欧盟通用数据保护条例：立即行动.pdf

欧盟通用数据保护条例立即行动欧盟通用数据保护条例（GDPR）被视作近二十年来数据隐私规则领域发生的最重要变化。1它给高科技企业带来了巨大的影响，其影响之深远已超出欧盟，波及全球多个国家。（图1）图1：该欧盟条例的深远影响GDPR的适用范围涵盖所有欧盟数据的主体，无论该主体或其数据所处何地。2该条例适用于所有欧盟实体的数据，无论其身在何地或其数据被放在什么平台。高科技公司存储、处理或交换任何欧盟公民的数据时，都必须符合GDPR。GDPR要求加强对数据隐私的管控，提高个人数据管理技术和提供详细记录。对于云技术提供商以及其合作伙伴而言，GDPR还将强制企业改变运营方式，这将使得创新和发展速度放缓。与以往的隐私规定相比，GDPR有何不同之处监管政策总是在与时俱进、不断演进。应对这些变化，是高科技公司每天运营工作的日常。但是，GDRP与高科技公司过去所面对的政策变化不同，其影响力将更加深远。究其原因，主要体现在以下几个方面：责任共担。在过去，收集和使用数据的数据拥有者需要对数据保护负责。如今，史无前例的，数据处理者（如提供数据处理服务的云服务提供商等）也将需要直接承担合规风险和义务。在数据保护上，数据供应链自上而下的各方都会被问责。网络公司必须与合作伙伴们明确各自的责任和义务。大多数企业尚未做好准备。2016年秋季面向云服务供应商的客户进行的感知调查显示，仅6%的企业被认为是符合GDPR、无需在新的规定条款框架下重新商谈合同；2而91%的企业出于对数据处理的复杂性和成本的考虑，对自身能否符合GDPR表示出担忧。3后果很严重！GDPR对获取和管理个人信息提出了新的、更严格要求。它赋予个人明确的权利，给高科技企业通过人工、流程和技术进行客户数据管理带来了重要影响。不仅如此，GDPR还对客户信任产生影响。根据埃森哲技术展望调查，83%的受访者坚信，信任是数字化经济的基石。达到GDPR所要求的数据隐私和安全要求，是维系消费者信任和保护企业品牌的根本。同时，违规将被严令禁止。GDPR大大增加了数据保护的强制性和责任性，对违规的处罚金额提高到2000万欧元或企业全球年营业额的4%（二者取较高值）。3企业能否满足条例要求？GDPR提出了八项基本要求，其中部分要求对企业运营和相关技术带来了巨大冲击（图2）。您的企业是否已经准备好？您将如何回答下述问题？图2：GDPR将对员工、流程和技术带来的影响圆圈的大小和位置是依经验估算出的、GDPR可能对企业带来的影响大小。对员工和流程带来的影响对技术前景带来的影响客户透明度隐私工程数据可移植性第三方管理人力资源投资加强数据治理并增加数据库存数据擦除数据泄露响应企业是否了解客户数据的存储位置？要想全面落实GDPR，企业必须掌握所存储和处理数据的特征，从而可以全面保护数据。目前，领先企业能够成功追溯70-80%的数据来源，但仍有许多企业尚不具备这一能力。甚至许多领先企业也表示难以探寻剩余20%相关数据的下落。企业能否明确证实已获得客户同意？GDPR要求企业向用户提供简明易懂的数据收集和处理相关的知情通知，确保在获得用户明确同意后方可继续使用这些数据。这一举措影响深远例如，未经用户明确同意，企业不得将个人信息用于营销目的，甚至不得用作客户群的背景说明。4企业的内部隐私管控机制是否健全，相关产品和服务是否符合隐私策略？GDPR要求企业将隐私管控机制全面集成到需要使用个人数据的各个系统和流程中，从而确保为客户提供可自动应用隐私保护设置的产品和服务。目前，超过半数（55%）的企业表示尚不保证能够完全满足客户对数据安全的预期。4企业存储的数据是否支持移植和传输？企业必须满足用户将个人信息向自己或其他组织传输的要求，并采取可机读格式。这就要求企业具备多项能力，包括对数据进行结构化处理，使其成为可移植的数据，以及管理多个平台或供应商之间共享的数据。高科技企业还需着力构建数据安全解决方案，提高消费者的数据可视化程度，和筛选哪些数据需要传输的能力。企业能否在必要时彻底清除个人数据？GDPR规定，用户有权“被遗忘”，这就意味着企业必须删除不必要的或用户不再允许使用的个人数据。因此，企业具备相应的技术和流程，在整个企业中查找相应的数据，将其从系统中删除，同时将用户的数据清除请求告知第三方处理机构。目前，84%的云服务供应商并不会在合同到期时立即删除客户数据。5此外，仅28%的IT人士和企业决策者认识到“被遗忘权”也是GDPR赋予的权利。6是否合规？ 目前，企业正在全力提升个性化的客户体验水平。在数字化时代，对于许多高科技企业而言，收集用户个人信息，并据此为其提供最佳产品/服务已成为常态。我们不妨向前快进到2018年6月，罗莉史密斯（Lori Smith）要求ABC公司删除其个人数据。ABC公司随即从系统中删除了罗莉史密斯的个人数据。但该公司之前已将罗莉的个人数据用于角色开发，并参考这些数据为特定客户群提供适用的数字广告。ABC公司目前未对角色进行任何修改，以体现其已删除了罗莉的个人数据。ABC公司这样做是否符合GDPR的数据删除要求？5企业是否拥有经验丰富的隐私保护工作人员？要想全面落实GDPR，企业必须加大对个人和员工隐私保护的培训力度，建立相应的工作流程促进不同业务部门之间的协作。企业必须及时填补隐私保护方面的关键职位空缺，安排相应员工培训以满足GDPR的合规要求。对于需要处理大量敏感数据的企业，可能还需聘请专职的数据保护官。企业能否快速识别并报告数据泄露事件？2015年，全球有十亿条客户记录遭到泄露。