2018年5月,随着欧盟《一般数据保护条例》(GDPR)的正式实施,欧洲区域数据安全管控形势也出现了新的变数。号称“最严数据法”的GDPR取代了旧数据保护指令,任何违反GDPR的行为将会根据企业当年的全球营业额产生上不封顶的巨额罚款,并对企业在欧盟范围内的业务开展产生持续影响。随着海外市场风险逐渐趋于多元化,特别是欧盟经济体制的特殊性、复杂的管理模式及多变的政治因素,使得该区域的数据安全管控形势日益严峻。本文从GDPR条款入手,结合ChatGPT对于欧盟市场影响进程分析数据传递及舆情控制等关键管理要素,从还原欧盟市场数据安全管控环境的角度提出相应改进措施,为中资企业在GDPR辖内开展国际工程承包业务提供有效借鉴。
一、GDPR对信息数据使用的影响
与旧条例相比,GDPR的最大特征是“巨额罚款”及“最泛管辖权”,并将个人信息及隐私的权利范围扩大至传播权及转移权,这足以让大批企业谈其色变。在业务依赖于高信息化技术发展的时代,这一限制对于更多需要通过信息技术进行用户管理的企业而言,无疑是一种极大的约束。总体来看,GDPR条款对于中资企业在欧盟范围内开展业务的影响主要体现在以下方面。
(一)上不封顶的巨额罚款
GDPR规定,对企业的违规处罚可高达2000万欧元(约合1.5亿元人民币)或者其全球年营业额的4%,其值取高。尤其对于在多个国家和地区设立机构的各大中资企业而言,其全球营业额数额巨大,一旦遭受处罚便会造成极大的经济损失,且难以在当地获取稳定的业务输出。
(二)难以公开的个人信息
GDPR中相关条款明确,企业不能藉由模糊、繁琐或带有歧义的隐私条款从用户处获取数据使用许可,这意味着企图获取用户信息使用权的数据处理商将直面与用户本人的利益冲突。此外,GDPR还规定企业对用户个人信息有保护的义务,这也意味着企业无法在项目部及驻地等处体现雇员的个人信息,包括但不限于工作地点、证件编号、联系方式、居住地址等。根据国内工程相关规定,工程现场必须进行风险识别,并通过信息标识牌进行责任公示。但在拥有GDPR的欧盟范围内,这种“责任到人”的管理追责模式几乎无法开展。
(三)史无前例的被遗忘权
除增加上述罚则及限制规定外,GDPR相关条款还明确了数据对象的“被遗忘权”,即数据对象有权要求相关方对自己的数据记录进行彻底删除。欧洲区域市场劳务流动较大,根据GDPR相关规定,个人在离职后可以要求企业删除所有自己的数据记录,这种“被遗忘权”的行使不仅是中欧双方信息安全观念差异的重要体现,也对当地业务开展及维持带来了极大变数。
(四)数据处理的责任共担
与GDPR出台前仅需数据对象承担数据安全责任相比,在新条例实施后,个人信息的下游数据处理者也将直接与相关数据合规风险绑定,再也无法独善其身,数据供应链中自上而下的各方将被直接问责。此项规定的出台,对于数据收集者及云端数据处理方关于彼此间合作义务及法律责任的划分有了更加细化的要求。
根据以上情况,企业应妥善采用各类高效可靠的数据处理方式对个人数据进行隐私加密,保证个人数据隐秘性,同时针对相关风险制定完善应急预案。一旦数据发生泄露,相关责任者应第一时间报备监管机构,并迅速落实前期防护措施,有可能产生重大影响的,还应第一时间与信息提供者取得联系。
二、GDPR对国际工程承包企业的影响
