《通用数据保护条例》(GDPR) 对差旅行业的影响

白皮书 17 May 2018

什么是《通用数据保护条例》(GDPR)

《通用数据保护条例》被认为是20年来数据隐私监管方面最重要的变化。对于在欧盟经营业务的企业来说,该法案无疑将对他们如何管理数据产生重大影响。除此之外,该法案也势必影响全球的旅游行业。

立法之漫漫长路

经过为期四年的准备和讨论,《通用数据保护条例》(GDPR)于2016年4月14日获得欧盟议会的批准,并将于2018年5月25日正式实施。

因此,企业如果不遵守《通用数据保护条例》规定的标准将会面临严厉处罚,这为在欧盟(EU)地区开展业务的企业提供了更高的可预测性,并有助于提升其运营效率,同时也提升了欧盟居民的个人数据保护力度。

GDPR如何受益个人

GDPR旨在帮助个人更好地控制其个人数据以及对数据授权进行管理。在GDPR中,个人数据被定义为与已识别或可识别的自然人有关的任何信息,包括在线识别符号(如IP地址和cookie等)都被纳入了个人数据的范围。根据IBM的建议,个人数据还可以包括可以追踪至特定个人的信息,比如生理、心理、遗传、精神、经济、文化或社会身份等可用于直接或间接识别用户的数字信息。

有关企业和组织如何应对GDPR条例的更多信息,请访问 欧盟网站

GDPR对于企业意味着什么

自2018年5月25日起,如果企业在欧盟(EU)地区设有机构,提供产品和服务,或监控欧盟居民的个人行为,无论其规模如何,均须遵守GDPR条例。

违反GDPR

GDPR的实施范围主要包括以下三类:

  • 数据主体是指其个人数据由一名控制者或处理者进行处理的自然人。
  • 数据处理者是指代表数据控制者处理个人数据的的任何实体。
  • 数据控制者是指决定个人数据处理的目的、条件和方式的任何实体。

数据处理者将受到特定的法律义务和责任的约束,包括需要持续记录个人数据和处理活动,并加以保存。数据控制者不能免于数据处理者需要履行的义务,并且还要履行更多义务,以确保其与数据处理者之间签署的合同符合GDPR标准。

GDPR对差旅企业又意味着什么

在实践中,差旅经理和供应商都须明确他们应收集的差旅人员数据信息,收集的原因和目的。

因此,差旅企业可重新思考如何调整战略从多重途径收集数据。与此同时,差旅企业根据差旅人员的个人偏好为企业差旅项目提供更多选择的初衷可能会因GDPR的条例受到影响。毕竟,GDPR条例会使整个数据安全流程更加复杂,并且为合规性监管提供依据。

“在GDPR的推动下,数据战略不断向前发展,差旅企业被要求出于正确的收集目的,采用符合道德,遵守法规和有利于个人数据保护的方式处理数据。”

Buying Business Travel,2017年

GDPR对差旅行业的影响

尽管GDPR的商讨工作历经四年之久,但旅游行业协会在根据GDPR条例进行调整方面却相对滞后。为了更好地理解GDPR给差旅企业带来的直接影响,以及差旅企业应该采取哪些措施,同时也为了给供应商和差旅管理者提供了一个平台,促进其在复杂的国际监管环境中加强对话交流,分享知识和最佳实践经验,商务旅行行业管理者协会(ACTE)已经与成员企业进行接洽。

GDPR还规定了“数据画像”,它要求任何组织在进行数据画像(一种通过自动化方式处理个人数据的活动)时必须告知消费者。由于差旅管理公司在一年中可能对差旅人员的数据信息进行数次更新,因此 “数据画像”规定给那些依赖数据信息以提供个性化服务的差旅管理公司带来了极大的挑战。

数据保护官(DPO)应运而生 

在GDPR的影响下,新的岗位“数据保护官”在众多企业中应运而生。一旦新设立的数据保护官(DPOs)纷纷加入采购、人力资源和IT部门,企业将会拥有更多的决策者。

"全世界将新设立75,000多位数据保护官(DPO)来监管GDPR合规性 - 仅欧洲和美国就需要28,000位数据保护官。"

国际隐私权专家协会

新法案带来的若干问题

新法案带来的若干问题

我们准备好了吗

差旅管理公司(TMC)常常与对信息保密性和数据安全性要求较高的企业客户进行合作。GDPR条例只是界定了包括FCM在内的众多全球差旅管理公司对企业客户践行了多年的责任。事实上,许多差旅企业已经拥有健全的数据处理流程和系统,确保客户的数据得到妥善处理和保护。

差旅企业的主要顾虑

差旅协会和供应商往往会因黑客攻击而成为违反数据安全条例的受害者,这令他们感到不安。网络安全攻击者越来越善于攻击更多的数据系统,并且他们的攻击行为很难受到限制。

2016年,40%的网络攻击目标为企业。根据新公布的条例,如果企业因为遗失或黑客攻击而违反数据隐私安全条例,将可能遭受2000万欧元或营业额4%罚金(以较高者为准)。

与反腐败法规和谨慎义务一样,只有将新条例视为常识或者对其最佳商业实践补充相应条例的企业才能成为最终的赢家。

GDPR条例带来的影响

“ 2016年,网络攻击的目标40%为企业。2017年3月,恶意软件WannaCry攻击了150个国家的20多万台电脑,包括联邦快递、英国国家卫生服务署和西班牙的电信巨头-西班牙电信电脑。''

John DiGiacomo,Revision Legal

根据GDPR条例,航空公司、酒店和汽车租赁公司、火车运营商和支付卡供应商有义务采取完全合规的数据处理流程,并确保合规透明化。数据隐私的重要性对于整个供应链的每个环节不亚于是企业的品牌和声誉。

从长期来看,GDPR条例及其它国际数据安全条例都将给差旅行业带来积极的影响。企业可以在数据战略中明确目标,收集重要的关键数据,从而进一步简化企业的数据战略。

GDPR条例不会妨碍知名企业对客户和员工进行更多的了解,也不会阻止这些企业利用相关知识信息优化自身的产品和策略。反之,他们会通过自己的方式更为灵活地利用GDPR条例重点关注与其息息相关的GDPR条款。如果企业的数据战略不符合GDPR条例,企业将面临重金处罚。

如果您想进一步了解FCM如何应对GDPR条例以及FCM实行怎样的数据安全策略,请访问我们的信任与合规页面