《欧盟数据保护通用条例》(General Data Protection Regulation,简称GDPR)已于5月25日正式实施。从2016年发布至今,两年的过渡期转瞬间就过去了,数字化企业大佬们有没有做好准备,在GDPR的枪口下,全球性的企业能在欧盟合法地做生意吗?
GDPR对数据隐私的部分保护条款有悖我们的"常理",所以这就更需要企业领导以及产品业务的设计者学习了解,哪些行为违规,哪些动作存在风险。虽说法律工作者提供了非常详细专业的解读和分析,也给出了不少应对的策略和路径,但是对于绝大部分中国企业来说,对于GDPR的重视和理解程度仍不充分。
尤其是准备积极投身全球市场的互联网企业,国内对野蛮生长的宽容以及企业自身的快速发展掩盖了很多问题,年轻的他们还不太理解"合规经营"的分量,以及违规的风险。而GDPR里很多的规则涉及到了互联网数字化企业经营的核心,GDPR生效后,个人以为:大数据和云服务这两类企业被GDPR击中的概率比较高。
上周谈的主要是大数据,今天说说和云计算有关的事情。
此前对数据跨境流动的限制
曾几何时,我对欧盟数据保护要求的理解就是六个字:数据不能出境。之所以有这么深的印象,主要原因就是1995年欧盟发布过非常严格的《数据保护指令》。
根据指令规定:"只有当第三方国家通过相关国内法或者国际承诺,对个人数据提供充分保护时,才允许欧盟公民个人信息的转移、存储到该第三方国家进行处理。那么这样的国家都有谁呢?瑞士、新西兰、加拿大、阿根廷等。这里既没有美国,也没有中国。
欧盟这样严格地进行数据保护,根本原因是注重公民的个人隐私和权益;而大洋彼岸的美国则不然,更从科技和商业的视角看数据处理的规则定义。尤其当互联网第一波快速发展是由美国企业推动的,主要采取"行业分散保护机制",无法满足欧盟的成分保护要求。于是在2000年,美国和欧盟达成了一个"安全港协定",明确只要美国企业加入安全港,并公开承诺遵守安全港的要求,就可以将欧盟的个人数据转移到美国进行处理了。
这就像给严苛的《数据保护指令》开了一个后门,允许不符合要求的美国人转移数据,能开这个后门当然是出于对美国的信任。然而美国却辜负了这份信任,2013年斯诺登提供的文件显示,美国情报机构可以利用这个"后门"进行监听监控。
丑闻曝光后,欧盟成员国们纷纷质疑安全港协定对个人数据的保护能力,最终2015年10月,欧盟法院否决安全港协定,美国企业转移数据就成了"违法行为"。于是,2016年2月欧盟和美国又宣布达成了"欧盟-美国隐私盾"协定,对相关企业施以更加严苛的管理方式;而到4月份,GDPR就发布了。
诺大的世界,只有欧盟认可的少数国家以及和欧盟达成特殊协定的美国可以把欧盟的数据拿走,可以说欧盟对于数据保护是最保守的。实际上不止欧盟,其他国家和地区也都有类似的法规和规则,虽然在具体条款上有不同,但核心都是对数据出境进行限制。
比如中国的《网络安全法》和《数据出境办法》中规定,原则上,通常情况下个人信息和重要数据应当存放在中国境内,只有因业务需要必须向境外提供,且通过安全评估的,才能传输至境外。而评估的规则和流程也是非常繁复,相信如果不是真的特别必须,也没有多少人去申请评估。
GDPR适度放松了数据跨境流动的限制
虽然号称是史上最严格的数据保护条例,其实GDPR对数据出境是有利的。
为什么这么说呢?
