本文来自微信公众号“安在”,作者/绵总。
在当下,个人信息等数据隐私的监管力度日益增强,去年的滴滴、今年的知网等多家知名企业均因个人信息而遭到处罚。尽管如此,用户信息收集的频率却仍然没有降低,现在,几乎每一个APP和小程序在使用前都需要注册个人相关信息,用户还需授权其收集和使用。这些企业真的做好保障个人信息的准备了吗?
据Womble Bond Dickinson 2023年全球数据隐私法调查报告显示,英、美及欧盟有半数的企业高管认为自己的企业没有做好数据隐私的工作,他们认为企业并没有满足英、美及欧盟关于数据隐私的监管要求。该报告统计了超过200名英、美及欧盟的企业高管,其中,只有34%的受访者表示进行过数据映射,并了解其组织的数据活动。这表明,即便当地的监管合规要求如此之高,仍然有大量的企业未能做好数据安全等相关工作。此外,据调查显示,网络安全是受访者最关心的数据隐私问题。
2023年是大西洋两岸数据隐私具有里程碑意义的一年。今年,美国有四个州的相关法律即将或已然生效,加利福尼亚州已经扩大了数据隐私的范围并设置了更严格的要求,其他几个周也颁布或提出了自己的隐私立法。在另一边,随着围绕其他全球协议的谈判—例如欧盟与脱欧后的英国之间的协议—正在持续进行,欧盟委员会最终批准了《欧盟-美国数据隐私框架》。
数据隐私管理:英国企业>美国企业
在满足数据隐私要求方面,英国受访者比美国受访者表现得更加积极。在总部位于英国的公司中,59%的公司对英国和欧盟的《通用数据保护条例》(GDPR)以及《2018年数据保护法》(DPA)做好了充分准备,而49%的总部位于美国的公司对遵守美国国家数据隐私法做好了充分的准备,低于去年调查中的59%。有趣的是,与英国公司的高管(40%)相比,美国公司的高管在遵守欧洲数据保护法方面做得更好(44%)。报告指出,这可能是由于与新出台的或仍在出台的美国法律相比,英国和欧盟的GDPR以及英国的DPA更加成熟。
有40%的英国受访者表示,虽然增加了额外的成本,但隐私法规对其开展跨境业务的影响是可控的。相比之下,美国受访者的比例为35%。
近7成组织缺乏数据映射
调查表明,那些自认为已经准备好应对数据隐私法的人可能并非如此。尽管有70%的受访者表示他们已经任命了数据隐私项目经理或负责人,58%的受访者定期对员工进行数据隐私和合规方面的培训,但只有不到一半的受访者表示采取了以下工作:聘请外部法律顾问(42%),参加同行小组以了解变化(40%),或者成立了一个特别工作组或监督顾问来跟踪隐私法的变化(35%)。
此外,只有34%的人进行了数据映射并了解整个组织的数据实践。Womble Bond Dickinson隐私和网络安全团队的合伙人兼主席、报告撰稿人Tara Cho表示,数据映射是任何数据隐私和网络安全解决方案的最基础设施,因为它能让组织知道自身拥有哪些数据以及数据的位置。在他看来,很多组织或许会实施面向外部的安全措施,例如在其网站上张贴cookie横幅或更新隐私政策,但后端仍需要制定相应策略,以真正实施合规要求。
跟上数据隐私法的变化是最大的挑战
跟上数据隐私法的变化是受访者面临的最大挑战。挑战主要来自包括美国立法现状和州法律之间的差异(59%),适应欧洲新的或不断变化的法律要求(55%)。除此之外,预算问题(52%美国,45%英国)、缺乏员工(42%美国,39%英国)、管理审批问题(30%美国,23%英国)以及缺乏领导力(21%美国,10%英国)是其他影响受访者数据隐私保护的因素。
报告称,了解组织内部的数据也是英、美两国企业面临的一个关键挑战,这与组织在数据映射方面缺乏进展有关。
网络安全是最受关心的数据隐私问题
网络安全或数据泄露是受访者最关心的数据隐私问题,英国高管对此表示特别担忧。零售业和金融服务业的受访者的关注度高于所有其他行业,分别为42%和41%。
美国受访者关注的第二大数据隐私问题是诉讼和监管执法行动,而在英国,排名第二的是客户忠诚度或信任的损失以及遵守隐私法的成本。有趣的是,与英国受访者相比,美国受访者更担心没有充分利用数据来最大限度地提高销售额或收入,而不太关心合规成本。
Cho表示,隐私权在欧盟是一项基本权利,GDPR及其前身指令为保护这些权利提供了长期的法律框架。相比之下,美国法律在历史上一直是部门性的和保守的。例如,只有发生过个人数据被侵犯的事件,这些新的州综合隐私法才会提出积极的要求,主要的推动力是赋予消费者对其数据的权利,特别是当数据被货币化时。
该研究还指出,受访者对地理位置数据隐私问题表示显著担忧。在美国,40%的受访者非常担心隐私法,其中包括对收集和使用精确的消费者地理位置数据进行定向营销的具体限制,而英国的这一比例为32%。美国受访者还更关注地理位置数据提供的洞察力(35%对26%的英国受访者)以及相关收入(24%对22%)。与此同时,英国受访者更关心获得消费者的同意(56%对51%的美国受访者)和确定具体的商业目的(55%对50%)。
人工智能、生物识别技术带来新的挑战
人工智能和生物识别等不断发展的技术正在进入数据隐私的范畴,这两种技术都带来了各自的机遇和挑战。企业正在加快采用人工智能技术,仅在过去一年就有22%的企业开始使用此类技术,这是由于OpenAI的ChatGPT等生成型人工智能的迅速普及。
受访者列举了人工智能的广泛用途,36%的人使用该技术生成内容,另有24%的人计划在明年这样做。然而,报告指出,伦理问题(45%)和法律风险(34%)是采用人工智能的主要障碍。目前,世界各地正在筹划和出台人工智能法规,欧盟的《人工智能法案》预计最快将于2025年通过并适用于企业,旨在成为一项全球标准。在英国,政府发布了一项“支持创新”的人工智能监管提案,而在美国,联邦行动旨在推进白宫的人工智能权利法案。
至于指纹和面部识别等生物识别技术,去年在全球范围内的使用量有所增长。近三分之二(64%)的美国受访者目前正在使用该数据,而去年这一比例为59%,另有225人计划使用。在英国,59%的企业正在使用生物识别数据,另有21%的企业计划使用。
然而,报告指出,随着这些技术的不断普及,数据隐私合规的问题也在增加。去年10月,陪审团在《生物识别信息隐私法》(BIPA)集体诉讼中首次作出裁决,一群卡车司机成功起诉了一家货运铁路运营商的指纹扫描安全要求。研究表明,原告的成功可能会鼓励其他人追求自己的主张。
保障数据隐私的最佳实践有哪些?
