如果只是为了避免被处罚,那GDPR合规就么什么意义了。
众所周知,《通用数据保护条例》(GDPR)将在2018年5月25日正式生效,届时将引入针对欧盟成员国内的数据处理过程和欧盟公民个人数据处理(无论处理地点在哪里)的一系列重大新法。换句话说,即便你的公司在美国,只要你经手欧盟公民的数据,你就受到GDPR的管辖。这些法案赋予了欧盟公民多项个人数据新权利,包括删除内容、便捷访问、网络攻击知情权等。而且,这还只是个开始。
违反GDPR的处罚很重。比如说,如果你的公司没能在72小时内通报数据泄露情况,那你就将面临罚款。罚金最高可达公司全球营业额的4%或2000万欧元(取高值)。无论大企业还是小公司都有可能受到这样的处罚,因为每个人的数据都同样重要,且没有哪一家公司能保证完全不会受到攻击。根据侵权规模、通报有效性、合规工作的覆盖面、所泄信息的类型和公司类型,处罚比例可能会酌情调整。但是,所有的迹象都表明,任何遭到处罚的公司都不会好受。
毫无疑问,这种规模的经济处罚绝对是当头一棒。但如果公司企业在对待GDPR合规问题上只关注其“大棒”的一面——搜寻GDPR安全合规对照检查表或者购买GDPR防罚产品,那必然不会有什么好结果。GDPR定义了结果,但没有定义带来这些结果的方法。怎么合规需要好好思考,但照单划勾肯定不行。虽然安全是GDPR的重点,但GDPR的核心问题不止这一个。公司企业获取信息的合法性与使用信息的合理性同样是GDPR的关注重点。另外,还必须保证客户能够按照自己的意愿访问、修改或删除他们保存在公司企业系统中的数据。
于是,我们不妨转变思路,关注GDPR“胡萝卜”的一面——GDPR合规所带来的好处。认真想想的话,GDPR合规所能带来的好处还真不少,比如重点突出、业务健康、客户信任和成功的数字化转型。
- 重点突出:
自上世纪90年代起,欧盟就针对在管辖范围内做生意的公司设立了很多必须遵守的法令。虽然GDPR可算是改变游戏规则的重量级新规,但它同时也起到了整合和突出重点的作用,可以提高公司企业的合规效率。GDPR还试图引入基于风险的数据保护方法,以便公司企业可以根据自身面临的威胁调整风险处理方式。当然,GDPR比很多企业当前遵循的规则更为严格,但这也带来了接下来的好处。
- 业务健康:
GDPR的诸多规定形成了可供持续问责和良好个人数据管理的一套框架。事件响应、数据映射和成熟度评估都会成为公司业务规划中的一部分,公司业务也将因此而更为健康。不妨将GDPR合规视为生活方式转变,可以长期坚持且最终能让你变得更强壮的那种,而不是心血来潮难以持续的节食。
- 客户信任:
如果你的客户和合作伙伴知道自己正与拥抱GDPR且符合这些严格标准的公司合作,他们便会对自己的数据安全充满信心。这种信心能量巨大。金雅拓公司最近的一项调查显示,69%的消费者觉得公司企业不把客户数据当回事,70%的消费者会断绝与发生了数据泄露的公司的业务往来。拥有消费者的信任无疑会让公司企业占据令人艳羡的竞争优势,带来业务增长。
- 数字化转型:
安全是数字化转型的驱动器。数字化转型是否成功,取决于敏感数据的传输和存储/使用敏感数据的系统是否安全。GDPR通过个人数据保护立法,在该安全环境的创建上取得了实质性进展。对处理欧盟公民个人数据的公司而言,GDPR合规是其数字化转型成功的关键。
如果只是为了避免被处罚,那GDPR合规就么什么意义了。相反,重视GDPR合规所带来的好处,你的合规工作才会真正驱动公司在数字经济时代繁荣昌盛。你的客户将对你更有信心,你的业务会更加健康,公司风险会降到可以接受的水平,潜在数据泄露的检测与响应也会更加高效。改变看问题的角度,GDPR合规会让你的公司越来越好。
相关阅读
