GDPR:了解客户数据的复杂性

Marcy Darsey,Lifesize 公司法律顾问总监
日期:2018 年 2 月 15 日

大家好,欢迎回来,这是一档完全通过 Lifesize 平台制作的 Lifesize Live! 网络直播节目。

我是主持人 Julian Fields,今天我们邀请了 Lifesize 的法律顾问 Jordan Caulfield 一同来到节目中。我们今天谈论的话题是 GDPR。

没错。正是大家这些日子热议的话题。

是的,我们都知道 GDPR 是什么。正因如此,我们可以假设所有人都知道 GDPR 是什么,但是您可以给我们介绍一点相关的背景知识吗?比如这个规范的意义以及实际主张是什么。

好的,Julian,首先,非常感谢您让我坐在这里参加 Lifesize Live! 直播节目。很高兴来到这个直播室,并能参加 Lifesize 制作的网播直播中。在我们开始之前,或者深入讨论 GDPR 之前,因为我是个律师,我想先提出免责声明,也就是说在接下来的 10 分钟内,我所说的任何内容都不构成实际法律咨询。

好的。

所以,如果有人真的对这个话题很好奇,或者对 GDPR 或任何法规或法律有具体的问题,他们应该向有资质的法律专家咨询。现在言归正传。GDPR 是什么,它代表什么?GDPR 代表一般数据保护条例,它是欧盟委员会通过的一部新法律。它与欧盟所有居民的数据安全和隐私相关。

好的。我知道,在市场营销工作中,我们总会遇到这样的事情,无法给某些没有选择接收产品推广电子邮件的人发电子邮件。

没错。其实欧盟早已设立数据安全和隐私法律,已有 20 年。但 GDPR 才刚出台两年。我们已经进入了实施期间,5 月 25 日,监管机构将开始正是执行该法律。他们将开始对不合规的问题采取措施,如果发现公司未遵守 GDPR,将处以罚金。而且罚金相当重。

您是说这个惩罚并不轻。

是的,不是轻微的惩罚。罚款可以高达 2000 万欧元,这是有惩戒意义的。

来换算看看,相当于 2000 多万美元。

额度很高。公司最高将处以 2000 万美元或全球年营业额的 4%,这里指的全球运营机构的收入,并不仅是欧洲运营机构的收入。

嗯,所以公司规模越大,罚款越重。

没错,罚款是很重,这是因为欧盟认识到,每个人都有基本的隐私权。您想想我们现在生活的世界,拥有过去几十年出现的所有先进技术,人们在许多平台上共享自己的身份信息和个人资料,而许多企业也是通过收集个人数据从中获利。

是的,就好像我拥有的每个应用程序至少会有我的名字、某些密码元素、电话号码、地址之类的资料。

确实。想想与您在网上互动的所有企业,他们掌握了您多少的个人信息。

除了信用卡之外,还有我个人的真实详细资料。

是的,您的身份、您的数据、您是谁、您的名字 — 这些都是隐私信息。如果您与某家公司共享这些信息,那这家公司就有义务明确告知他们如何收集和使用这些数据,同时他们还有义务采用适当的技术和操作保护措施,确保您的个人数据安全以免被黑客攻击。如果公司未遵守这些法律,将处以重罚,因为欧盟政府要确保企业严格履行自己的义务。

明白了。那么,GDPR 的关键元素是什么呢?

如果您打印英语版的 GDPR,共有 88 页。所以,这是一部冗长的法律,它涵盖了许多主题。GDPR 中有 99 个不同的章节。

太棒了,因为今天距离法律执行日还有 99 天。我们刚好可以一天读一章。

任何人都可以做到。所以,99 是今天的神奇数字,因为我们距离 GDPR 执行生效日还有 99 天。该法律涵盖很多内容,但其中一个关键主题是我已经提到的:透明度。因此,个人有权了解自己的哪些数据被收集、哪些公司使用我们的数据、这些公司是否将数据传递给任何其他第三方供应商或处理商。透明度还包括了解您的数据的存储方式和存储位置。

就像您在网站上看到的弹出窗口显示,“本网站收集 Cookie“或之类的说明。

对,可能是横幅 — 这是对客户保持透明的一种方式。在您的隐私政策或隐私声明中提供适当的披露异常重要。大多数企业都在更新面向客户的隐私声明,以便能履行这些透明度义务。GDPR 的另一个原则是问责制,这一点也非常重要。问责制的意思是,企业必须能向客户证明他们遵守了这些法规,并且为了证明合规性,企业必须有成文的政策和程序。他们还必须记录数据处理活动。企业必须对他们所做的事情有书面跟踪记录。

只是口头上说“是的,我有遵守 GDPR”,这还不够。

说“请相信我们说的,我们会遵守”,这还不够。您必须有一些文档来证明您确实已遵守法规。然后,GDPR 的第三个主要原则就是所谓的“基于隐私的设计”这个概念,这表示如果公司正在开发涉及收集、处理或存储个人数据的产品 —

就像我刚说的那些应用程序。

是的,没错。如果您是一家公司,并且您正在开发会收集个人数据的应用程序,您必须在产品开发过程中应用基于隐私的设计方法。

所以,而不是事后补救。

是的,这表示您将为您的解决方案或服务开发一个架构,然后在每个开发阶段都要考虑到隐私和安全。您在开发时,从一开始就要将隐私纳入考量,并要思考如何在产品架构中纳入隐私保护措施,并不是在最后才采取补救措施。就像您刚才说的。

“我们将在最后对它加密”— 不应该这样做。

这并非最佳做法;您需要在整个产品开发生命周期中都考虑到隐私。并且,由于问责制,您需要记录下您所做的这些隐私保护措施。

明白了。如果以上所说的都是关键,也许应该将它们归类在公司应该正真考虑的事项。他们需要做的第一步是什么?

公司应该做的第一步是进行数据评估,了解他们所拥有的数据内容。公司确实需要查看他们拥有的客户数据,了解他们的数据和数据流。有时这也称为执行数据映射或数据库存。然后,他们要查看每个步骤,从收集、处理、存储到删除或保留 — 无论他们是否有义务,他们都需要这么做,以确保他们合规。因此,第一步是数据评估或数据映射。第二步是制定适当的技术和操作措施,确保个人数据在整个数据映射过程中都是安全的。

好的。我刚刚看到有观众提出了一个问题,如果您不介意,我们先回答这个问题。问题与数据保护官的需要性有关。公司必须设有数据保护官吗?

这要看具体情况。不是每个公司都需要,它取决于您要处理什么类型的数据。如果您要处理大量的敏感数据,或许必须设立数据保护官。如果您有持续监测之类的需求,好比您有一台闭路电视,您需要一直监视人员,则必须配备数据保护官。这是典型的从法律角度回答,但要视具体情况而定。这的确是关于这部法律的关键点,但并非适合所有公司或组织。每家公司都应该为自己的合规性制定一个适合自身特点的计划。这取决于具体的数据类型和数据处理活动。所以,并不仅仅是一个简单的解决方案就能适用于每一家公司。必须全面考虑,然后根据自身情况进行定制。

是的,没错。好的,非常感谢您,Marcy。我想我们的节目已接近尾声了,但如果您不介意的话,我们还有其他问题进来。也许我们可以对您跟进采访,建立一个博客,进一步谈论这个话题?

当然可以。这个话题涵盖面广,有很多要说的。感谢今天收看我们节目的每位观众。谢谢您邀请我参加节目。

当然,不用客气。我们很快会再邀请您来上节目。好的,谢谢大家的收看。我们下周见。再见。