什麼是"Right to Be Forgotten"?
GDPR要求公司合法地、透明地和公正的使用公民隱私信息。其中有一條是,公民有權利要求公司銷毀涉及到數據主體的隱私數據,這項權利叫做"Right to Be Forgotten"。
簡單地說,"Right to Be Forgotten"就是被遺忘權,公民有權利在任何時候要求一家公司刪除關於自己的隱私信息;如果這些隱私信息已被轉移到第三方公司,公民亦有權利在任何時候要求該第三方公司刪除涉及到自己的隱私信息。如果公民根據被遺忘權提出了刪除隱私信息的請求,公司面臨三種結果:
1. 公司沒有響應客戶的要求,沒有銷毀其數據;
2. 或者不能提供有力的證據來證明自己已經銷毀了該客戶的數據;
3. 公司及時給客戶提供了銷毀證明。
在前兩種情況下,客戶(公民)有權向歐盟GDPR管理當局投訴,該公司將會被認定為違反了GDPR條例而受到懲罰。
試想一下這個情景:
一位歐盟居民來中國工作,得知天貓是個購物天堂,就在天貓上註冊,填寫了姓名、手機、聯繫地址等信息,並下單支付成功。幾日後,她收到了自己心儀的寶貝。一年後,她已返回歐盟,偶爾想起來曾在中國天貓上提交過自己的隱私信息,決定聯繫天貓客服,要求天貓刪除自己的隱私信息。
天貓該如何應對呢?
- 天貓知道自己在歐盟沒有註冊公司,對該顧客的請求置若罔聞。該顧客遂向歐盟GDPR服務中心投訴天貓,乍一看,天貓既然沒有在歐盟註冊實體公司,任何處罰都無法執行,何懼之有?然而,一旦天貓的高管入境歐盟,高管就會被強制執行並繳納罰款。
- 天貓嚴肅對待該請求,想儘快為客戶出具銷毀證明。可是,該顧客的隱私數據存放在哪裡呢?在哪個機房的哪台伺服器上?那塊硬碟上?哪個RAID上?這個定址過程將極為漫長,漫長的等待足以讓那位歐盟顧客產生了懷疑,因懷疑天貓不作為或消極對待客戶請求而繼續投訴天貓。
- 天貓一直以來都重視客戶隱私保護,明文規定凡是淘汰或閑置的伺服器上的硬碟必須被專業公司徹底銷毀數據,並把各個時間段的數據銷毀證明存放在指定地點。接到客戶的數據銷毀請求時,天貓首先迅速找到該客戶的下單記錄,然後定位出該時間段數據銷毀證明的存放位置。不久,該顧客就收到了數據銷毀證明。
第三種情形呈現了典型的倒逼機制。既然我們不能迴避GDPR,就需要有正面應對的機制。顯然,臨時找出一條記錄的存儲硬碟異常艱難,大多數公司會選擇索性就來個「寧肯錯殺一千,不肯一人漏網」的邏輯,規定任何一塊硬碟都必須被徹底清除數據後才能被處置或出售。可見,全局且徹底的銷毀數據的IT政策才能應對客戶的對被遺忘權的實踐。
5月25日即將來臨,我們相信,IT決策人士們會清醒地意識到,數據銷毀已經不是一個可選項了,而是一個必須要全局執行的政策。只有這樣,公司的品牌、聲譽和知識產權等才不會遭遇意外的傷害。畢竟,IT經理們自己的隱私信息正在被其他公司存儲或處理,您難道不希望自己的"Right to Be Forgotten"被尊重嗎?
推薦閱讀:
※瀚思科技如何整合複雜技術打造數據分析平台?
※GDPR將導致供應鏈收縮
※全球安全資訊精選 2018年第十期:數據泄密醜聞後扎克伯格首次發聲
※說一說DLP的那些事兒
※數據安全的必由之路——數據安全治理