5月25日，全球第一部以正式法典形式出現(xiàn)的歐盟《一般數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱GDPR)將正式生效，距離這部堪稱目前這個(gè)星球上最先進(jìn)和最嚴(yán)格的隱私保護(hù)制度生效，只剩2天啦！

什么是GDPR，在數(shù)據(jù)保護(hù)方面的規(guī)定又是什么，它與中國(guó)企業(yè)之間有什么關(guān)系，中國(guó)企業(yè)應(yīng)該如何防范？今天，敏捷將帶您一一解讀。

什么是GDPR

2016年4月27日，歐盟議會(huì)通過(guò)了《一般數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR）法律條例，用于取代1995年發(fā)布的過(guò)時(shí)的數(shù)據(jù)保護(hù)指令（DPD）。

新的指令完全更新了歐盟成員國(guó)以及任何與歐盟各國(guó)進(jìn)行交易或持有公民（歐洲經(jīng)濟(jì)區(qū)公民）數(shù)據(jù)的公司必須存儲(chǔ)安全和管理個(gè)人數(shù)據(jù)的方式，將在2018年5月25日生效。

GDPR生效后，對(duì)個(gè)人數(shù)據(jù)的隱私和保護(hù)將更加的透明和具有操作性。

      GDPR作為歐盟頒布的法律條例和我們中國(guó)企業(yè)有什么關(guān)系呢？那就不得不介紹一下GDPR的適用范圍了。

GDPR的適用范圍

1.本法適用于設(shè)立在歐盟內(nèi)的控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，無(wú)論其處理行為是否發(fā)生在歐盟內(nèi)。

2.本法適用于對(duì)歐盟內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)處理，即使控制者和處理者沒(méi)有設(shè)立在歐盟內(nèi)，其處理行為：

(a)發(fā)生在向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過(guò)程中，無(wú)論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對(duì)價(jià)；

(b)或是對(duì)數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行的監(jiān)控的。

3.本法適用于設(shè)立在歐盟之外，但依據(jù)國(guó)際公法歐盟成員國(guó)法律可適用地的控制者對(duì)個(gè)人數(shù)據(jù)的處理。

      這就意味著只要中國(guó)的企業(yè)為歐盟境內(nèi)的數(shù)據(jù)主體提供了服務(wù)，即使其在歐盟境內(nèi)沒(méi)有設(shè)立任何分支機(jī)構(gòu)，也依然受到GDPR的管轄，對(duì)中國(guó)企業(yè)的信息安全管理提出了更高的要求。

在數(shù)據(jù)保護(hù)方面的要求

GDPR被稱為“史上最嚴(yán)的數(shù)據(jù)保護(hù)條例”，從三個(gè)方面對(duì)企業(yè)數(shù)據(jù)保護(hù)提出了嚴(yán)格要求：正確的使用數(shù)據(jù)；確保數(shù)據(jù)的訪問(wèn)安全；保證數(shù)據(jù)的可用性。同時(shí)，GDPR要求企業(yè)將更大范圍的數(shù)據(jù)納入到數(shù)據(jù)管理體系當(dāng)中，特別是那些企業(yè)邊緣的個(gè)人數(shù)據(jù)，而且不僅僅是保證數(shù)據(jù)的可用性，還需要對(duì)數(shù)據(jù)具有足夠的洞察力以確保合規(guī)。

① 公司必須設(shè)立一個(gè)數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）。數(shù)據(jù)保護(hù)官必須直接匯報(bào)給最高管理層，其職責(zé)是監(jiān)管和規(guī)范數(shù)據(jù)負(fù)責(zé)人和數(shù)據(jù)處理者的數(shù)據(jù)活動(dòng)。

② 公司需要保留用戶數(shù)據(jù)監(jiān)管信息，并定期刪除無(wú)關(guān)數(shù)據(jù)。

③ 公司必須部署合適的工具用以保護(hù)數(shù)據(jù)，以防數(shù)據(jù)丟失、損壞或泄露。當(dāng)發(fā)生任何數(shù)據(jù)泄露相關(guān)事件，數(shù)據(jù)管控者與數(shù)據(jù)處理者需要在72小時(shí)內(nèi)進(jìn)行報(bào)告。

④ 公司處理個(gè)人數(shù)據(jù)必須要有合法理由，包括數(shù)據(jù)主體的同意、為了簽訂或履行合同需要、遵守法定義務(wù)的需要、為公共利益或行事政府授權(quán)以及為追求數(shù)據(jù)控制者的合法利益等。

⑤ 當(dāng)用戶不再希望個(gè)人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒(méi)有合法理由保存該數(shù)據(jù)，用戶有權(quán)要求公司刪除數(shù)據(jù)。

⑥ 用戶有權(quán)并可以無(wú)障礙的將其個(gè)人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個(gè)信息服務(wù)提供者處轉(zhuǎn)移至另外一個(gè)信息服務(wù)提供者處。

⑦ 公司禁止收集處理反映個(gè)人種族或民族起源、政治觀點(diǎn)、宗教/哲學(xué)信仰、工會(huì)組織成員的數(shù)據(jù)、個(gè)人基因識(shí)別數(shù)據(jù)、生物數(shù)據(jù)、涉及健康、性生活或性取向的數(shù)據(jù)。但在例外的情況下也可以收集加工以上數(shù)據(jù)，如已獲得個(gè)人的明示同意，或數(shù)據(jù)控制者因處理勞動(dòng)關(guān)系、社會(huì)保險(xiǎn)之需要在法律允許的范圍內(nèi)已采取了適當(dāng)?shù)谋Ｗo(hù)手段等。

