互联网公司进军欧洲 别踩进数据深坑

2017-08-07 13:28:59

相比华为和联想这样的“老司机”,OfO和摩拜需要快速地补上欧盟个人数据保护要求这一课,否则将面对天价罚单

文/李军

近期中国互联网界最吸引眼球的事莫过于中国的共享单车企业OfO和摩拜单车齐头并进开拓欧洲市场了。

继今年初OfO和摩拜单车先后进军英国剑桥和曼彻斯特之后,7月24日摩拜单车宣布进入意大利佛罗伦萨和米兰,并在佛罗伦萨市政厅“旧宫”举行盛大发布会。

发布会规格很高,佛罗伦萨市长达里奥·纳德拉(Dario Nardella)、米兰市长贝佩·萨拉(BeppeSala)及摩拜单车创始人兼总裁胡玮炜共同出席发布会,为摩拜单车进入意大利揭幕。

依托国内自由的创新氛围和充足的资金支撑,再加上政府对于“互联网+”的大力扶持和引导,中国形成了独特的互联网创新生态环境,并逐渐形成了多种超越海外发达国家互联网发展的产业环境。中国互联网创新产业中的共享单车、支付宝、网购甚至和国之重器“高铁”被新华社并列为中国“新四大发明”。

中国的互联网行业在多年的创新发展下形成了自己独特的竞争优势,并具备了走出国门向发达国家和地区进行业务扩展的能力,他们进军欧洲,并不是中国互联网企业走出国门的特例。越来越多的中国企业在全球互联网市场大融合和中国“一带一路”国家战略的背景下把目光投向了欧洲。

7月18日,腾讯旗下云计算公司腾讯云位于德国法兰克福Interxion数据中心开放,这个数据中心是从原有的腾讯云法兰克福服务节点升级而成,也是中国云服务商首次将服务全面覆盖欧洲。腾讯在媒体上表示,其法兰克福数据中心将成为给在欧洲的中国企业以及欧洲本土企业提供高性能云计算解决方案的重要平台。

继东南亚之后,欧洲已经成为中国互联网企业走出国门,开拓海外市场的下一个重要目标。

作为数据战略与数据治理领域的专家,我需要提醒国内互联网企业的是:欧洲市场在数据治理和数据保护方面,有着独特的监管要求。中国互联网企业走向欧洲的时候,需要清晰了解欧洲的相关规定,并未雨绸缪做好数据保护的合规性准备,否则将会面临极为被动的局面。

欧洲数据保护条例有四大坑

欧洲虽然由几十个国家构成,但欧盟作为欧洲最重要的跨国组织,制定了大量适用于欧洲绝大多数国家的法律法规和行政管理条例。

中国互联网企业在开拓欧洲市场时,应该高度重视欧盟在数据保护的相关规定。而目前在数据治理和数据保护领域,对于中国互联网企业最重要的条例就是《一般数据保护条例》(General Data Protection Regulation,简称GDPR)。

2016年4月,欧洲议会(European parliament)通过了《一般数据保护条例》,以欧盟法规的形式确定了对个人数据的保护原则和监管方式,并确定所有企业和组织必须于2018年5月25日前满足条例规定的数据保护要求。

GDPR之所以被我认为是对于中国互联网企业最重要的数据治理和数据保护法规,理由有四点。

首先,适用范围跨越全球。

传统来说,任何法律法规都有管辖权,而管辖权一般是由物理位置决定的,数据在哪个国家物理存放,就适用于哪个国家的法律法规。而GDPR则打破了国家和地区的限制,明确指出任何处理欧盟公民相关信息的公司都必须遵守GDPR对于个人数据保护的相关要求,而不受物理位置的约束。

