亞太90%的企業都不清楚歐盟GDPR數據保護條例

E安全4月27日訊
超過半數新加坡、日本與韓國企業表示，擔心其無法在2018年5月25日這一最後期限之前滿足
GDPR(《一般性數據保護條例》)合規要求，他們表示對於即將出台的歐盟數據隱私法案表示尚未做好準備，而四分之一的澳大利亞與美國企業則表示企業有可能因此進行大規模裁員。

目前距離將於2018年5月25日正式生效的《一般性數據保護條例（簡稱GDPR）》還有一年時間，而56%的新加坡企業表示其擔心無法在截止日期之前滿足條例中提出的各項要求。

根據由Veritas Technologies公司委託Vanson Bourne進行的一項調查表示，表達同一擔憂的日本與韓國企業比例更是高達60%，這意味著在數據保護上這兩國的企業在全球範圍內已經處於落後地位。

該研究調查涵蓋900位企業決策者，分別來自德國、法國與英國在內的八大市場。除美國有200名受訪者以外，其它各國市場受訪者數量為100位。這些受訪者均擁有至少1000名員工的企業，且這些企業因與歐盟存在商業往來而持有歐盟居民個人資料。

就全球範圍來看，86%的受訪者擔心其可能因無法滿足GDPR合規性要求而導致自身業務遭遇重大負面影響，有近20%的企業認為這將造成毀滅性。澳大利亞與美國企業普遍持後一種擔憂，甚至這其中近25%受訪者擔心合規性問題可能導致其徹底退出歐洲市場。

《一般性數據保護條例（簡稱GDPR）》對企業有什麼要求？

這項新的隱私法案指出，歐盟5億公民將有權將其數據在不同供應商之間往來遷移，要求對應企業停止對其數據進行配置並擁有「被遺忘權」。如果有違隱私法要求，相關企業將面臨高達其全球年營收4%的巨額罰款或者2000萬歐元（摺合1.5億人民幣）罰款，且以數額較大者為準。

其中指定的個人資料包括信用卡、銀行以及醫療信息，這意味著任何向歐盟居民提供商品及服務或者對消費者行為進行監控（例如在線購物習慣）的全球性企業皆將受到GDPR的約束。

Veritas公司執行副總裁兼首席產品官邁克·帕爾默（Mike
Palmer）指出，「距離GDPR正式生效已經只有一年多的時間，但世界範圍內相當一部分企業仍對此採取『並不在意』的態度。無論您的企業是否處於歐盟境內，只要在該地區範圍中開展業務，您即會受到該項法案的約束。」

帕爾默同時警告稱，「如果不作出反應，則會導致企業的業務、品牌聲譽以及生存能力遭遇重大危機。」

E安全小編重點介紹GDPR的幾個特點：

一、法律適用範圍廣

依《歐盟數據保護條例》第三條第一款規定，

只要數據控制人或數據使用人在歐盟境內設有辦公地點，且對個人信息的收集和使用屬於該機構的業務活動範圍，無論收集和使用行為是否發生在歐盟境內，該數據控制人或數據使用人都應遵守《歐盟數據保護條例》。對辦公地點應做廣義理解，只要有效地、實際地收集和使用了個人信息，只有一個工作人員的中國駐歐辦公室便足以構成辦公地點。

除此之外，該條第二款規定在兩種特殊情形下，只要數據控制人或使用人收集或使用了歐盟境內數據主體的個人信息，即使其並未在歐盟境內設有辦公地點也要遵守《歐盟數據保護條例》。這兩種特殊情形包括：

1、向歐盟境內數據主體提供商品或服務，無論有償無償；

2、監控數據主體在歐盟境內的行為。該條規定是本次歐盟數據保護立法改革的亮點之一，對進軍歐盟的中國企業，特別是互聯網企業來說意義重大。

二、個人信息概念寬泛

《歐盟數據保護條例》第四條規定，已經或者能夠通過直接或間接的方式識別自然人的信息為個人信息。該條例對個人信息進行了寬泛地解釋。

不僅用戶提供的交易信息如銀行賬號、地址和聯繫方式等屬於個人信息，某些網路數據也可以被認定為個人信息，例如IP地址。

在判定某一數據是否能夠識別自然人時，要將合理範圍內所有可以採用的技術、非技術手段，以及該數據和數據控制人或使用人持有的其他信息之間的關係等因素都考慮進去。對於特殊類別的個人信息，比如遺傳數據和生物特徵數據，《歐盟數據保護條例》規定了更嚴格的保護措施。

三、數據管理者（data controller）或數據處理者（data processor）法律義務重

《歐盟數據保護條例》為個人信息的收集和使用規定了合法、公平和透明原則、目的限制原則、數據最少化原則、準確性原則、存儲限制原則、完整和保密原則以及責任原則。並賦予數據主體包括獲取信息權、修正錯誤信息權、信息移動權、遺忘權、限制信息使用權、限制程序分析權等在內的多項權利。數據控制人或數據使用人有義務遵守各項原則並保證數據主體實現相應的權利。

此外，數據控制人或數據使用人還要積極採取技術措施、進行隱私影響評估、指定數據保護聯絡人、遵守個人信息泄露後的通知義務，從技術上和管理上降低隱私侵權風險及隱私侵權給數據主體帶來的損害。

四、懲罰力度大

《歐盟數據保護條例》第八十三條對不同的違法行為設定了不同的罰款標準。例如：

1、對未採取技術或管理措施來避免、降低隱私侵權損害的數據控制人或使用人，最高可處以10,000,000歐元或全球營業額的2％（以較高者為準）作為罰款。

2、對違反個人信息收集和使用的基本原則以及沒有保障數據主體權利的數據控制人或使用人，最高可處以20,000,000歐元或全球營業額的4％（以較高者為準）作為罰款。

3、除監管機構外，數據主體還可尋求司法救濟並有權獲得賠償。

數據查找與識別是企業滿足GDPR要求的一大難題

著眼於全球範圍，Veritas研究中47%的受訪者不確定其能夠在2018年5月25日前滿足相關合規性要求，而31%的受訪者則表示其所在企業已經為GDPR制度做好了準備。預計為了滿足相關合規要求，企業至少需要花費140萬美元用於各項調整舉措。

澳大利亞方面亦非常關心由此項合規要求引發的裁員問題。澳大利亞企業中有30%對這一潛在影響表示擔憂，美國與韓國的比例則分別為26%與23%。

韓國與日本另有21%的受訪者關注相關違規報告在消費者群體中造成的不良影響，新加坡的這一比例則為20%。

全球範圍內：

• 32%的受訪者擔心其現有系統無法有效管理相關數據，並有可能影響到其搜索、發現並審計信息以確保符合GDPR相關要求的能力；

• 39%的受訪者表示，他們不具備按照該項隱私法案提出的、及時提供數據副本或者在30天內刪除數據所必需的相關數據準確識別與查找能力。

這項研究結果與載體公司2016年10月進行的一項類似調查基本吻合。戴爾方面發現另一個問題值得注意，90%的亞太地區企業對於GDPR知之甚少：

• 僅有7%的受訪者針對這一新法律進行籌備；

• 85%的企業並不了解其現有運營方式是否會因與GDPR相關數據隱私政策要求相衝突而承擔罰款；

• 95%的受訪者認為，其所在企業的現行做法可能並不符合新的立法要求。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。