首先是条款设计和描述更加清晰准确,企业能明确知道什么可以做,什么不能做,需要得到哪些许可。比如明确只要符合GDPR规定的合法条件,数据就能出境,欧盟各成员国不能再以许可证方式管理数据跨境流动问题。
其次是扩展了标准合同条款。除了保留已经生效的3个标准合同范本之外,还允许成员国数据监管机构指定其他标准合同条款。这个变化既扩展了商业合作空间,也给企业带来商业模式创新的可能。
第三是认定了"有约束力的公司规则"(BCR)的合法性。这意味着,如果企业集团获得了BCR的认可,那么个人数据就可以合法地从集团内的一个成员传输到另一个成员那里,这对于跨国企业来说,可谓是一劳永逸的解决之道。
从这些解读中可以看出,相对于此前的《数据保护指令》,GDPR定义了明确的数据跨境流动的方式和通道,这主要是为了适应互联网的发展。
互联网企业不会像传统行业那样四处建实体,大都通过一个点提供覆盖全球的服务,这就不可避免地涉及到数据的跨境流动和境外处理。换句话说,如果让互联网企业在每个国家(或者区域)建立一套系统,那么就会大大增加他的建设和运营成本,业务也就很可能玩不动了。所以欧盟还恪守此前的僵化规则,就可能迫使互联网企业远离欧洲。但如今互联网逐渐成为趋势,如果互联网企业不把业务覆盖到欧洲,他们就难以体会到科技带来的红利和价值,长此以往,后果可想而知。
在保护公民的隐私权和跟上时代发展这两难选择中,欧盟最终选择了后者,我觉得这是明智的。
云服务企业会被GDPR击中吗?
从前面的分析看来,由于在数据跨境流动的规则更加清晰、细化、可操作,云服务企业进入欧洲市场似乎比以前更容易了。比如提供SaaS服务的企业,只要经过合规认定,即便将服务器和存储设备放在欧洲之外,也可以为欧盟客户提供服务。然而数据跨境流动规则的改善只是解决了云服务提供商的部分问题,更大的风险在于:欧盟数据保护规则的设定与云计算商业模式之间,还可能存在冲突。
为了更全面地进行数据的安全保障,GDPR对数据的控制者(如云计算的客户)和数据的处理者(如云服务提供商)提出了同样的要求,这一政策的本意是让接触数据的各个企业都承担起数据安全保护的责任,但是云计算是由多层次组成的,强调开放性和企业之间的自由组合与协作。这二者放在一起,就产生了矛盾冲突。
比如,GDPR要求,如果没有数据控制者授权,数据处理者不应聘用另一个处理者;如果数据控制者反对,那么数据处理者就不能将数据提供给第三方。那这是不是意味着:PaaS平台发展任何一个用户、开发任何一个应用,都必须事先征得IaaS厂商的同意?
再比如,GDPR要求,数据处理者必须在收到数据控制者书面通知后才可以处理数据。这条规定在云服务场景中几乎是不可能实现的:得不到上层应用的书面通知,底层的基础设施和平台就不能对数据进行处理?
云计算服务提供商与其客户签署的合作协议或合同本来是你情我愿的市场行为,双方根据自己的诉求协商最终确定任务分工和利益分配,根据客户的实际情况,云服务企业可以提供不同档次的服务和能力。由于云服务在全球只是刚刚起步,因此这种合作往往是由云服务企业提供一个模板,然后与客户通过谈判最终商定。
然而GDPR对于数据安全保护的要求必须落实到双方的合同里,而这些细则又和云服务的基本规则有冲突,这很可能会导致云服务商面对GDPR时无所适从。
Gartner刚刚发布了全球IaaS魔力象限图,AWS和Azure依然遥遥领先,Google第一次进入了领导者区域。更让吃瓜群众们吃惊的是:这次发布的魔力象限中只剩下六个玩家,除了三个领导者之外,还有阿里云、Oracle和IBM。
除了阿里云,都是美国公司。
这些非欧盟企业能在欧洲做生意么,怎么做才算是符合GDPR规则的?相对于其他企业,云服务提供商面临的问题更复杂,往往不是不想合规,而是一不小心就违规,GDPR的子弹真可能会打在云服务企业身上。