当前位置:CIO频道新闻中心 → 正文

一带一路上新壁垒 —— 欧盟《通用数据保护条例》对我国企业影响与应对

责任编辑:cdeng |来源:企业网D1Net  2018-07-12 09:19:37 原创文章 企业网D1Net
中国“一带一路”的握手肯定是友好的,然而握手不一定每次都是友好的。5月25日欧盟的《通用数据保护条例》正式生效,这部法律被称为史上最严苛的数据保护法案,罚金最高达到2000万欧元,相当于1.5亿人民币,要么是罚全球的4%的营业额,两者取其一最高的。所以我们看到,中国企业有更多的服务全球的用户,但企业如何规避相关的法律风险。对此,北京信息资源中心副主任穆勇先生,在7月7日,由企业网D1Net主办的“2018一带一路与信息化发展研讨会”现场为大家解读《一带一路上新壁垒,欧盟《通用数据保护条例》对我国企业影响与应对》。 以下为现场速记: 【北京信息资源中心副主任 穆勇】 穆勇:各位领导,下午好!我把学习《通用数据保护条例》的一些体会向各位领导做一下简单的汇报,很多方面可能是我们自己的观点,不见得对,欢迎大家批评。 “一带一路”为什么叫新壁垒呢?其实这个壁垒是相对来说的,对于我们的企业特别是我们的互联网企业,还有一些所谓的数字经济企业电商之类的,确实是我们所遇到的一种壁垒。而且这个壁垒与我们相关的经济进行比较,会发现这个壁垒还是一种非常高的壁垒,我们现在很多企业还做不到这一步。 《保护条例》是5月25日正式生效的,这个《条例》可以说目前为止是已经正式生效的最严苛的个人数据保护的法律,而且是正式实施的法律。它把数据主体的个人数据权利可以等同于他的基本人权,特别是像隐私权,而且这里面对于个人数据的保护,我总结一下主要是有三方面的权利是非常重要的: 第一是知情权,所有的数据处理,不管是采集、加工、处理、还是交易、还是怎么来处理,我必须知道数据主体,这是一个知情权。 第二是选择权,这些数据怎么来处理、处理得合不合规、找谁来处理、这个选择是不是让你处理、处理的结果能不能用、包括转移,这些选择和操作的权利也是信息主体个人的。 第三是所有权,这个数据不管是经过怎样的加工,最后它的权利还是这个人的,不是说经过加工之后,这个数据的权利就变成了我们企业的、变成第三方的或者其他机构的。而且这个权利是不但给出详细的规定,而且有具体的要求和方法。所以说,这个《条例》是非常重要的一个条例。 这里面有七个方面的原则,而且实施是在31个欧盟国家和欧洲自由贸易联盟实施的。它不同于一般的指令,它是直接的法令,这些国家要实施这些法令,这是它的一个特点。另外它对于数据处理的原则,大家可以看一下,是非常严格的,合法、公正、透明。虽然我们国内的相关法律也是这么说的,但是实际上我们缺少非常详细具体可操作的规定,这里面是非常详细的。包括它的限制、包括它的最小化准确数据处理、保密、安全、问责和责任等等一系列具体的原则,包括一些具体的数据主体的权利,拒绝数据处理、纠正或删除请求处理的数据被遗忘。 这里面可能有很多具体的条款,由于时间关系我就不展开说了。比如说纠正或者说删除,大家看一下具体的权利。某个企业用你们的数据进行个人画像,这些画像必须经过信息主体的同意,我认为这个像画的是我,我认可了,你这个企业才能用。如果不同意,你是不能用的,你要修正。而且我开始的时候同意你采集了数据,后来我觉得我不需要你继续处理了,我可以要求你删除等等。具体的条款非常详细和具体。 里面有一个非常有特点的是数据可携带权,这个打一个比方,比如说我在某一个互联网上进行了操作,在互联网上留下了我的相关信息、包括相关的衍生数据,我现在不想再上你这个网,我想上另外一个网,你这个企业要把我的数据多打一个包,按照我要求的格式传给我,我可以拿它同时到别的网上继续来开展我的业务。你看这个个人的权利多大,而且这些都是企业的相关义务,必须要做到的。 其实这一条也说明了什么呢?欧盟的《条例》看起来是一个个人信息保护的条例,其实他在个人信息保护的同时,也在促使信息的流动和共享,这个权利也是这么一个典型的例子。这里面有很多的具体规定,时间关系我就不具体说了。另外这里面有一些规定是对于数据流通的,也就是说不同地区的数据保护条例的水平不一样,比如说你在欧盟欧美国家进行了评估,他认为他的保护水平比较高,他认为保护高的数据在跨国公司,这个数据在传输的时候只能是从低的往高的地区流动,不能反过来操作。 也就是说,如果有一个企业是全球化公司,他的数据存在了欧盟的相关国家,他要向中国的地区传输数据,他是不允许的,实际上是一个对于数据保护的要求。