李军

云计算时代,数据往往是在云端动态地操作管理,其物理位置有可能在短时间内发生重大改变。

GDPR的规定让向欧盟提供数据和互联网服务的云计算和互联网企业对于数据保护的责任无可逃避。存在于任何国家的“云服务”都将不会被GDPR法规豁免。

因此,受GDPR约束的对象是所有处理欧盟公民数据的欧盟或非欧盟组织和企业。

所有进军欧盟的中国企业,甚至只是远程向欧盟提供数据服务的企业和组织都要适用GDPR,要遵守GDPR规定的监管要求,并在违反规定时接受欧盟处罚。

中国互联网企业意识到自己在监管范围内了吗?在摩拜单车(英国)网站的隐私与Cookie政策页面上,目前是这样的内容:“从您那里收集到的数据,将被传输和存储到欧洲经济区(European Economic Area)以外的地区,例如中国和新加坡等对于数据保护力度较弱的地区。”

言下之意是,我们将满足数据物理存储所在国家的数据保护监管要求,但会比欧盟的数据保护要求要低。在2018年5月25日GDPR强制合规日期前,这样的免责陈述或许还能被接受。

2018年5月25日GDPR强制合规日期后,这样的陈述根本不会被消费者和欧盟监管部门认可,因为GDPR监管的是数据本身,和数据存储的物理位置无关。

其二,涉及领域包含流程、组织、系统等多个方面。

GDPR对于个人数据保护的要求首先从业务流程入手。所有收集了欧盟客户数据的企业和组织在对个人数据进行操作时,必须记录相关的操作流程和步骤。任何没有系统监控或不可审计的数据操作都不可接受。而所有的数据操作监控和审计信息都需要备案并接受政府和相关监管机构检查。

对于存储个人数据的系统和相关设备,企业和机构都必须将其记录并纳入数据安全策略管辖范围内,并确保数据加密策略的合理利用。这里谈到的系统和相关设备包括但不限于服务器、传统硬盘、固态硬盘、USB 闪存盘、计算机和各种移动设备等。

对于组织机构方面,在个人数据被广泛使用的情况下,例如被超过250名雇员的企业使用、或者个人数据在特定目的下被持续和系统地收集监控,那么进行数据处理或控制的企业或组织应该任命有专门数据保护知识的数据保护专员/数据保护官(Data Protection Officer,DPO)。

数据保护专员/数据保护官的任职期限至少为两年,并向公众及监管机构通报其姓名及详细的联系方式。

数据保护专员/数据保护官需要确保企业遵从个人数据保护条例的规定,并在企业发生个人数据操作违规时承担相应的法律责任。

可以说,GDPR就是个人数据保护领域的萨班斯法案(对在美国上市的公司提供了合规性要求,使上市公司不得不考虑控制IT风险在内的各种风险),为个人数据保护套上了从流程到风险控制再到组织架构的层层约束,并通过强制设定数据保护专员的方式让个人数据保护的责任落实到企业的组织架构设置中。

第三,实施要求清楚明确。

欧盟从1995年通过《数据保护指令》(即“95指令”)以来,就不断通过完善法律法规来加强互联网时代对个人隐私数据的保护。从2002年发布的《隐私与电子通讯指令》,到2009年通过的《欧洲Cookie指令》,这一系列法律法规和监管主要是从明确个人数据保护基本原则的角度作出了监管规定。

但是在具体操作层面还相当粗略,既没有给出企业在遵循相关规定时需要达到的客观标准,也缺乏有威慑力的违规惩戒措施。

GDPR作为欧盟历史上最严格的数据保护措施,一改以往的大处着眼、细节模糊的做法,从各个角度明确了企业和组织在涉及个人数据保护时需要承担的责任和义务,甚至包括个人数据泄露时需要完成的强制补救措施。

除了前文提到的设置数据保护专员/数据保护官(Data Protection Officer,DPO)之外,GDPR还明确了企业在进行个人数据操作时需要承担的监控记录责任,以便监管机构对于个人数据保护的合规审计。

当发生严重的数据泄露时,GDPR要求公司及组织第一时间通知相关国家监管机构,并把数据泄露的数量、方式、渠道以及可能的影响范围上报,甚至明确了数据泄露的通知上报必须在获知泄露的72小时内完成。

