写给出海的伙伴:GDPR,一个可以讨论的话题【APUS研究院|GDPR实战指南(一)】
《通用数据保护条例》(General Data Protection Regulation,简称GDPR),旨在保护自然人的个人信息安全,已于2018年5月25日生效。在全球现有的数据隐私保护法规中,GDPR以其标准高、处罚严而闻名。
我们想写一系列GDPR相关的文章,从法律规则探讨到实践操作,和出海者们交流我们对GDPR的理解。
或许有人这么想,观望似乎是当前更讨巧的做法。如果有人问起,你们怎么看GDPR的,也仅是谈谈保护用户个人隐私刻不容缓,说说欧洲隐私保护的历史沿革和新发展这样的大标题。毕竟,很少有人可以说自己对GDPR的了解足够专业,足够自信。
假如所有人都选择了“敬而远之”的角色,或“藏着掖着”的态度,那么GDPR在国内将会变得越发神秘,GDPR的规则和理念也似乎会变成只有少数人掌握的“珍稀资源”。出海企业对这样的一部外国法律,更加难以实践和落地。
我们希望用分享,打破这种神秘感,让GDPR合规不再是空中楼阁,帮助中国企业出海,共同开拓国际市场。这也一直都是我们的使命。公开对GDPR的讨论和理解,或许并不是聪明的做法,但这却契合我们追求的使命和价值。为中国出海企业提供经验、技术和平台,这是我们的使命。抛砖引玉,引出更多对GDPR,对数据合规,甚至对其他出海问题的关注与讨论,这是我们的价值。
我们计划撰写的文章,将注重实践和操作,目的在于解决出海企业以下的合规难点:
第一、合规成本高。
GDPR合规工作量多,对专业人员需求大。这些工作绝不是仅仅依靠企业法务或工程师就能消化,外部专家顾问在合规工作中也扮演者着重要角色。
因此GDPR合规成本主要体现在三个方面:
比如律师、安全技术专家和审计师等,这取决于公司合规能力的强弱。
举个例子,企业对内部进行数据摸底,需要知道自己收集的用户数据字段、需要将字段归类、需要对数据的传输、存储和加工等环节,在企业存续的全周期进行调查,并发现存在的风险点。这绝非个别员工可以完成的任务,而是需要多部门人员的配合。
GDPR合规并非“面子工程”,对用户个人信息的保护,GDPR要求植入企业的DNA和日常工作中。比如对于产品的开发、上线和运营,都需要考虑个人信息的保护。目前有人提出“隐私运营”的概念,就是建立专门的团队和部门去管理用户个人信息的保护工作。
我们希望今后的分享可以帮助出海企业了解GDPR,一方面减少走弯路的成本,另一方面也避免受到一些所谓“专家”的干扰和欺骗,有效地利用企业内部和外部资源,降低合规成本。
第二、合规标准不明确。
我们一直认为GDPR是一部尚未完成的法律。取得儿童监护人同意或授权的条款就很好说明了这点:
…While the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorized by the holder of parental responsibility over the child…The controller shall make reasonable effort to verify in such cases that consent is given or authorized by the holder of parental responsibility over the child, taking into consideration available technology.
Article 8, GDPR
…在儿童未满16周岁时,只有取得该儿童监护人同意或授权,以上数据处理才能被视为合法…控制者应当考虑现有技术水平,尽合理的努力以核实上述同意或授权是否由该儿童的监护人做出。
GDPR第八条
这里有很多操作上的不确定,如何取得,尤其是核实,监护人的授权或者同意?什么是现有技术水平,以及合理努力的标准?当然,这些问题可以探讨,但是GDRP没有明确的解释。如果说第一个问题我们可以用成本来衡量,那么完全解决第二个问题,我们只能等待立法的解释和行业范例。尽管如此,我们还是会在文章中阐述自己的理解,以供借鉴。
第三、合规方案复杂。
如果一个以儿童为主要用户的游戏APP考虑做GDPR合规,一个重要前提就是取得儿童监护人的同意或授权。对于这个问题,我们不可能等到欧盟的明确解释或者行业范例出现,因为这样的风险很大。我们认为更好的合规策略是,召集这款游戏APP的产品经理、工程师和律师,共同讨论一个可以接受的解决方案。我们模拟一下这场对话的一个片段:
律师:给16岁以下儿童提供服务前,我们需要取得儿童监护人的同意,还需要验证监护人的身份,怎么从技术上实现?
工程师:目前公司唯一的验证途径只有短信,怎么才算取得监护人的同意,怎么核实监护人的身份?
产品经理:我们可以要求用户在注册账号时确认其生日,如果低于16岁,那么这个用户必须输入监护人的手机,我们会发送一条短信,要求接收方确认是否为该用户的监护人,并且确认是否同意这个儿童注册并进入我们的产品,但问题是,是不是要实名注册?这样验证监护人身份是否符合法律标准?
…
但很多公司,尤其是初创型公司,并不具备跨部门协作,研究设计复杂合规方案的能力。我们希望通过分享我们的理解,为这样的公司提供合规工作的解决思路。
以上就是我们希望通过交流和讨论去解决的问题。我们认为,这很有意义。各位出海的朋友们、伙伴们,认知任何事物,都离不开逐渐探索的过程,希望我们的努力,可以为各位带来帮助。也希望各位,可以参与到讨论中,提出批评,提出建议。
APUS研究院|GDPR实战指南(二)“同意”,没那么简单。
APUS研究院|GDPR实战指南(三)全球首例GDPR案件分析。
APUS研究院|GDPR实战指南(四)浅谈企业GDPR合规中的项目管理。
介绍:APUS研究院,致力于研究数据合规的前沿问题,持续跟进高新行业的合规热点和动态。