从上述分析不难看出,GDPR在欧盟信息安全领域引发的轩然大波才刚刚开始。对于多数业务遍及多个国家的国际工程承包企业而言,在这里的一个小失误便会造成极为严重的后果,甚至可能将企业数年来的盈利全部“清零”。尤其在GDPR法案颁布前期,国际工程市场受新冠疫情影响的大环境下,许多无法承担如此风险的企业选择淡出欧盟市场,更有甚者直接终止了自己在欧洲区域范围内的相关业务。
GDPR的出现标志着欧盟市场对于企业泛信息化发展趋势的限制,反映出现有市场环境对人员数据保密性的更高标准,体现了欧盟市场高门槛、高规范度的市场特点,对于国际工程市场风险管理有了更紧迫、更严格的属地化需求,稍有不慎便会全盘皆输。在国际工程项目实施过程中应格外注意工程信息及业务资料的使用及管理,甚至当承揽某些欧盟区域之外的工程时,其实施过程中产生的物资、人员、材料及设备输送都有可能对其产生影响。根据GDPR相关规定,任何向欧盟境内数据主体提供商品或处理数据主体在欧盟范围内所产生数据的行为,均受GDPR管辖。
三、国际工程承包信息安全风险应对方案
从GDPR规则实施至今的实践中证明,GDPR并非局限于理论概念及政治原则,更是一道极具变革与实用性的个人数据维权屏障。面对来自信息安全风险的文化冲突,国际工程承包企业在工程实施过程中有必要尊重当地法律环境下的特殊要求,并对工程施工及交流过程中的缺陷予以改进。根据欧盟对信息安全风险管理的相关要求,超过半数欧盟成员国已将GDPR纳入本国立法体系,同时对于尚未实施相关要求的国家,欧盟将保留对其予以追究甚至发起诉讼的权利。在如此严峻的形势下,考虑到GDPR所体现出的高合规性、强惩罚性及低容错性,各大国际工程承包企业将面临规范管理模式及员工个人行为这一必经阶段。
针对不断严峻的信息保护形势,结合GDPR对信息数据使用的影响及企业泛信息化发展趋势的限制,从以下四方面对国际工程承包企业在欧盟市场的信息安全管理提出应对方案。
(一)对于数据合规性的梳理
国际工程承包及实施前,企业首先要做好对当地相关法律环境的研判,梳理GDPR及类似法规关联条款,同时结合所在国其他相关规定及案例密切排查相关风险,包括但不限于因业务需求使用个人数据、处理及被动传播数据的相关情况,严格保证数据提供者的知情权、反对权、可携带权、删除权、限制处理权等权利,避免因此产生的一系列法律纠纷。此外,因门禁、员工卡、联络簿等途径泄密的员工个人信息应妥善处理,严禁印刷带有员工敏感信息的个人用品,尤其对于当地劳工,更要杜绝由此产生的潜在法律风险。
(二)对于数据保护条例的宣贯
考虑到任何与欧盟有关的数据行为均可能被列入GDPR的管辖范围,在规避当地数据使用风险时,对于“数据出海”带来的影响更要严格防范。结合以上原因,在做好合规性梳理的同时,也要做好欧盟数据保护条例及其他相关规定的宣贯工作。新条例的出台伴随着欧洲市场信息安全风险形势的重大转折,各企业在国际工程承包过程中,尤其是工程的实施阶段,要全方位做好信息安全风险管控,入乡随俗,及时组织开展各项宣贯工作,在出台相应制度及政策的同时对全体人员进行信息安全培训,树立权责统一、合规至上的理念,坚决抵制侥幸心理,并对所有可能造成风险的不规范流程进行地毯式排查。
(三)对于数据风险的事前控制
为了应对突如其来的信息安全风险,企业还应与GDPR专业服务供应商取得联系,结合目前市场体量及业务开展情况,如有需要,可以签署服务咨询合同以备不时之需。在市场所在地的服务供应商处,企业可以获知关于信息安全管理条例的最新信息,并针对GDPR相关规定及国际工程承包流程制定严密的应对措施及预警体制,在保障员工安全的前提下确保工程正常施工,同时维护数据环境的专业性及私密性。
