正当欧盟的《一般数据保护条例》(GDPR)将于今年五月底实施之际,一份调查报告发现,很多企业仍未准备就绪。
欧华律师事务所发表的第二份《数据私隐简介报告》(Data Privacy Snapshot)发现,受访者在所有关键的国际数据隐私原则方面的平均比对得分只有34.4%。
这份报告显示,200多间于2017年接受该律所在线调查工具的受访机构,在全球隐私原则要求愈来愈严格的环境下离符合要求仍存在差距。虽然GDPR将于2018年5月25日起生效,但很多受访者在履行数据保护义务方面仍未达标准。
欧华律师事务所合伙人Scott Thiel向《商法》介绍说:“GDPR不只影响在欧盟境内开展业务的企业,还会影响位于欧盟以外、向欧盟特定数据主体提供服务或产品的任何企业。例如,向欧盟客户提供服务或产品的全球网站运营企业将受到GDPR法规的约束。”
这次在线调查最初于2016年1月进行,受访者被问及数据存储、数据使用和客户权利等方面的问题,并且在随后会得到一份基于百分比评分机制并包含改进建议的报告。
除了很多包括亚洲公司在内的受访企业忽视GDPR存在的境外管辖效力,Thiel补充说近期发布的这份报告显示,这些公司也缺乏“适当的个人资料分类,处理所有类型的数据方式基本上都一样。”
此外,这些受访的企业亦缺乏具适当资历及必要资源的职员承担GDPR的合规责任。
Thiel表示,对个人资料进行适当分类,能让企业分层管理不同类型的数据带来的风险。他更指出,在GDPR的监管框架下,区分特别类型的个人数据非常重要,例如财务数据、健康数据、司法数据、关于个人种族或族群的资料、政治观点、宗教或哲学理念、犯罪纪录和工会会员资格等。
“许多企业在进行跨境数据转移时,未能遵守监管转移数据至欧盟以外地区的特定法规,”他说。
为了确保符合GDPR的要求,Thiel建议企业应该采取严格流程,详细制定出收集个人数据的规则,并制定正式的程序以便处理数据主体访问、纠正、删除其个人数据的要求,或对其个人数据处理方式的反对
意见。
他还指出,公司还应该采取全面的隐私政策,涵盖所有常规处理个人数据的业务部门,并应在收集个人数据之前进行适当的通知并获得准许。
Thiel提醒,倘若公司违反了GDPR下的核心合规义务,有可能被罚款高达2000万欧元或年度全球营业总额的4%,以较高者为准。
除了GDPR之外,Thiel认为从事海外业务活动的亚洲公司,亦应关注以下的数据保护条例:(1)中国网络安全法;(2)澳大利亚2017年隐私修正案(须上报的数据外泄事件);(3)新加坡网络安全法。
