返回列表
截止时间:2019-11-29

【主题演讲】潘兆娟: 国际法规趋势下的数据治理与实践

2019年11月18日,“全球视角下的数据合规与隐私保护”研讨会在北京大学举行。本次研讨会立足全球视野,旨在通过对国内外数据合规及隐私保护的相关法律法规及实践案例作出深度解读,以此为实务工作者提供有效的合规指引与建议,全球信赖标章联盟荣誉专家 & 常任秘书长潘兆娟在会上发表主题演讲,以下为演讲实录。

潘兆娟

台湾政治大学科技管理暨智慧财产研究所博士

全球信赖标章联盟(WTA)荣誉专家 & 常任秘书长

国际隐私专家联盟知识网台北分会主席

亚太经合会电子商务暨隐私工作组特邀专家

美商安客诚公司亚太区首席数据治理官

悦智全球顾问公司共同创办人 & 资深顾问

台北市消费者电子商务协会秘书长

我今天首先谈数据治理的挑战,然后谈到我们怎么样从数据管理的流程实践数据治理,尤其从美国企业及美国体系目前的做法,及数据违法的案例,了解真正实践和执行数据治理时该怎么做,最后再回到最具挑战的数据合理使用来看看有哪些操作性的措施。

现在全球最新的挑战就是对实践数据伦理的挑战,我们中文翻译成“数据的合理使用”更为恰当。第一个挑战是执法单位依循的规范,执法的方法可以顺应未来的走向,这个难度很高,因为要准许创新又要准许法律规范。如果你让这些执行的企业或者组织有一个弹性去调整,就不会抹杀产业的创新和弹性。当前越来越多的技术如人工智能、大数据让个人有更多的权利,立法者也看到了这个趋势:让每个人有更多的机会要求他所要知道的数据权、数据内容等等。更重要的是数据控制者更需要有担当、也就是所谓的当责。这是目前全球在数据合理使用跟数据治理的关键,怎么样能够做到当责,不管是政府角度还是产业及企业角度。怎么样让技术放在工程里面或者系统里面,把整个数据保护、隐私保护都设计在系统里面,这有赖于掌握技术的组织去考虑。这是数据合理使用的第一大挑战。

第二大挑战是,当人工智能变得越来越关键,不管是物联网还是智能网,怎么样让人工智能或者未来的机器人更可信(trust)是我们现在面临的很大挑战,也是另一个关键。这么多的挑战里面,企业、政府、法律法规跟公司的政策是否都已经准备好了呢?我们现在从美国体系来了解。

美国的数据法规体系跟欧洲很不一样,但跟国内比较接近:可由三个层次来看,第一层是目前没有全国统一的法,而是采用了行业法规来管理。第二层是在美国的商业化运作和市场资本化已经很成熟,这与国内很不一样。不过美国市场化的运作不是唯一主要的方式,也需要产业自律的机制,例如组成一个产业联盟辅助政府监督,减少政府的监督成本,增加企业自己的合规标准,进而减少企业的合规成本。第三个层次是,因为出现太多数据泄露事件,所以有更多独立第三方出来扮演桥梁,协助企业跟政府把事情做好。

要怎么样让企业的技术跟消费者的需要形成一个很好的平衡。其中法律跟技术的平衡常是因应新法带来的机会,也因此带来企业的新商机。如果从大数据中数据处理的流程来看待数据合规,包括由数据的采集、数据的处理应用,到数据的传输必须以当责为基础。不仅要由整个流程去控管,还要有尽职调查。

年底即将生效的美国CCPA(《加州消费者隐私保护法》)有几个特色:第一是明确适用范围及个人信息定义,并强化了消费者保护权利。本意是只要是对加州居民出售商品和服务的公司就适用CCPA,即使你的公司不在加州。但是也保护了中小企业。企业需要符合以下三个条件才必须遵循:一是年销售额超过2500万美元;二是年处理50000个或更多消费者、家庭或设备的个人信息;三是每年透过销售/分享消费者的个人信息,可以获得50%或更多的年收入。

