未來數月內,包括內地在內的亞洲多地將實施新的數據保護法,該地區的IR營運須謹慎行事。
數據已成為IR運營商的新儲備貨幣。獲取有關客戶大量信息的價值已成為整體業務績效的關鍵。從支付寶和微信小程序營銷,到無現金支付、數字預訂和地理定位Wifi 登錄,數字活動的激增使得從新數據流中收集的數據大量增加,有助於為商業決策提供信息,並提高IR領域的整體效率。
在一個以服務為導向的行業中,通過為前線員工提供客戶個人偏好信息以提供個性化體驗,對客戶體驗和服務交付都大有裨益。同樣地,部署複雜的人工智能及數據分析工具的後端CRM 管理可以協調營銷傳播戰略,取得更好的參與度及ROI結果。
因此,從庫存管理到人員配備再到營銷策略,數據已成為在整個IR業務決策的關鍵。因而數據的手機及處理範圍達到了新的水平。這些數據大部分涉及客戶、訪客和員工的個人信息,這觸發了國家對個人數據及隱私法的保護要求。
有鑒於IR行業的性質,顧客的個人信息向來被視為尤其敏感。現在,新的高風險數據類別,包括從數字支付交易中生成的數據——及未來預期的無現金博彩交易生成的數據——以及健康碼工具,譬如新冠疫情追蹤應用程序、疫苗護照和檢測結果。隨著捕獲信息的數量及敏感性的增加,數據隱私的合規性已經成為適用於絕大多數IR業務營運的關鍵要求。
加強隱私監管和執法
與此同時,數據隱私立法也在不斷發展,在制定及執行收集和使用個人信息的數據隱私法方面,亞洲地區的監管機構變得更為積極。其中一些新規定具有域外效力,這意味著某些情況下,從海外客戶收集個人信息的運營商需要遵守客戶所在的司法管轄區的法律規定。
中國新《個人信息保護法》
迄今為止,中國還沒有專門而全面的保護個人信息的法律,而是以來大量針對特定行業的法規對某些行業的個人數據處理標準作出規定。
今年8月,中國政府通過了新的《個人信息保護法》,該法將於2021年11月1日生效。新的《個人信息保護法》將對處理中國居民個人信息的公司活動產生影響,即使這些公司位於海外、澳門或香港。因此,該法律並不僅限於位於中國大陸的實體。事實上,在中國大陸以外地區處理個人信息的境外企業,將被要求在中國境內設立代理機構或委派指定代表,處理與個人信息保護的相關事宜,並向中國當局備案。該法律還對從中國大陸向境外(包括澳門和香港)跨境轉移個人信息進行了限制。而轉移數據之前必須滿足諸如額外的安全評估、保護認證、合同或風險評估等要求。
鑑於中國內地客戶是澳門IR營運商的最大市場,新的《個人信息保護法》對商業運作的影響需要在11月1日生效前仔細評估。尤其是通過市場應用程序、微信公眾號和小程序、網站收集個人信息的程序,以及隨後從境外轉移至澳門的任何程序,都要優先審查。
違反新法的處罰很高,包括對嚴重違法行為處以最高5000萬元人民幣(770萬美元)或相當於公司年營業額5%的罰款。儘管新法的執行未經檢驗,但中國當局最近對科技領域的數據隱私侵犯採取了強硬立場。2021年5月,中國國家互聯網信息辦公室(網信辦)通報有84款在線應用程序過度收集及過度使用侵犯了個人信息,要求這些營運商在15日內糾正其流程。
近期於2021年7月,拼車應用滴滴因違反數據收集和使用規定,在中國的應用商店中被下架。對於那些未能遵守中國個人信息保護法要求的企業而言,潛在的罰款及對企業運營的影響是顯而易見的。
日本加強隱私法要求
日本也通過了《個人信息保護法》修正案,將法律的域外效力擴大到所有處理日本公民個人信息的境外公司,以及在某些情況下以假名或匿名處理信息的海外公司。該《個人信息保護法》修正案將於2022年4月1日生效。擁有日本業務團隊的營運商將需要確定是否受到影響,並需要在該日期前徹底審視流程,已符合修訂後的新法律。
澳門《個人資料保護法》執行情況
