「天價(jià)罰單」引熱議，數(shù)據(jù)合規(guī)已是全球化企業(yè)的「當(dāng)務(wù)之急」

2018年5月歐盟發(fā)布的《通用數(shù)據(jù)保護(hù)條例》(常見簡稱GDPR)正式開啟了數(shù)據(jù)治理依法監(jiān)管、從嚴(yán)懲罰的趨勢。自此，全球各國也開始跟進(jìn)啟動相關(guān)監(jiān)管框架的設(shè)計(jì)，陸續(xù)發(fā)布數(shù)據(jù)保護(hù)方面的監(jiān)管新要求，以下是近年來已發(fā)布的有代表性的數(shù)據(jù)保護(hù)立法：

歐盟發(fā)布的《通用數(shù)據(jù)保護(hù)條例》，立法框架全面、細(xì)致，為后續(xù)多國起草數(shù)據(jù)保護(hù)相關(guān)立法提供了參照。巴西、印度、印尼、澳大利亞等國近期發(fā)布的數(shù)據(jù)保護(hù)立法均有參照歐盟《通用數(shù)據(jù)保護(hù)條例》的法律框架起草。

值得注意的是，數(shù)據(jù)保護(hù)方面的立法和監(jiān)管應(yīng)對措施，與各國國情特色、人文習(xí)慣聯(lián)系得十分緊密。

比如在歐盟地區(qū)，普遍強(qiáng)調(diào)個人權(quán)利至上，重視個人權(quán)利保護(hù)，因此該地區(qū)數(shù)據(jù)保護(hù)方面的法規(guī)賦予了監(jiān)管部門較大的監(jiān)管權(quán)利，并設(shè)置了嚴(yán)厲的懲罰機(jī)制。而在巴西，雖然巴西數(shù)據(jù)保護(hù)通用條例的法律框架結(jié)構(gòu)，也是參考?xì)W盟相關(guān)條例起草，但對于違規(guī)懲罰機(jī)制上，則比歐盟數(shù)據(jù)保護(hù)條例里設(shè)置的懲罰機(jī)制寬松了很多。

密集出臺的數(shù)據(jù)保護(hù)監(jiān)管框架并不是一紙空文。以歐盟《通用數(shù)據(jù)保護(hù)條例》為例，據(jù)統(tǒng)計(jì)，自該法規(guī)生效以來，截至2021年7月，4年時間相關(guān)處罰案件數(shù)量累計(jì)已達(dá)731件，處罰案件數(shù)量呈逐年攀升態(tài)勢。而近年來，在監(jiān)管從嚴(yán)的趨勢下，由于違反數(shù)據(jù)保護(hù)相關(guān)規(guī)定，不少跨國知名企業(yè)、國際金融機(jī)構(gòu)遭遇“天價(jià)罰單”的事情也屢見報(bào)端：

2020年10月，英國信息專員辦公室(ICO)對英國航空(British Airways)用戶信息泄露一事處以罰金1.83億英鎊。

2021年，盧森堡國家數(shù)據(jù)保護(hù)委員會(CNPD)對亞馬遜開出7.46億歐元的罰款通知，懲罰理由是亞馬遜對個人數(shù)據(jù)的處理不符合歐盟《通用數(shù)據(jù)保護(hù)條例》。

2022年1月，法國數(shù)據(jù)保護(hù)局(CNIL)依據(jù)當(dāng)?shù)仉娮与[私條例，分別對Facebook.com 、Google.fr所屬企業(yè)罰款6000萬歐元和1.5億歐元，懲罰原因是這兩家數(shù)據(jù)平臺不允許法國用戶拒絕“第三方Cookie”在線跟蹤技術(shù)。這成為了法國在數(shù)據(jù)保護(hù)方面迄今為止開出的最大罰單。