CCPA跟GDPR的共同点:包括个人数据的定义较为广泛,都有数据可携带权、删除个人资料等遗忘权,对用户收集、使用、共享数据,要求企业及时修改,鼓励数据及时流通等义务。更重要的是两者也有很多相异的地方,包括GDPR从政府监管角度,CCPA比较从消费者的角度看待数据保护,赋予消费者更多的权利。GDPR原则上禁止使用个人数据,除非得到授权同意。所以现在欧洲很多网站都有“同意”选项,消费者同意了才能使用,但是CCPA原则上允许使用个人数据,除非用户不准企业贩售和分享个人数据。CCPA还要求企业明确保护消费者有获得声明的权利,也就是知情权,还有决定企业能否销售/分享的选择权。

前面所说的当责目前有很多实践方式,这里我要提出可行的操作体系:也就是在公司内部需要有数据伦理和治理框架下的实施方案,这个实施方案需要确保组织处理数据的每个人都必须负责,每个部门也都知情并且愿意做这件事情,这些不只是一个部门的事,是接触数据流程中所有组织和部门应该做的事,这就是当责。每个人有足够的知识,组织里面有足够的系统来负责,这是360度的公司内部的治理机制,这个机制能确保企业永续经营。

可操作化的数据伦理及可操作化的数据治理包含三个要件:第一个是内部的数据治理及规章制度,第二个是数据安全管理,第三个是消费者隐私保护。也就是对内有360度的公司治理机制;对外在公共及产业政策上也去参与及协调,确保自己的企业是在整个产业生态价值链的标准里,进而协助上下游企业做得更好。总结来说,在内部建立数据治理的框架时,让所有的数据使用者及数据流程里的利益关系人都能够遵循,在外部建立共同的价值链生态体系。从企业的合作方、第三方、数据和系统供应商甚至客户,都在一个生态圈里面,都有共同的标准,甚至共通的做法,才能让数据伦理使用及数据治理的框架发挥极致,起到最大的作用。

 

返回列表
「主题演讲」潘兆娟: 国际法规趋势下的数据治理与实践
截止时间:2021年10月21日 19:30-21:00

【主题演讲】潘兆娟: 国际法规趋势下的数据治理与实践

2019年11月18日,“全球视角下的数据合规与隐私保护”研讨会在北京大学举行。本次研讨会立足全球视野,旨在通过对国内外数据合规及隐私保护的相关法律法规及实践案例作出深度解读,以此为实务工作者提供有效的合规指引与建议,全球信赖标章联盟荣誉专家 & 常任秘书长潘兆娟在会上发表主题演讲,以下为演讲实录。

潘兆娟

台湾政治大学科技管理暨智慧财产研究所博士

全球信赖标章联盟(WTA)荣誉专家 & 常任秘书长

国际隐私专家联盟知识网台北分会主席

亚太经合会电子商务暨隐私工作组特邀专家

美商安客诚公司亚太区首席数据治理官

悦智全球顾问公司共同创办人 & 资深顾问

台北市消费者电子商务协会秘书长

我今天首先谈数据治理的挑战,然后谈到我们怎么样从数据管理的流程实践数据治理,尤其从美国企业及美国体系目前的做法,及数据违法的案例,了解真正实践和执行数据治理时该怎么做,最后再回到最具挑战的数据合理使用来看看有哪些操作性的措施。

现在全球最新的挑战就是对实践数据伦理的挑战,我们中文翻译成“数据的合理使用”更为恰当。第一个挑战是执法单位依循的规范,执法的方法可以顺应未来的走向,这个难度很高,因为要准许创新又要准许法律规范。如果你让这些执行的企业或者组织有一个弹性去调整,就不会抹杀产业的创新和弹性。当前越来越多的技术如人工智能、大数据让个人有更多的权利,立法者也看到了这个趋势:让每个人有更多的机会要求他所要知道的数据权、数据内容等等。更重要的是数据控制者更需要有担当、也就是所谓的当责。这是目前全球在数据合理使用跟数据治理的关键,怎么样能够做到当责,不管是政府角度还是产业及企业角度。怎么样让技术放在工程里面或者系统里面,把整个数据保护、隐私保护都设计在系统里面,这有赖于掌握技术的组织去考虑。这是数据合理使用的第一大挑战。

