「天價罰單」引熱議，數據合規已是全球化企業的「當務之急」

2018年5月歐盟發布的《通用數據保護條例》（常見簡稱GDPR）正式開啟了數據治理依法監管、從嚴懲罰的趨勢。自此，全球各國也開始跟進啟動相關監管框架的設計，陸續發布數據保護方面的監管新要求，以下是近年來已發布的有代表性的數據保護立法：

歐盟發布的《通用數據保護條例》，立法框架全面、細致，為后續多國起草數據保護相關立法提供了參照。巴西、印度、印尼、澳大利亞等國近期發布的數據保護立法均有參照歐盟《通用數據保護條例》的法律框架起草。

值得注意的是，數據保護方面的立法和監管應對措施，與各國國情特色、人文習慣聯系得十分緊密。

比如在歐盟地區，普遍強調個人權利至上，重視個人權利保護，因此該地區數據保護方面的法規賦予了監管部門較大的監管權利，并設置了嚴厲的懲罰機制。而在巴西，雖然巴西數據保護通用條例的法律框架結構，也是參考歐盟相關條例起草，但對于違規懲罰機制上，則比歐盟數據保護條例里設置的懲罰機制寬松了很多。

密集出臺的數據保護監管框架并不是一紙空文。以歐盟《通用數據保護條例》為例，據統計，自該法規生效以來，截至2021年7月，4年時間相關處罰案件數量累計已達731件，處罰案件數量呈逐年攀升態勢。而近年來，在監管從嚴的趨勢下，由于違反數據保護相關規定，不少跨國知名企業、國際金融機構遭遇“天價罰單”的事情也屢見報端：

2020年10月，英國信息專員辦公室（ICO）對英國航空（British Airways）用戶信息泄露一事處以罰金1.83億英鎊。

2021年，盧森堡國家數據保護委員會（CNPD）對亞馬遜開出7.46億歐元的罰款通知，懲罰理由是亞馬遜對個人數據的處理不符合歐盟《通用數據保護條例》。

2022年1月，法國數據保護局（CNIL）依據當地電子隱私條例，分別對Facebook.com 、Google.fr所屬企業罰款6000萬歐元和1.5億歐元，懲罰原因是這兩家數據平臺不允許法國用戶拒絕“第三方Cookie”在線跟蹤技術。這成為了法國在數據保護方面迄今為止開出的最大罰單。

2022年1月，東亞銀行就因在中國違反信用信息采集、提供、查詢及相關管理規定被罰1674萬元人民幣。

據媒體統計，自2022年11月1日《中華人民共和國個人信息保護法》正式實施后，2022年上半年，中國銀行、保險、信托、汽車金融、第三方支付等機構收到相關罰單66張，處罰金額合計6409.34萬元人民幣，已超過2021年全年相關罰單罰款的總計金額（約4654萬元人民幣）。

落實數據合規，已是當務之急

各國數據保護條例的發布實施改善了網絡安全、極大地提高了對公民隱私權的保障，在諸多社會領域產生了積極的影響。

但與此同時，監管部門對于數據保護設置的處罰機制也相對嚴厲，整體而言，擁有越多用戶數據的企業遭受處罰的風險也更大。這意味著——對于數據持有者，比如數字經濟領域的各類企業或金融機構而言，一旦未能保護好用戶的數據，違規使用數據或導致數據泄露，將會付出慘重、巨大的代價。

這些“天價罰單”事件給我們的反思是：在合規前提下開展數據治理，已成為各行各業都需要重點關注并積極探索的專項治理中的必要議題。

合規數據治理工作提示

了解風險

通過總結已發生的處罰案件，企業或金融機構在持有和使用數據中，常會觸發的四種常見風險情形包括：非法處理個人信息、非法披露個人信息、未保護個人信息、違反或拒絕履行監管機構強制要求。

觸發上述四種風險情形，在不同行業里有不同的表現行為，常見的行為包括：對個人數據違規采集或傳輸；隱私政策制定不規范；濫用數據；網站cookie跟蹤不合規等。

在上述常見行為中，對個人數據違規采集或傳輸是監管機構監管的重中之重，因這種行為極易直接導致非常嚴重的后果，比如數據泄露事件。對此，目前大部分國家的數據保護監管條例中已明文指示與個人數據采集或傳輸的常見違規行為，包括：企業或金融機構未能充分向用戶披露他們的個人信息是如何被收集的；沒有明確告知用戶收集這些信息的用途；或者在使用數據時未適當征得用戶的同意。

制定規范的隱私政策

企業或金融機構落實數據領域的合規專項治理，首先，需要制定一份規范的隱私政策。

對于隱私政策的制定，企業要兼顧企業主體、企業管理者、用戶等多個立場，在通用的合規目標上，一般不僅要通過隱私政策的制定，將企業在數據領域的可能違規風險降到最低，并且，還常常要求企業對于風險排除條款的設置，要考慮消費者的感知。簡單來說，就是也要考慮用戶體驗和實際接受度，因為在實踐中，企業過于嚴苛的風險排除條款，常會使用戶或消費者直接放棄使用該數據產品或平臺。

因此，隱私政策的制定，在確保規范的同時，也要力求在獲取市場和風險規避中尋得一個良性的平衡。

提升數據隱私保護意識

其次，在合規實踐上，需要定期評估數據保護的內控管理制度；對于敏感數據，要建立安全儲存的有效工作流程和硬件設施；跨境企業要注意數據出境的約束要求，使用數據出境標準化合同降低違規風險，并要落實本土化和跨境的雙重合規。

不同國家對于未成年人信息的采集使用、網絡內容治理的細節要求差異較大，需多關注這些細節，及時調整企業的隱私政策與數據管理制度。

此外，還要通過組織培訓，加強涉數據工作人員的隱私保護意識。根據superoffice發布的文章，截止2021年5月，在被調查的800余家IT企業中，依舊還有超過四分之一的企業尚未根據歐盟通用數據保護條例進行整改。可見，全球還有許多企業對于數據隱私保護的重要性認知不夠，對不落實數據合規會帶來的可能風險也認知不夠。已有不少調查報告中都曾指出：數據泄露、欺詐等事件的發生，有大量漏洞都來自于企業內部人員的工作疏忽。

應用智能技術為合規降本增效

數據保護立法的發布與實施，為提升網絡安全和個人隱私權的保障帶來了積極意義，但也在一定程度上給企業增加了合規成本，并且也給部分中小企業帶來了實際的運營難處。

積極應用智能技術，落實數據合規，可以有效解決上述難題。保護數據安全，每個人都責無旁貸，無論企業的業務是涉及收集數據，核驗數據，還是使用數據，都會需要一個能夠在其整個業務周期里都可以去信任的、中立可靠的智能技術解決方案。

ADVANCE.AI全新推出的星鑒數字身份驗證與風險管理解決方案，為九大行業的企業提供中立、合規、符合數據保護條例和隱私治理標準的身份信息采集、驗證和風險管理工具，助力企業開展更精準、更安全、效率更高的運營工作，幫助降低合規成本，進一步提升企業數據管理水平。

+++

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：