2022年1月，東亞銀行就因在中國違反信用信息采集、提供、查詢及相關(guān)管理規(guī)定被罰1674萬元人民幣。

據(jù)媒體統(tǒng)計(jì)，自2022年11月1日《中華人民共和國個人信息保護(hù)法》正式實(shí)施后，2022年上半年，中國銀行、保險(xiǎn)、信托、汽車金融、第三方支付等機(jī)構(gòu)收到相關(guān)罰單66張，處罰金額合計(jì)6409.34萬元人民幣，已超過2021年全年相關(guān)罰單罰款的總計(jì)金額(約4654萬元人民幣)。

落實(shí)數(shù)據(jù)合規(guī)，已是當(dāng)務(wù)之急

各國數(shù)據(jù)保護(hù)條例的發(fā)布實(shí)施改善了網(wǎng)絡(luò)安全、極大地提高了對公民隱私權(quán)的保障，在諸多社會領(lǐng)域產(chǎn)生了積極的影響。

但與此同時，監(jiān)管部門對于數(shù)據(jù)保護(hù)設(shè)置的處罰機(jī)制也相對嚴(yán)厲，整體而言，擁有越多用戶數(shù)據(jù)的企業(yè)遭受處罰的風(fēng)險(xiǎn)也更大。這意味著——對于數(shù)據(jù)持有者，比如數(shù)字經(jīng)濟(jì)領(lǐng)域的各類企業(yè)或金融機(jī)構(gòu)而言，一旦未能保護(hù)好用戶的數(shù)據(jù)，違規(guī)使用數(shù)據(jù)或?qū)е聰?shù)據(jù)泄露，將會付出慘重、巨大的代價(jià)。

這些“天價(jià)罰單”事件給我們的反思是：在合規(guī)前提下開展數(shù)據(jù)治理，已成為各行各業(yè)都需要重點(diǎn)關(guān)注并積極探索的專項(xiàng)治理中的必要議題。

合規(guī)數(shù)據(jù)治理工作提示

1.了解風(fēng)險(xiǎn)

通過總結(jié)已發(fā)生的處罰案件，企業(yè)或金融機(jī)構(gòu)在持有和使用數(shù)據(jù)中，常會觸發(fā)的四種常見風(fēng)險(xiǎn)情形包括：非法處理個人信息、非法披露個人信息、未保護(hù)個人信息、違反或拒絕履行監(jiān)管機(jī)構(gòu)強(qiáng)制要求。

觸發(fā)上述四種風(fēng)險(xiǎn)情形，在不同行業(yè)里有不同的表現(xiàn)行為，常見的行為包括：對個人數(shù)據(jù)違規(guī)采集或傳輸;隱私政策制定不規(guī)范;濫用數(shù)據(jù);網(wǎng)站cookie跟蹤不合規(guī)等。

在上述常見行為中，對個人數(shù)據(jù)違規(guī)采集或傳輸是監(jiān)管機(jī)構(gòu)監(jiān)管的重中之重，因這種行為極易直接導(dǎo)致非常嚴(yán)重的后果，比如數(shù)據(jù)泄露事件。對此，目前大部分國家的數(shù)據(jù)保護(hù)監(jiān)管條例中已明文指示與個人數(shù)據(jù)采集或傳輸?shù)某Ｒ娺`規(guī)行為，包括：企業(yè)或金融機(jī)構(gòu)未能充分向用戶披露他們的個人信息是如何被收集的;沒有明確告知用戶收集這些信息的用途;或者在使用數(shù)據(jù)時未適當(dāng)征得用戶的同意。

2.制定規(guī)范的隱私政策

企業(yè)或金融機(jī)構(gòu)落實(shí)數(shù)據(jù)領(lǐng)域的合規(guī)專項(xiàng)治理，首先，需要制定一份規(guī)范的隱私政策。

