欧盟将实施数据保护新规 违规企业将面临数十亿美元罚款

一项即将生效的欧洲隐私法规让企业和公共部门面临一个新的现实：个人将获得更多的掌握自己数据的权利。

欧盟将于5月25日实施《一般数据保护条例》(General Data Protection Regulation, 简称GDPR)，按照新的规定，企业和政府部门将对欧洲客户及雇员数据的使用、存储和分享承担更多责任。不能遵守规定的机构将面临数十亿美元罚款。

施乐公司(Xerox Co., XRX)组建了一支46人的团队负责GDPR合规问题。虽然这项规定针对的是欧盟公民的数据，但也要求施乐及其他公司更全面地检查其美国客户数据的处理方式。

施乐首席信息安全长Alissa Johnson说，GDPR要求他们重点考虑能在全公司范围内采取什么行动。她表示，相信所有人都将以不同的眼光看待隐私和如何处理个人数据的问题。

新条例对如何使用和管理欧盟公民信息作出规定，对何时披露数据泄露也做了新的要求。比如，个人将有权了解自己数据的用途，也有权要求删除某些信息。而根据另一条规定，在发现数据泄露72小时之内应向欧洲监管机构通报。

未能遵守这些规定的企业可能面临相当于全球年收入4%或2,000万欧元罚款，二者中取数额较高者。

有些公司管理的数据存储在由不同系统组成的复杂网络中，并且广泛用于商业目的，比如分析购买方式和设计营销活动﹐对这些公司而言，新规则在技术上构成挑战，因为用户数据往往有多份副本同时存在于多个系统﹐并可在员工间简单共享﹐因而很难保有准确的目录清单。

Automatic Data Processing Inc是一家提供薪资管理和其他人力资源服务的公司﹐其全球合规主管Lech Choroszucha表示，早在2016年，GDPR的立法就明朗化了，从那时开始，他们就一直为GDPR做准备；可即便如此﹐仍要耗费大量精力。

尤其令人担忧的是，GDPR要求企业在发现数据泄露后72小时内向欧洲监管机构做出披露。

Choroszucha表示﹐对ADP来说﹐这意味着管理人员必须及时向客户通报数据泄露﹐从而遵守72小时规定。但由于一家公司可能需要花几周时间才能搞清楚发生了什么﹐GDPR的要求可能意味著有些公司不得不在没有掌握太多细节的情况下就披露泄露事件﹐例如有多少数据外泄以及如何外泄。他表示﹐给的时间太少会让人疲于应对。

GDPR可能干扰一些公司的数据收集和管理﹐并可能妨碍企业利用客户数据改进服务。

去年12月﹐Wyndham Hotel Group法务副总裁Carrie Parikh在纽约ALM网络安全大会的一个座谈会上指出﹐在酒店行业﹐数据就是货币﹐酒店需要客人的数据来提供服务。