如果说不按照这些具体要求进行操作,他的处罚是非常严格的,而且也是非常高的。他有两个选择,如果你处理了,没有承担相关的义务和责任的时候,他的处罚是1000万欧元和2%的全球营业额,两者选最高的,这是一类。还有一类是说你对于个人信息处理,如果是侵犯了相关的规定、违反了相关的规定,他的处罚是2000万欧元会全球营业额4%的处罚,也是以两者为高的选择一个。 如果说我们的一些企业触犯了他这部法律的相关规定,他的处罚是非常高的。同时还有一个管辖原则方面的规定,要求也是非常高的。所谓的场地管辖原则,第一个是说如果你这个公司在我欧盟相关的地区设立企业,特别是我们的相关企业必须要遵守本地的法律法规,这是毫无疑问的,这是可以理解的。另外还有一个原则是只要我欧盟的人在世界各地,如果你这个企业触犯了我的相关规定是同样的,如果说欧盟的成员国相关的人员到了北京,北京的企业处理我的数据没有按照我的规定来进行处理,我也可以按我们的规定来对你进行处罚,这就是所谓的场地原则。 大家可以想想看,这两个原则加在一起,其实是对我们的企业是相当不利的,而且我们看一下“一带一路”,因为今天的题目是“一带一路”,我们看一下其实和欧盟的国家直接相关的东欧有16个国家,还有一些其他的欧盟国家,像希腊等其他国家都在这个范围之内。我们中国的企业走出去,其实除了我们传统的一些建筑修路修桥之外,可能还有点优势的就是我们的互联网金融企业、互联网企业或者电商企业。 我们要想到国外去发展,这肯定是我们的一个很大的无形中的非关税的壁垒,如果你做不到这样的话,一是你在那边没法开展业务,二是就算你开展了业务,在国内你做得很好,你要到那儿去开展相关的业务也会面临方方面面的阻碍。平时他可能说我不管你,但是他真想罚你的时候,我估计就不是像美国对中兴的事罚你10亿美金了。你想如果阿里被罚一下,他的全球营业额的4%,而且处罚肯定是上限,包括我们的百度、包括我们的京东、包括我们的BAT,因为不见得是到他们那边去开展相关的业务,欧盟的人在北京,你给我提供了服务,你没有按照这个要求做,我就可以罚你。 所以说,从这个角度来说,《通用数据保护条例》的发布其实无形中给我们增加了一个新的阻碍,这是我的一个观点。另外一个,这个事情对于一些大企业来说,可能稍微还可以处理,比如说我们也问过相关的大企业,他说我们有两个版本,第一个是对欧洲国家采用的一个版本,就是按照他的要求来做。我说国内的怎么办,万一欧盟的人到这儿来旅游,你不小心触犯了怎么办?他说现在还没有想到相关的对策,这是一个。 另外一个最大的影响是我们相关的中小企业,这个成本无形中会增加很多,原来我们很多的业务都是通过免费的或者不受影响的开展个人画像、广告、推送等东西来做的,现在变成这样,第一个是你原来的业务很多做不了,第二个是增加了一大块很大的关于数据保护方面的成本。而且同时现在给我们造成压力的,不仅是欧盟国家这么做的,相关的一些发达地区像澳大利亚、新加坡、美国等也都是在做这样的工作。这确实是给我们无形中产生一个压力,但这既是机遇,也是挑战。 5月25日我特意上网看了一下,我们国内的企业其实已经开始应对了,比如说这是中国国际航空公司,我在网上看了一下,他在25号马上就把他的所有隐私政策全调回来了。因为他觉得他自己是最可能会被处罚的一个企业,因为他要飞欧盟国家,另外他的乘客乘员肯定有大量的是欧盟国家的人员。同时我们看了一下我们国内的一些跨国五星级酒店,你看他的隐私政策,他已经变过来了。特别是一些大的,虽然不是互联网企业,但是他要想和欧盟进行对接,他必须要做这项工作。 同时相关的《通用数据保护条例》在欧洲国家已经开始实施,并且首个违反相关规定的判例已经出来了,他设立了专门的法庭或者保护人员来处理这方面的案件。现在首个具体的案例我就不展开说了,这个大家能看到。同时相应的美国相关的一些洲、一些国家也在不断的抬高个人数据保护的门槛,其实我觉得这从某种程度来说,对我们国内造成了压力。 我们再看一下,比较一下国内的相关法律法规,比较起来才知道我们现在走到哪一步。国内相关的法律法规也有,但是相对来说都是比较宏观、模糊、不可操作的,缺少可操作性。除非是你触犯了非常严重的问题,包括相关的标准,其实这是一个国家推进个人信息保护的相关标准,因为它是一个推荐性标准,所以没有法律、没有约束力,你可以使用、也可以不使用。特别是他违反了之后,你还没法处罚。所以我们国内在这个方面,我们的起点和欧盟国家相比较而言,我们是非常低的。 如果是数据保护过于严苛,可能会对我们的企业产生很大的影响,所以我们现在采用的政策更多的是比较宽容的,为了促进产业的发展比较宽容的对待个人数据的使用,所以才出现了现在的各种问题。