Womble Bond Dickinson的报告包括一份数据隐私合规清单,概述了应对不断发展的数据隐私法的最佳实践。其中包括:
1.任命一名内部项目经理或负责人。
2.建立一个专门的多部门团队,包括IT、人力资源、法律、合规、市场营销和工程。
3.进行数据映射并了解整个组织的数据实践。
4.开发处理和响应数据隐私权请求的平台和系统。
5.聘请外部法律顾问就合规性提供建议。
6.更新公司隐私政策。
7.设置指标和具体目标以跟踪合规进度。
8.起草或更新与第三方的协议,以符合新的隐私要求。
专家观点
中通快递安全专家陈圣表示,组织在制定数据隐私保护相关策略时,可优先从以下几点出发:
一、定期开展个人信息和数据安全的检查,做到摸清数据资产、建立相关资产台账,做到全覆盖,并落实相关个人信息保护制度。
二、对重点的关键基础设施展开网络安全演练,进行沙盘推演,从而进一步验证防护策略及技术措施的有效性。
三、落实实名制,并进一步完善上下游企业的背景审查工作。
四、进一步加强技术创新能力,加大对网络身份认证、监管及国家标准所要求的个人信息隐私保护的相关要求规范的达成。
五、常态化的开展网络及个人隐私数据保护安全培训,进一步建立健全教育培训考核机制,与员工及管理层的岗前培训及日常培训挂钩,与绩效挂钩真正意义上落实培训内容,各个岗位人员都具备并掌握网络及数据安全意识,具备基本的网络和数据安全技术防护能力。
六、强化宣传引导,完善相关舆情应对细则及方案,及时回应社会关切,将个人信息保护责任制落实到实处。
知乎答主沙子表示,无论身处哪个行业,无论组织规模如何,制定隐私策略都是一个复杂而繁琐的过程。每个组织都必须了解制定隐私策略这一流程的本质,并采用严格的标准和实践来巩固隐私举措。根据最近的一篇文章,就在不久之前,尚无令人信服的理由让组织在更大的业务策略中深入考虑隐私方面的因素。而现在,组织面临着更大的隐私和安全风险,由此根据组织的业务策略制定有针对性的隐私策略可以带来更好的结果。因此,数据隐私应该是组织策略管理流程的关键组成部分,可以通过组织的愿景、价值观和政策清晰地表达出来。策略通常是指为实现长期或组织目标而制定的行动计划。因此,隐私策略必须是明确的行动计划,旨在确保遵守既定的隐私标准、规则和法律。隐私策略应概述组织中如何应用或采用相应法律定义的隐私原则。例如,根据GDPR第5(2)条,控制者有义务证明自己遵守了与个人数据处理相关的原则。如GDPR 4第5(1)条所述并根据美国《加利福尼亚州消费者隐私法案》(CCPA),该司法管辖区下的组织必须采取适当措施证明合规性。在牙买加,其《数据保护法》第21条规定,数据控制者在过渡期结束时有责任遵守某些隐私标准。
针对个人的隐私保护措施,知乎答主子墨表示,对于数据主体(被采集个人)来讲,也需要有足够的保护意识,需要注意以下事项:
1.不要轻易在网上将自己的隐私信息泄露出来,诸如在微信上展示地理位置、照片等涉密信息。
2.不要轻易在网站注册信息,即使注册也应采取最小化原则,注册时应注意网站是否有明确的隐私政策声明等信息,避免泄露自己的隐私信息。
3.在允许的情况下尽量采取一些匿名化的方式,比如快递的姓名可以采用昵称,地址选择公共地址以及快递包装箱在处理的时候应去掉个人信息等。
结语
在数据资产化的当下,无论是企业还是个人,都要做好数据隐私保护的准备。对于个人来说,尽可能因注册APP或小程序而泄露个人的隐私信息,而对于企业来说,制定完备的数据隐私策略,实施数据映射政策等措施应该立刻提上日程,不要等到数据泄露造成更大的损失才亡羊补牢。
参考文献:
Only half of organizations“very prepared”to meet global data privacy laws——Michael Hill