⑧ 公司處理16歲以下兒童的個(gè)人數(shù)據(jù)，必須獲得該兒童父母或監(jiān)護(hù)人的同意或授權(quán)。各成員國(guó)可對(duì)上述年齡進(jìn)行調(diào)整，但是不得低于13歲。

⑨ 公司需要實(shí)現(xiàn)數(shù)據(jù)的“缺省保護(hù)隱私”，即這種數(shù)據(jù)保護(hù)的隱私設(shè)計(jì)需要有默認(rèn)的兩個(gè)原則，一是數(shù)據(jù)采集與數(shù)據(jù)使用目的的一一對(duì)應(yīng)原則；二是數(shù)據(jù)采集的最小化原則。

法案對(duì)于企業(yè)違規(guī)設(shè)置了昂貴的處罰規(guī)定，對(duì)于不遵守GDPR法案的企業(yè)處以嚴(yán)厲的制裁和巨額罰款，根據(jù)違規(guī)性質(zhì)的嚴(yán)重程度，分為一般違法行為和嚴(yán)重違法行為。對(duì)于一般違法行為，處以全年?duì)I收額2%或1000萬(wàn)歐元的罰款，兩者以高者為限；對(duì)于嚴(yán)重違法行為，處以全年?duì)I收額4%或2000萬(wàn)歐元的罰款，兩者以高者為限。此外，法案支持所有受企業(yè)違規(guī)影響遭受損失的個(gè)人向企業(yè)提出損失賠償的請(qǐng)求，為民事訴訟提供了法律基礎(chǔ)。

      如何高效、簡(jiǎn)化、統(tǒng)一的滿足這些數(shù)據(jù)保護(hù)的需求，這將是每個(gè)企業(yè)都將面臨的挑戰(zhàn)。GDPR生效在即，中國(guó)企業(yè)如何做到未雨綢繆、對(duì)數(shù)據(jù)進(jìn)行合規(guī)保護(hù)？

中國(guó)企業(yè)防范措施

① 制定新的戰(zhàn)略，著眼改善自身業(yè)務(wù)。

為應(yīng)對(duì)法案實(shí)施，中國(guó)企業(yè)應(yīng)該從企業(yè)戰(zhàn)略角度，進(jìn)行周密地準(zhǔn)備，包括與歐盟成員國(guó)相關(guān)數(shù)據(jù)保護(hù)部門和利益相關(guān)方密切合作，了解其對(duì)GDPR監(jiān)管力度、配套的計(jì)劃等等。符合GDPR合規(guī)要求將成為一項(xiàng)潛在的競(jìng)爭(zhēng)優(yōu)勢(shì)，合規(guī)將提高消費(fèi)者對(duì)企業(yè)的信心，而且，其所需的技術(shù)和流程改進(jìn)應(yīng)該能夠提高組織管理和保護(hù)數(shù)據(jù)的效率。

② 嚴(yán)格自查評(píng)估，制定匯報(bào)GDPR合規(guī)進(jìn)度的計(jì)劃。

GDPR的實(shí)施，必將使業(yè)務(wù)涉及數(shù)據(jù)處理或檢測(cè)的企業(yè)受到影響。企業(yè)需要全面檢查自己公司存儲(chǔ)和處理的歐盟公民數(shù)據(jù)，評(píng)估安全風(fēng)險(xiǎn)。將自己平臺(tái)數(shù)據(jù)的操作與GDPR的有關(guān)內(nèi)容進(jìn)行嚴(yán)格比對(duì)，對(duì)不合規(guī)部分做出整改。清點(diǎn)應(yīng)用程序和完成“處理活動(dòng)記錄”，發(fā)現(xiàn)和調(diào)查與數(shù)據(jù)相關(guān)的任何風(fēng)險(xiǎn)，并確定保護(hù)這些數(shù)據(jù)所需的適當(dāng)安全級(jí)別。

③ 制定響應(yīng)機(jī)制和數(shù)據(jù)保護(hù)計(jì)劃。

根據(jù)該法案規(guī)定，企業(yè)需設(shè)立數(shù)據(jù)保護(hù)官等職位，定期審查數(shù)據(jù)相關(guān)政策確保企業(yè)自身符合GDPR并使企業(yè)業(yè)務(wù)順利運(yùn)行。完成數(shù)據(jù)安全漏洞檢測(cè)，確保發(fā)生情況時(shí)及時(shí)處置，同時(shí)，保持與利益相關(guān)方的有效聯(lián)動(dòng)。

大數(shù)據(jù)時(shí)代，數(shù)據(jù)量呈井噴式增長(zhǎng)，數(shù)據(jù)作為企業(yè)的核心資產(chǎn)，其隱私問(wèn)題已經(jīng)成為數(shù)字經(jīng)濟(jì)時(shí)代的頂層問(wèn)題，自由合法的數(shù)據(jù)流通成為數(shù)字時(shí)代經(jīng)濟(jì)持續(xù)健康發(fā)展的基石。敏捷科技十八年來(lái)聚焦“讓數(shù)據(jù)更安全”，專注于為企業(yè)提供合規(guī)的一體化數(shù)據(jù)安全解決方案，全方位保護(hù)和管理數(shù)據(jù)并符合GDPR規(guī)則要求，助力中國(guó)企業(yè)海外業(yè)務(wù)布局。