比如说有些企业家就说了,我们中国人愿意占便宜,愿意通过使用我们的个人数据来换取免费的服务,实际上这是不对的。而且它不仅是说我收集你我应该用的数据,而是说相关的数据我要大量的采集。所以我们国内比较起来,我们国内对个人信息的使用更多的是包容。我总结出来实际上是过度的包容,没有守住审慎的底线,造成了相关的侵犯个人信息的事件,包括恶性事件不断有发生,影响了用户对企业的信心。 我想了一下,这是不是和我们以前走过的路有点类似,我们改革开放之初,我们为了发展经济,忽略了环保,走的是一条“先发展、后治理”,以至于现在拼命治理,下最大的决心、最大的力度来治理,花很大的成本来纠正以前的错误的道路。是不是这样,我现在无法判断,但是我们现在的政策,我的总结认为是过度的包容。而且这样对我们以后“一带一路”的发展是极为不利的,现在你要走出去,国外的环境条件和我们是有很大差别的。 我们的一些产品、我们的一些服务,你在国内的时候没有做大的时候,人家是不会管你、不会处理你、不会处罚你。但是你一旦做大的时候,他关注你的时候,特别是你要到欧盟国家去发展的时候,你就会面临这样的问题。而且你要从头来,重新设计你的产品、设计你的服务的时候,我估计那个成本也是会很高的。所以说,我们应该采取相应的对策来解决这方面的问题。包括高度的重视个人数据保护,怎么来行使相关的权利和操作的规程,包括数据处理机制、数据保护关、应急等等具体的规定,具体就不展开说了。 同时我们国家应该提高我们自己的个人数据保护的门槛,我的一个感觉是现在从两头来走,欧盟国家是从保护往使用、共享中间这边过度,我们是从使用、共享再往保护阶段来过度,他们两可能会在一个阶段进行交汇。如果说我们要在全球数据保护的网络空间治理上有一定的话语权,我们一直在强调中国互联网和国际互联网增加网络空间的话语权,我们需要占领所谓的道德高地,同时也是保护我们自己的利益。在这里政府部门要起到重要的作用,而且政府部门是作为数据处理的所谓的公共当局,也是和一般企业要承担相应的责任的。 所以我们应该限制政府对个人数据的使用方面的要求,特别是像我们的一些国际化大都市,像北京这样的几个地区,你要举办奥运会,你要举办冬奥会,举办大型的国际活动,大量的国外人员在这边开展相关的工作,如果你这方面做得不够,肯定是会有问题的。同时在这个阶段,我们要注意支持我们的中小企业开展相关的工作。特别是降低我们的风险,帮扶小企业采取相关的措施来应对。同时和欧盟相关的国家进行协商,看看能不能做谈判。像贸易关税一样,确定对我们国家适用的个人数据处理的一种协调机制,来减少不必要的贸易纠纷。 个人数据为什么说在我们这一块处理起来难呢?其实第一个问题是,一个数据的处理不仅涉及到你这个人提交一次,而且在不同的环节有不同的主体来进行处理。第二个是多元主体多步骤操作,第三个是数据的确权,确权问题一直在我们国内没有解决。当然了,国外也有一些不同的方法来进行相关的处置,可以供我们参考。这是所谓的财产权利,一个是确权问题,一个是财产权利如何进行平衡。平衡这里面有一种机制,我们叫做保护与共享的平衡机制,怎么来通过确权和利益的保护进行平衡,保护各方的权利,一个是责任规则、一个是财产规则。 我们稍微解释一下什么叫财产规则,一个主体授予他财产规则之后,如果别人要获得这个权利必须要经过他的同意,这个叫财产规则。还有一个叫责任规则,责任规则是说他获得权利之后,你要征得他的同意,如果他不同意,由第三方来给一个价格或者一个方式来进行处理。打个比喻,像我们盖楼或者修路,有一个房子要拆迁,如果是一般的房地产商业的开发,这个屋子的权利就是财产权利。你要想拆我的房子,你必须给我一个满意的价格,我同意了你才能拆。但是如果是修路,公共利益,对不起,你要2000万我没有,我只能给你1000万或者说500万,这是属于责任规则。 我们认为,个人信息的保护和使用,根据不同的情况,不能一刀切。特别是我们的政府部门,我们不管是向外开放数据、还是政府购买企业和个人的数据的时候,也都是根据不同的情况采用不同的规则来进行处置。 时间关系就说到这里,如果说得不对的地方,欢迎大家批评指正,谢谢大家!
关键字:一带一路 GDPR 原创文章 企业网D1Net
一带一路上新壁垒 扫一扫
分享本文到朋友圈
关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士 企业网版权所有©2010-2018 京ICP备09108050号-6
^
沙龙国际手机版