在澳門,近期發生的事件彰顯了當局對於數據隱私調查及打擊侵權行為的堅定態度。2020年,澳門個人資料保護辦公室對部分進行非法電話營銷活動和使用個人數據但並未獲得個人同意的公司,處以總計 1200 萬澳門元(150 萬美元)的罰款。
《澳門個人資料保護法》還規定了個人對其個人資料享有的多項權利,包括在某些情況下有權查閱、修正、刪除或阻止對其個人資料的處理。近年來,隨著個人權利意識的增強,對個人數據價值的認識及保護個人數據免受不當利用的必要性亦日益增強,查閱、更正及刪除資料的請求有所增加。鑑於涉及的潛在數據資料當時人的數量和來自多個地點的數據量,根據《澳門個人數據保護法》的要求,在合理時間內回應個人的數據請求需投入大量專用資源才能有效處理。
有鑒於海外個人資料保護法(例如內地新的《個人信息保護法》)對數據主體具有類似訪問、更正和刪除權,如果沒有額外的協助和人力,潛在的數據主題請求數量可能會呈指數級增長,企業或將難以應付。
澳門法律還規定,一旦收集目的完成,個人資料將被刪除。
隨著捕獲的新數據流的增加,確定及記錄所收集的所有類型和類別的個人數據的保留期限,以及確保一旦保留期限到期,跨IT系統和備份服務器上的所有個人資料副本被刪除,這些是一項龐大的任務。
此外,澳門於2019年出台了針對博彩相關數據的監管規定,要求澳門的博彩監管機構對任何博彩相關數據的海外傳輸(如投注金額、籌碼的購買和贖回)須事先授權,其中可能還包括用戶的姓名、國籍等在內的個人數據。根據2019年澳門的《網絡安全法》,作為私營關鍵基礎設施營運者,IR運營商在程序、預防及應對網絡安全事故方面負有特殊責任和義務,包括向當局報告網絡安全事故及潛在的數據洩露。
應對挑戰
儘管數據隱私的合規性對IR業務的連續性至關重要,但數據收集和使用的急劇增加,通常並未與內部數據隱私團隊的發展相匹配。為了應對日益複雜的工作,新的數據技術管理工具已經出現,可以支持個人數據團隊的簡化和實施隱私的管理流程。通過實施隱私管理軟件,數據可以在結構化平台上進行編目,並可以創建一個可顯示存儲和使用所有個人數據的中央地圖,以監控活動、調查潛在的違規行為、更新記錄並在完成後刪除數據。
對於綜合度假村而言,迄今為止的核心挑戰是跨業務團隊的數據所有權的碎片化,這些團隊可能擁有大量在各種IT系統上運行的獨立數據庫或數據源。集中式個人數據管理平台可以提供符合適用各種國家個人數據保護法律和法規所需的可視性、自動化和記錄保存。此外,工具可以自動完成數據主體訪問請求、數據查閱和編輯流程,令到數據保護團隊能夠專注於更具戰略意義的數據保護問題及任務。
使用最為廣泛的數據保護平台OneTrust的大中華區經理Rob Hinso表示:「隱私管理平台是大型組織的關鍵工具,譬如綜合度假村營運商,他們擁有來自不同來源的大量數據流。」
「這些通常涉及橫跨多個司法管轄區的客戶的個人數據,可能令該組織同時受到多個國家或地區的數據保護法的約束。在不斷變化的監管環境中,擁有管理這些義務的工具——同時與最新的監管變化保持同步——變得至關重要。」
個人數據保護的未來
採用個人數據管理軟件和工具有助於簡化數據隱私管理,但模塊和工具的選擇必須根據企業業務的特定數據流、流程和適用監管法規量身定制。同樣地,個人數據解決方案的有效性取決於員工對隱私問題的理解——不僅是個人數據管理團隊中的員工,還有整個企業的在其工作中會接觸到個人數據的員工。由新數據隱私法的要求所引發的新數據隱私協議和數據管理的員工培訓也是至關重要,這將令運營商能夠保證數據保護程序有效實施及合規。
事實上,隨著客戶對個人數據的使用和利用越來越敏感,運營商可以利用他們的個人數據管理方法在客戶中建立可信賴的聲譽,從而將自己與競爭對手區分開來。通過提供透明的、以用戶為中心的個人數據管理工具,允許用戶控制並允許僅用於真正同意的目的,運營商可以展示他們對用戶隱私權的尊重,及將客戶偏好放在首位的承諾。