第二大挑战是,当人工智能变得越来越关键,不管是物联网还是智能网,怎么样让人工智能或者未来的机器人更可信(trust)是我们现在面临的很大挑战,也是另一个关键。这么多的挑战里面,企业、政府、法律法规跟公司的政策是否都已经准备好了呢?我们现在从美国体系来了解。

美国的数据法规体系跟欧洲很不一样,但跟国内比较接近:可由三个层次来看,第一层是目前没有全国统一的法,而是采用了行业法规来管理。第二层是在美国的商业化运作和市场资本化已经很成熟,这与国内很不一样。不过美国市场化的运作不是唯一主要的方式,也需要产业自律的机制,例如组成一个产业联盟辅助政府监督,减少政府的监督成本,增加企业自己的合规标准,进而减少企业的合规成本。第三个层次是,因为出现太多数据泄露事件,所以有更多独立第三方出来扮演桥梁,协助企业跟政府把事情做好。

要怎么样让企业的技术跟消费者的需要形成一个很好的平衡。其中法律跟技术的平衡常是因应新法带来的机会,也因此带来企业的新商机。如果从大数据中数据处理的流程来看待数据合规,包括由数据的采集、数据的处理应用,到数据的传输必须以当责为基础。不仅要由整个流程去控管,还要有尽职调查。

年底即将生效的美国CCPA(《加州消费者隐私保护法》)有几个特色:第一是明确适用范围及个人信息定义,并强化了消费者保护权利。本意是只要是对加州居民出售商品和服务的公司就适用CCPA,即使你的公司不在加州。但是也保护了中小企业。企业需要符合以下三个条件才必须遵循:一是年销售额超过2500万美元;二是年处理50000个或更多消费者、家庭或设备的个人信息;三是每年透过销售/分享消费者的个人信息,可以获得50%或更多的年收入。

CCPA跟GDPR的共同点:包括个人数据的定义较为广泛,都有数据可携带权、删除个人资料等遗忘权,对用户收集、使用、共享数据,要求企业及时修改,鼓励数据及时流通等义务。更重要的是两者也有很多相异的地方,包括GDPR从政府监管角度,CCPA比较从消费者的角度看待数据保护,赋予消费者更多的权利。GDPR原则上禁止使用个人数据,除非得到授权同意。所以现在欧洲很多网站都有“同意”选项,消费者同意了才能使用,但是CCPA原则上允许使用个人数据,除非用户不准企业贩售和分享个人数据。CCPA还要求企业明确保护消费者有获得声明的权利,也就是知情权,还有决定企业能否销售/分享的选择权。

前面所说的当责目前有很多实践方式,这里我要提出可行的操作体系:也就是在公司内部需要有数据伦理和治理框架下的实施方案,这个实施方案需要确保组织处理数据的每个人都必须负责,每个部门也都知情并且愿意做这件事情,这些不只是一个部门的事,是接触数据流程中所有组织和部门应该做的事,这就是当责。每个人有足够的知识,组织里面有足够的系统来负责,这是360度的公司内部的治理机制,这个机制能确保企业永续经营。

可操作化的数据伦理及可操作化的数据治理包含三个要件:第一个是内部的数据治理及规章制度,第二个是数据安全管理,第三个是消费者隐私保护。也就是对内有360度的公司治理机制;对外在公共及产业政策上也去参与及协调,确保自己的企业是在整个产业生态价值链的标准里,进而协助上下游企业做得更好。总结来说,在内部建立数据治理的框架时,让所有的数据使用者及数据流程里的利益关系人都能够遵循,在外部建立共同的价值链生态体系。从企业的合作方、第三方、数据和系统供应商甚至客户,都在一个生态圈里面,都有共同的标准,甚至共通的做法,才能让数据伦理使用及数据治理的框架发挥极致,起到最大的作用。

 

立即报名