最后也是最有威慑力的是,GDPR对未满足合规要求的企业和组织给出了罚金标准。

这让未来欧盟针对违反GDPR的行为开出高额罚款有了明确的法律依据。一旦违规,罚款金额巨大。

条例中最引人注目的就是巨额的罚金上限,因为罚金上限是按照企业全球年收入划定的,并不局限于欧盟范围的业务收入。

对于严重的违法,如大量泄露个人数据、严重违反个人数据保护操作规范或在欧盟警告下多次违反GDPR的相关规定,罚款上限是2000万欧元或前一年全球营业收入的4%(两值中取大者)。如果是针对Google这样年收入近900亿美元的公司,基于一年全球营业收入4%的罚款就将达到36亿美元。

对于不太严重的违法,例如没有保持清晰明确的个人数据操作记录、没有向监管机构和数据所有者通知数据泄露、或者没有就个人数据操作流程进行实施影响评估,罚金上限是1000万欧元或前一年全球营业收入的2%(两值中取大者)。

对于大型公司来说2%-4%的罚金上限,对于中小型公司来说1000万-2000万欧元(近8000万-1.6亿元人民币)的罚金上限,都是足够有威慑力的。

中国公司尚未做好准备

GDPR对于欧盟内整个数字化产业的影响都将是深远的。一方面各个企业和组织需要重新审视自己的数据业务流程,并根据GDPR的要求调整现有的业务并改造IT系统,以满足GDPR的合规性要求。

另一方面,企业在引入任何新技术和新平台/软件时,都会把GDPR合规作为一票否决的需求。这一点对于像腾讯这样积极开拓欧洲市场的云计算服务提供商来说,是必须要面对的强制客户要求。

目前进军欧洲的OfO和摩拜单车为明年5月就将落下的“达摩克里斯之剑”做好准备了吗?

在摩拜单车英国的网站上(https://mobike.com/uk/privacy),有关《隐私和Cookie使用声明》(PRIVACY AND COOKIE STATEMENT)中,就个人数据保存与保留有如下描述:

VI. Retention of Personal Data(个人数据保留):We shall retain your personal data for such period as you have an account with us(在您拥有[摩拜单车]账户期间,我们将保留您的个人数据)。

GDPR明确规定,数据所有者(用户)拥有个人数据删除权(有时也被称为“数据被遗忘权”,“right to be forgotten”)。当数据所有者(用户)撤回自己向企业或组织授予的个人数据使用权时,相关企业或组织必须立即无条件删除所有的个人数据。

在目前摩拜单车英国的网站上,只列出了个人数据保留的内容,但对于个人数据删除权的保障,以及具体的个人数据删除功能提供,都只字未提。目前这样的描述如果延续到明年5月不做修改,一定是违反GDPR的。

至于OfO英国的网站,连最基本的隐私和数据保护策略的内容都没有,更谈不上GDPR合规的其他要求了(作者注:虽然英国脱离欧盟已经在进程中,但英国政府明确表示GDPR同时在英国生效)。

或许有人质疑,GDPR目前还没有到最后截止期,OfO和摩拜单车也许已经开始了针对GDPR的合规性准备,目前还没有正式发布相关内容。

那么我们可以看看2011年5月25日在欧盟正式启用的《欧洲Cookie指令》。该指令要求网站在用户初始使用时必须关闭Cookie的使用,直到用户明确同意启用Cookie时才能开启此功能。

目前欧盟范围内绝大多数企业和政府网站都遵从此指令对用户给出了明确的Cookie使用选择。遗憾的是,目前OfO和摩拜单车都没有给出明确的Cookie使用选择提示。

多年前就开始全球化进程并进入欧洲市场的华为和联想,在自己的欧洲国家主页上都明确给出了网站使用Cookie的提示,提供了用户关闭Cookie的选择,并在条款中明确包含了隐私政策的详细说明链接。

相比华为和联想这样的“老司机”,OfO和摩拜单车需要快速地补上欧盟个人数据保护要求这一课。

企业全球化和开拓欧洲市场需要建立在对当地法律法规和监管要求清晰了解的基础上,希望未来更多走出国门的中国互联网企业能够认识到这一点,避免未来要付出的高昂“学费”。

(作者为科技与互联网资深分析师,编辑:谢丽容)

李军/文
深坑 欧洲 互联网 数据 公司