2016年，仅一次泄露事件就造成了十亿帐户被黑客入侵。GDPR规定，如果数据遭到泄露，用户有权快速获取相关信息，这就要求企业必须在72小时内向数据保护机构报告数据泄露事件。目前，只有1%的云服务供应商能够在24小时内向客户发出数据安全事故通知。7企业能否确保所使用的第三方供应商符合 GDPR标准？GDPR明确规定了整个数据供应链上的企业各自的数据保护职责。网络公司必须明确划分与各解决方案合作伙伴之间的责任和义务。解决方案合作伙伴在进行数据处理操作时，也同时向雇佣它的企业负责。90%的企业表示非常担心其GDPR合规能力，8这其中的责任风险还是相当高的。这就要求高科技企业必须明确划分各利益相关方的角色、责任和义务，同时具备卓越的履约能力、供应商管理和风险管理知识，从而打造各平台合作伙伴之间紧密合作的全新架构。是否需要负责？ 某零售商使用云端ERP系统。该ERP供应商采用云端平台托管其应用程序，其解决方案还包含用于电子商务支付处理的第三方插件。2018年9月，该零售商遭遇数据泄露。根据GDPR规定，该ERP供应商是否应当对此次数据泄露事件负责？云基础架构供应商和电子商务插件供应商是否也要承担相应责任？6立即行动对企业而言，严格按照GDPR规定全面落实相关人员、流程和技术变革绝非易事。GDPR即将生效，因此企业必须争分夺秒做好应对准备（图3）。9以下三大行动方案可以帮助这些企业有效应对GDPR。制定企业内部GDPR合规战略。本规定适用于欧盟公民，因此可能会跨越多个国家和运营线。确定合规战略之后，立即对企业运营达标情况展开评估。评估企业内部执行GDPR要求的实际能力。要想加快这一步伐，企业可以考虑采用外部评估机构，针对公司具体的合规目标和业务范围开展评估。制定最佳的合规解决方案，确保数据处理供应商与合作伙伴安全可靠。由于数据供应链存在一定的合规风险，企业在实施合规战略时可以考虑将运营流程外包，从而最大程度地降低风险。图3：大事件记2012年1月欧洲议会提出改革欧盟数据保护法规2015年12月欧洲议会一致同意制定新的欧盟数据保护法规2016年4月欧洲议会通过通用数据保护条例2016年5月有关在执法过程中公民享有数据保护权的欧盟指令生效，GDPR启用，欧盟成员国将于2018年5月全面施行2016年8月欧盟网络与信息安全指令生效2016年12月致信微软（Microsoft）对Window10收集的个人数据表示担忧2017年2月截止对主导监管机构指南提出意见2017年4月预实施最终指南进行评估、认证和处罚2018年5月GDPR将于2018年5月25日全面施行7关于埃森哲埃森哲公司注册成立于爱尔兰，是一家全球领先的专业服务公司，为客户提供战略、咨询、数字、技术和运营服务及解决方案。我们立足商业与技术的前沿，业务涵盖40多个行业，以及企业日常运营部门的各个职能。凭借独特的业内经验与专业技能，以及翘楚全球的交付中心，我们帮助客户提升绩效，并为利益相关方持续创造价值。埃森哲是财富全球500强企业之一，目前拥有约44.2万名员工，服务于120多个国家的客户。我们致力驱动创新，从而改善人们工作和生活的方式。埃森哲在大中华区开展业务30年，拥有一支约1.5万人的员工队伍，分布于北京、上海、大连、成都、广州、深圳、香港和台北。在新常态时代，我们将更创新地参与商业和技术生态圈的建设，帮助中国企业和政府把握数字化力量，通过制定战略、优化流程、集成系统、部署云计算等实现转型，提升全球竞争力，从而立足中国、赢在全球。详细信息，敬请访问埃森哲公司主页 accenture 以及埃森哲大中华区主页 accenture 。注释1. eugdpr2. GDPR Analysis of 20,000 Cloud Services in September 2016 by Skyhigh Cloud Security3. “State of European Privacy Survey,” October 2016, Symantec Security4. “State of European Privacy Survey,” October 2016, Symantec Security5. GDPR Analysis of 20,000 Cloud Services in September 2016by Skyhigh Cloud Security6. “State of European Privacy Survey,” October 2016, Symantec Security7. GDPR Analysis of 20,000 Cloud Services in September 2016by Skyhigh Cloud Security8. “State of European Privacy Survey,” October 2016, Symantec Security9. “Data Privacy Laws: Cutting the Red Tape,” Ovum Market Research如需进一步了解如何制定最佳合规战略、评估GDPR成熟度或执行GDPR合规计划，请联系：凯文科林斯（Kevin Collins）董事总经理kevin.j.collinsaccenture+1 650 303 4633马克埃格纳（Mark Egner）高级经理mark.egneraccenture+1 425 766 0886 2018埃森哲版权所有。埃森哲及其标识与成就卓越绩效均为埃森哲公司的商标。