来源:中国贸易报 作者:本报记者 陈璐 2020-01-15 09:55:29
去年年初,谷歌被法国数据保护机构认定为没有向用户正确披露如何通过其搜索引擎、谷歌地图和YouTube等服务收集数据,被罚款5000万欧元(约合5700万美元),成为《通用数据保护条例》生效以来最大罚款。之后,8700万的脸书用户的个人数据被一个测试应用窃取,并与政治咨询公司剑桥分析分享,被美国贸易委员会罚款50亿美元,约占其年收入的9%。而抖音TikTok知晓用户中有儿童,但未在收集用户数据前征询父母同意,违反了《儿童在线隐私保护法》中要求面向儿童用户的网站在收集13岁以下儿童的个人信息之前获取父母同意的规定,被美国联邦贸易委员会处罚570万美元,为美国联邦贸易委员会有史以来对儿童隐私权案件最大民事罚款……
“个人信息保护成为全球共识,立法节奏明显加快,执法力度加大,个人信息保护已成为企业工作的重要环节。”日前,德和衡高级联席合伙人娄鹤在数字化商业合规2020研讨会上指出,美国《消费者隐私保护法案》已于2020年1月1日生效,根据一些合规公司对大多数美国企业进行的调查,虽然74%的受访者认为公司需要遵守即将颁发的《消费者隐私保护法案》,但只有约2%的受访者表示他们的公司已经做了充分准备。
据娄鹤介绍,2018年被认为是欧盟《通用数据保护条例》合规支出的高峰年,去年企业的《通用数据保护条例》合规相关支出有了较大幅度下降,并逐渐趋于平缓,说明经过初期的合规投入(组织机构、内控制度、隐私政策调整等)后,企业的合规压力已逐渐向正常值回落。当然,这仅针对经过初步《通用数据保护条例》合规的企业而言。目前,大部分企业会选择第三方机构为自己处理信息,并更加注重责任分配(如选择国际商会标准合同条款)、积极进行相关认证。
对于如何把握《消费者隐私保护法案》的合规要求,娄鹤指出,该法项下,消费者有权提起诉讼,主张每次事件赔偿不少于100美元且不超过750美元的法定损害赔偿金。相较于《通用数据保护条例》“明示同意”的要求,《消费者隐私保护法案》更强调消极的“拒绝权”,这反映了重商主义与保护消费者权益的平衡。此外,如果企业可以在30天的“治疗期”内完成:实际改正被通知到的违规行为,及向消费者提供明确书面声明,表明已改正且不会再发生类似事件,则不会发生法定损害赔偿诉讼。
“欧洲和加拿大立法严格、复杂,亚洲总体而言比欧盟温和一些。”汤森路透高级产品专家孙勃舒强调,目前,从数据来看,《通用数据保护条例》受处罚对象遍布全球24个国家,共计处罚被金额高达4.16亿欧元,有25款条例被触犯最多。此外,触犯《通用数据保护条例》的对象会受到不同形式的处罚。
“现在,不同国家/区域间的跨境数据保护体系、监管机构的跨境互助(联合调查、执法等)逐渐深化,有18个不同国家的监管机构共发出了444个正式及非正式的跨境互助请求,收到请求的国家监管机构回应了其中353个互助请求。”娄鹤强调,随着业务及合规的全球化,企业将面临更大的风险,如罚款、诉讼、刑事责任。就脸书而言,如果追溯适用,则《消费者隐私保护法案》将对因受到剑桥分析公司丑闻影响的2460万加利福尼亚Facebook用户的数据违法行为处以616亿美元的罚款。如果将这些违规行为视为故意,潜在的罚款将为1847亿美元,而不是之前50亿美元的罚款。
此外,一旦企业遇到网络安全事故,比如信息泄露、黑客攻击,会面临较高的损失。韦莱韬悦高级客户经理吕雷提出冰山十四因素理论,海平面之上可见的网络安全问题有用户隐私侵犯通知、技术调查费用、安全事件后的用户信息保护费用、监管处罚调查费用、公共关系维护费用、抗辩费用、网络安全维护费用等。此外,海平面之下隐藏的网络安全问题包括营业中断或者完全停止产生的后续影响、融资成本增加、用户关系缩水、保费成本增加、合同收入价值减少、企业信用商誉损失、知识产权损失。此时,网络安全保险的重要性凸显,从保障结构及赔偿比例方面能在相当程度减少企业的损失。