在从制度层面、人员层面、咨询层面等各方面建立完善的预警措施之后,企业自身也应该营造良好的信息安全氛围,对于会议摄像头、会议录音等个人信息较易传播的途径予以控制。很多国内工程司空见惯的管理方式在国际工程承包过程中极易触及当地劳工隐私,并在矛盾爆发时成为导火索。
(四)对于数据风险的事后控制
针对在国际工程承包过程中所有可能发生的状况,企业应准备至少一套较为完善的应急预案,不仅要事前主动控制,还要做好事后被动控制的准备。与事故预警机制相同,在信息安全风险发生后,也应有一套至少涵盖三级制的上报机制及应急预案,且应横向囊括数据控制方、数据提供者及数据监管机构,以确保全方位、全层级、全要素地有效执行相关预案。此外经数据控制方或监管机构判定有可能因此产生高风险的,还应第一时间告知数据提供者,以共商下一阶段的补救措施。
四、对于GDPR及信息时代的思考
作为引领欧盟信息安全变革的数据管理条例,GDPR弥补了一些原有体系的不足,也反映了相当程度上的信息化问题。这些问题并非欧盟范围内特有,只是因为欧盟市场及其人员隐私意识明显的特征而凸显出来。此类问题或许将成为未来信息时代中困扰全球的普遍性问题,面对即将到来的个人信息洪流及信息安全风险冲击,亚洲甚至全球的信息构架是否能够产生自己的处理模式,是否能够从欧盟的管理措施中作出参考甚至复刻,将会是一个亟待解决的问题。欧盟市场以GDPR的巨额罚金解决的一系列问题,很可能会以其他类似形式出现在我们的生活中,而并非仅仅国际工程业务领域,更不可能局限于企业方面。在这种大环境之下,似乎除了努力“入乡随俗”贴合管理要求之外,只能面临淡出或被迫放弃欧盟市场的局面。
作为信息时代的必然产物,GDPR必将影响整个国际互联网的使用标准,同时规范甚至苛求企业固守信息壁垒,可谓喜忧参半。对于这种外来管理模式,当前国内企业也陆续将GDPR本土化,作为企业内部体系纠偏甚至信息风险管理预警的工具。在智能AI愈发泛滥的今天,个人信息安全必将面临重大挑战,这也使得更多企业面临信息管理、版权甚至是伦理问题的挑战。自GDPR出台以来,开具欧盟最大数额罚单的意大利数据保护当局表示,从2023年3月31日起严禁ChatGPT的一切使用,直到其尊重现有的隐私法规。这也侧面反映了在信息时代高速发展的洪流之下,人们的隐私意识逐渐觉醒,带动相关体制飞速发展的同时,也面临着发展过程中必须经历的一些问题。
结语
作为信息安全风险而言,不仅仅是国际工程承包环境本身,全球范围内的个人信息数据使用行为都将长期处于GDPR的风险管控之下,并接受其独有的深远影响。随着全球信息化进程逐步增加,信息安全风险将会于不久的将来在越来越多发展中国家得以体现,甚至极有可能在全球信息化、个人信息使用习惯甚至隐私行为构架层面引发举足轻重的影响。虽然目前GDPR只是欧盟范围内的信息安全保护条例,但随着数据信息泛用性的增加,越来越多的国家将在面临个人信息滥用的情况下,制定切合各自实际情况的信息管理条例(如英国的数据管理条例UK's Data Protection Act 2018)。信息安全管理在各国重视程度的日渐增强,在一定程度上以“长臂管辖”规范了信息使用途径,促进了各国对于信息使用途径及数据合规的执法力度,意味着数据合规及信息安全问题将随着全球信息化进程逐渐成为国际工程承包企业在工程实施过程中关注的焦点。
来源:国际工程与劳务杂志
作者:冯一肖,中国土木工程集团有限公司