产的直接技术控制通常是主要目标。
.基于流程的方法,很大程度上依赖于企业内部的现有角色、工作流程和处理流程,技术只是一个推动者而不是主要机制。手动处理数据(例如对数据的政策分配)通常是必须的。这些解决方案可能提供灵活的、可定制的工作流程,并且可能采用企业内现有的角色而不是在产品中强加自己的角色。对流程进行存档和记录,而不是进行直接数据控制,通常是该方法的主要目标。Ovum分析师Paige Bartley认为,这两种方法没有正误。鉴于监管范围广泛,并且混合涵盖了技术和流程要求,建议企业采用两种解决方案的混合方式,而这具体将取决于需要符合哪些条例。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。