关于苏黎世
公告通知

GDPR来了, 你准备好了吗?

2018年4月媒体报道了某互联网公司向其国际版用户推送通知,宣布5月20日起停止为欧洲用户提供服务,引起广泛讨论。虽然随后不久该公司官方发布声明否认了该传闻,但业界此前曾分析该公司的这一做法或与欧盟将于5月25日生效的《一般数据保护法案》(General Data Protection Regulation, 简称GDPR)有关。


同月,另外一个备受瞩目的公司事件是Facebook首席执行官马克-扎克伯格前往美国国会,出席参议院就Facebook被曝出滥用大量用户隐私数据丑闻所举行的听证会。为应对长达5个小时的质询,扎克伯格做了充分准备,携带了厚厚的笔记。现场的摄影记者捕捉到了部分笔记内容,在受人关注的关于Facebook针对欧盟GDPR的立场的问题上,笔记内容反映出Facebook还未完全做好准备以满足GDPR的要求。


(图片转自视频截图)

进入5月,一则不太受人关注的公司动态,也同样有很强的指导意义。游戏开发商Edge of Reality公告旗下一款全球拥有900万玩家的射击游戏《枪械师》将于5月24日关闭服务器。官方解释因为5月25日在欧盟实施的GDPR需要厂商为消费者提供更为透明的数据监控。但由于公司不能提供足够资源更新游戏以适应该法案,可能面临高额罚款,同时为该游戏提供云服务的供应商因为同样问题也无法继续提供服务,综合种种原因,只能作出关服的选择。


让那么多企业如临大敌甚至有些不惜关停商业运营也不愿触犯的GDPR,到底是一部什么样的法律呢? GDPR包含了哪些内容以及会对中国企业会产生哪些影响?从保险从业者角度出发,保险又能为企业提供什么样的解决方案?是我们今天想要聊的内容。


什么是GDPR?

GDPR其实并不是一个很新的概念,早在2012年欧洲各国就在讨论推行一部新的关于信息数据保护的法案,用于替代已经稍显过时的旧指令(Data Protection Directive 95/46/EC)。


经过欧洲各国漫长的磋商讨论,终于在2016年4月14日欧洲议会通过了新的法案,即《一般数据保护法案》(General DataProtection egulation, 简称GDPR)。 相比于过去的指令(Directive),新的法案(Regulation)拥有更强大的效力和一致性。

敲黑板!! GDPR的重点有哪些?为什么对企业这么重要?

问题1:作为欧盟施行的法案,它的管辖范围仅限欧盟吗?跟中国企业有关吗?
答案是不仅限于欧盟,和中国企业也密切相关。
GDPR不仅适用于在欧盟国家注册的组织机构,也同样适用于任何在欧盟以外地区注册但为欧盟地区提供商品和服务,并监控个人行为和数据信息的组织机构。对于任何持有和处理欧盟国家公民个人信息的公司无论其公司所在地,皆受该法案管辖。


问题2:哪些信息被认定为个人信息?
可以直接或间接识别到某一个个体的任何信息都被视为个人信息! 包括从姓名、照片、身份证号、邮箱地址、银行账户、健康记录到网络用户名、位置定位、社交媒体发布的信息、计算机IP地址等各个方面。 堪称目前世界范围内最宽泛的个人信息定义。

最常被提及的关于GDPR的内容
1.法案对于企业收集和处理个人敏感信息要求获得数据当事人的明示同意(法案第7条)。发送的同意请求必须以容易理解和可接触到的方式给到个人用户和消费者,不能再像过去一样提供长篇大段晦涩的法律条文要求用户点击接受以获得授权。目前我们已经看到当访问一些网站和移动APP时,会被推送更新过的隐私保护和数据使用协议,部分就是来源于对这样新的法律要求的一种反应。


此外对于16岁以下青少年使用互联网在线服务时,企业获得的数据,在进行处理时还需要得到其父母的同意。(法案第8条)

2.法案给予数据当事人被遗忘权。目前我们看到很多国内的网络科技企业,都不提供账号注销功能。有些个人可能仅仅因为一时之需就在网站注册了很多网络账户,留下了大量个人信息,之后即使很长时间不使用,但因为相关账户无法注销删除,导致长时间收到各种邮件短信,甚至造成个人信息泄露。随着GDPR被遗忘权的出台和执行,相信接下来涉及到的企业在这方面会有所改变。

3.法案要求企业设立数据保护官职位。法案对于(1)公共机构(2)有大规模系统性数据监控行为的组织机构(3)大规模处理个人敏感信息的组织机构,强制性要求设立数据保护官的职位,相关信息和联系方式需要公示和向监管机构通报。(法案第37条)


欧盟委员会认为拥有超过250位雇员的企业就需要设立该职位, 欧洲议会给出的标准是按年度处理的个人信息个体总量超过5000人就应当设立该职位。由上可以看出,监管机构认定的门槛并不高,对于很多涉足欧洲业务的中国企业来说,基本都会达到规定要求的条件。


4.法案对于个人数据泄露通知做出了明确规定。当发生个人数据泄露事故之后,企业要在发现后72小时内向监管机构报告,并对报告的内容做了详细的规定。 包括:
- 事故性质描述
- 泄露信息的类别和数量
- 数据保护官的姓名和联系方式
- 信息泄露可能造成的后果
- 公司采取的补救措施和减损计划(法案第33条)


中国企业需要注意的是,相较于国内实施的《网络安全法》的相关规定,GDPR对告知义务的规定更加具体和明确,对企业的实际操作更有指导意义,未按此执行可能会导致企业面临更大的合规风险。

法案对于企业违规设置了昂贵的处罚规定。对于不遵守GDPR法案的企业处以严厉的制裁和巨额罚款,根据违规性质的严重程度,分为一般违法行为和严重违法行为。

对于一般违法行为,处以全年营收额2%或1000万欧元的罚款,两者以高者为限;对于严重违法行为,处以全年营收额4%或2000万欧元的罚款,两者以高者为限。(法案第83条)

此外,法案支持所有受企业违规影响遭受损失的个人向企业提出损失赔偿的请求(法案第82条),为民事诉讼提供了法律基础。


相较于国内《网络安全法》100万元人民币单项罚款的上限,GDPR的罚款对于违法企业来说是一项极其难以承受的损失,违法成本大大提高。这也是为什么有些企业宁愿关停经营也不愿触犯法案的原因。

苏黎世中国金融险专家表示GDPR无疑会对网络安全保险市场起到推动作用。
从过往几年的网络安全保险的发展来看,按保费规模计,美国一直是全球最大的网络安全保险市场,原因在于其拥有健全的法律环境和强大的诉讼文化。然而从去年开始,我们看到欧洲的网络安全保险业务开始迅速增长,GDPR在2018年正式实施的影响推动着欧洲企业的保险需求不断提高。 据悉,不仅投保的企业数量增加,投保限额也从开始带有试水性质的1000万到2000万欧元甚至增加到上亿欧元,目前根据相关资料所了解到的最高限额达3.75亿欧元。

苏黎世中国金融险专家相信GDPR法案的影响力会逐渐从欧洲注册企业扩展到在欧盟区拥有经营活动的域外注册企业,上下游供应商以及合作公司等等,进而带动其他地区的网络安全保险市场蓬勃发展。今后与欧盟国家企业签订商品服务合同的以及海外扩张走出去的中国企业,可能会越来越多地在合同文本里发现网络安全保险相关的投保要求。