號稱史上最嚴格的歐盟新版個資法「歐盟通用資料保護規則(GDPR)」25日正式上路,其規範之廣、罰則之重,讓不少大陸企業惶惶不安。調查發現,預估今年每家企業約需投入130萬歐元以滿足GDPR的規定,再加上中興通訊遭罰的前車之鑑,料將倒逼大陸企業從源頭建立使用者資料安全體系。
存儲在線報導,由於GDPR的適用範圍擴展到「屬人管轄」,也就是所有收集、存儲或處理歐盟境內任何居民的個人資料的組織及企業,都需遵守此一新規。若是違規,將面臨高達2,000萬歐元或全年總收入的4%的巨額罰款,讓企業不敢輕忽。
根據資訊軟體服務商Veritas在2017年針對GDPR所做的調查,全球高達47%企業擔心無法在GDPR條例生效之前滿足合規要求,還有18%的企業憂心未能滿足合規要求,將導致公司破產。調查還發現,為滿足GDPR的標準,平均每家企業在2018年將投入130萬歐元以進行改善。
南方都市報報導,對於積極「出海」的大陸企業,一旦違反GDPR的代價不僅在鉅額罰款,業內人士分析,「其最大的風險是失去歐洲市場准入機會和用戶的信任」。
專家指出,值得注意的是,GDPR在保護個人隱私有許多細節規範,包括用戶可以享有訪問、更正、刪除、限制處理、資料可攜和拒絕等處理個人資料的權利。也就是說,相關企業在產品和服務的初始設計階段,就必須將資料與隱私保護考慮在內。
由於大陸多數企業沒有類似的基礎,傳統大企業更是受制於自身的組織架構與業務規模,難以快速建立起由上到下的隱私保護體系。這些企業只能對照GDPR的條款要求,逐一採取應對措施,逐步修訂和補充其隱私政策。
有陸企反應,GDPR規定的「72小時內報告資料洩露事件」是最難實現的規範之一。為了達滿足新規,企業必須建立完善的資料監控機制,即時發現內部違規操作和外部入侵行為,對企業來說是一大成本投入。
報導稱,工信部賽迪智庫網路安全研究所助理研究員魏書音表示,未來,C 2C模式下的電子支付、電子商務,以及雲服務、區塊鏈、大數據徵信等服務,涉及使用者個人資料的收集、控制、處理及利用會更加頻繁。企業必須在符合GDPR監管又能尋求商業利益間的找到平衡。