對于隱私政策的制定，企業(yè)要兼顧企業(yè)主體、企業(yè)管理者、用戶等多個立場，在通用的合規(guī)目標(biāo)上，一般不僅要通過隱私政策的制定，將企業(yè)在數(shù)據(jù)領(lǐng)域的可能違規(guī)風(fēng)險(xiǎn)降到最低，并且，還常常要求企業(yè)對于風(fēng)險(xiǎn)排除條款的設(shè)置，要考慮消費(fèi)者的感知。簡單來說，就是也要考慮用戶體驗(yàn)和實(shí)際接受度，因?yàn)樵趯?shí)踐中，企業(yè)過于嚴(yán)苛的風(fēng)險(xiǎn)排除條款，常會使用戶或消費(fèi)者直接放棄使用該數(shù)據(jù)產(chǎn)品或平臺。

因此，隱私政策的制定，在確保規(guī)范的同時，也要力求在獲取市場和風(fēng)險(xiǎn)規(guī)避中尋得一個良性的平衡。

3.提升數(shù)據(jù)隱私保護(hù)意識

其次，在合規(guī)實(shí)踐上，需要定期評估數(shù)據(jù)保護(hù)的內(nèi)控管理制度;對于敏感數(shù)據(jù)，要建立安全儲存的有效工作流程和硬件設(shè)施;跨境企業(yè)要注意數(shù)據(jù)出境的約束要求，使用數(shù)據(jù)出境標(biāo)準(zhǔn)化合同降低違規(guī)風(fēng)險(xiǎn)，并要落實(shí)本土化和跨境的雙重合規(guī)。

不同國家對于未成年人信息的采集使用、網(wǎng)絡(luò)內(nèi)容治理的細(xì)節(jié)要求差異較大，需多關(guān)注這些細(xì)節(jié)，及時調(diào)整企業(yè)的隱私政策與數(shù)據(jù)管理制度。

此外，還要通過組織培訓(xùn)，加強(qiáng)涉數(shù)據(jù)工作人員的隱私保護(hù)意識。根據(jù)superoffice發(fā)布的文章，截止2021年5月，在被調(diào)查的800余家IT企業(yè)中，依舊還有超過四分之一的企業(yè)尚未根據(jù)歐盟通用數(shù)據(jù)保護(hù)條例進(jìn)行整改?？梢姡蜻€有許多企業(yè)對于數(shù)據(jù)隱私保護(hù)的重要性認(rèn)知不夠，對不落實(shí)數(shù)據(jù)合規(guī)會帶來的可能風(fēng)險(xiǎn)也認(rèn)知不夠。已有不少調(diào)查報(bào)告中都曾指出：數(shù)據(jù)泄露、欺詐等事件的發(fā)生，有大量漏洞都來自于企業(yè)內(nèi)部人員的工作疏忽。

4.應(yīng)用智能技術(shù)為合規(guī)降本增效

數(shù)據(jù)保護(hù)立法的發(fā)布與實(shí)施，為提升網(wǎng)絡(luò)安全和個人隱私權(quán)的保障帶來了積極意義，但也在一定程度上給企業(yè)增加了合規(guī)成本，并且也給部分中小企業(yè)帶來了實(shí)際的運(yùn)營難處。

積極應(yīng)用智能技術(shù)，落實(shí)數(shù)據(jù)合規(guī)，可以有效解決上述難題。保護(hù)數(shù)據(jù)安全，每個人都責(zé)無旁貸，無論企業(yè)的業(yè)務(wù)是涉及收集數(shù)據(jù)，核驗(yàn)數(shù)據(jù)，還是使用數(shù)據(jù)，都會需要一個能夠在其整個業(yè)務(wù)周期里都可以去信任的、中立可靠的智能技術(shù)解決方案。

ADVANCE.AI全新推出的星鑒數(shù)字身份驗(yàn)證與風(fēng)險(xiǎn)管理解決方案，為九大行業(yè)的企業(yè)提供中立、合規(guī)、符合數(shù)據(jù)保護(hù)條例和隱私治理標(biāo)準(zhǔn)的身份信息采集、驗(yàn)證和風(fēng)險(xiǎn)管理工具，助力企業(yè)開展更精準(zhǔn)、更安全、效率更高的運(yùn)營工作，幫助降低合規(guī)成本，進(jìn)一步提升企業(yè)數(shù)據(jù)管理水平。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）