5月25日，全球第一部以正式法典形式出現(xiàn)的歐盟《一般數(shù)據(jù)保護(hù)條例》(簡稱GDPR)將正式生效，距離這部堪稱目前這個星球上最先進(jìn)和最嚴(yán)格的隱私保護(hù)制度生效，只剩2天啦！

什么是GDPR，在數(shù)據(jù)保護(hù)方面的規(guī)定又是什么，它與中國企業(yè)之間有什么關(guān)系，中國企業(yè)應(yīng)該如何防范？今天，敏捷將帶您一一解讀。

什么是GDPR

2016年4月27日，歐盟議會通過了《一般數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR）法律條例，用于取代1995年發(fā)布的過時的數(shù)據(jù)保護(hù)指令（DPD）。

新的指令完全更新了歐盟成員國以及任何與歐盟各國進(jìn)行交易或持有公民（歐洲經(jīng)濟(jì)區(qū)公民）數(shù)據(jù)的公司必須存儲安全和管理個人數(shù)據(jù)的方式，將在2018年5月25日生效。

GDPR生效后，對個人數(shù)據(jù)的隱私和保護(hù)將更加的透明和具有操作性。

      GDPR作為歐盟頒布的法律條例和我們中國企業(yè)有什么關(guān)系呢？那就不得不介紹一下GDPR的適用范圍了。

GDPR的適用范圍

1.本法適用于設(shè)立在歐盟內(nèi)的控制者或處理者對個人數(shù)據(jù)的處理，無論其處理行為是否發(fā)生在歐盟內(nèi)。

2.本法適用于對歐盟內(nèi)的數(shù)據(jù)主體的個人數(shù)據(jù)處理，即使控制者和處理者沒有設(shè)立在歐盟內(nèi)，其處理行為：

(a)發(fā)生在向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中，無論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對價(jià)；

(b)或是對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行的監(jiān)控的。

3.本法適用于設(shè)立在歐盟之外，但依據(jù)國際公法歐盟成員國法律可適用地的控制者對個人數(shù)據(jù)的處理。

      這就意味著只要中國的企業(yè)為歐盟境內(nèi)的數(shù)據(jù)主體提供了服務(wù)，即使其在歐盟境內(nèi)沒有設(shè)立任何分支機(jī)構(gòu)，也依然受到GDPR的管轄，對中國企業(yè)的信息安全管理提出了更高的要求。

在數(shù)據(jù)保護(hù)方面的要求

GDPR被稱為“史上最嚴(yán)的數(shù)據(jù)保護(hù)條例”，從三個方面對企業(yè)數(shù)據(jù)保護(hù)提出了嚴(yán)格要求：正確的使用數(shù)據(jù)；確保數(shù)據(jù)的訪問安全；保證數(shù)據(jù)的可用性。同時，GDPR要求企業(yè)將更大范圍的數(shù)據(jù)納入到數(shù)據(jù)管理體系當(dāng)中，特別是那些企業(yè)邊緣的個人數(shù)據(jù)，而且不僅僅是保證數(shù)據(jù)的可用性，還需要對數(shù)據(jù)具有足夠的洞察力以確保合規(guī)。

① 公司必須設(shè)立一個數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）。數(shù)據(jù)保護(hù)官必須直接匯報(bào)給最高管理層，其職責(zé)是監(jiān)管和規(guī)范數(shù)據(jù)負(fù)責(zé)人和數(shù)據(jù)處理者的數(shù)據(jù)活動。

② 公司需要保留用戶數(shù)據(jù)監(jiān)管信息，并定期刪除無關(guān)數(shù)據(jù)。

③ 公司必須部署合適的工具用以保護(hù)數(shù)據(jù)，以防數(shù)據(jù)丟失、損壞或泄露。當(dāng)發(fā)生任何數(shù)據(jù)泄露相關(guān)事件，數(shù)據(jù)管控者與數(shù)據(jù)處理者需要在72小時內(nèi)進(jìn)行報(bào)告。

④ 公司處理個人數(shù)據(jù)必須要有合法理由，包括數(shù)據(jù)主體的同意、為了簽訂或履行合同需要、遵守法定義務(wù)的需要、為公共利益或行事政府授權(quán)以及為追求數(shù)據(jù)控制者的合法利益等。

⑤ 當(dāng)用戶不再希望個人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒有合法理由保存該數(shù)據(jù)，用戶有權(quán)要求公司刪除數(shù)據(jù)。

⑥ 用戶有權(quán)并可以無障礙的將其個人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個信息服務(wù)提供者處轉(zhuǎn)移至另外一個信息服務(wù)提供者處。

⑦ 公司禁止收集處理反映個人種族或民族起源、政治觀點(diǎn)、宗教/哲學(xué)信仰、工會組織成員的數(shù)據(jù)、個人基因識別數(shù)據(jù)、生物數(shù)據(jù)、涉及健康、性生活或性取向的數(shù)據(jù)。但在例外的情況下也可以收集加工以上數(shù)據(jù)，如已獲得個人的明示同意，或數(shù)據(jù)控制者因處理勞動關(guān)系、社會保險(xiǎn)之需要在法律允許的范圍內(nèi)已采取了適當(dāng)?shù)谋Ｗo(hù)手段等。

⑧ 公司處理16歲以下兒童的個人數(shù)據(jù)，必須獲得該兒童父母或監(jiān)護(hù)人的同意或授權(quán)。各成員國可對上述年齡進(jìn)行調(diào)整，但是不得低于13歲。

⑨ 公司需要實(shí)現(xiàn)數(shù)據(jù)的“缺省保護(hù)隱私”，即這種數(shù)據(jù)保護(hù)的隱私設(shè)計(jì)需要有默認(rèn)的兩個原則，一是數(shù)據(jù)采集與數(shù)據(jù)使用目的的一一對應(yīng)原則；二是數(shù)據(jù)采集的最小化原則。

法案對于企業(yè)違規(guī)設(shè)置了昂貴的處罰規(guī)定，對于不遵守GDPR法案的企業(yè)處以嚴(yán)厲的制裁和巨額罰款，根據(jù)違規(guī)性質(zhì)的嚴(yán)重程度，分為一般違法行為和嚴(yán)重違法行為。對于一般違法行為，處以全年?duì)I收額2%或1000萬歐元的罰款，兩者以高者為限；對于嚴(yán)重違法行為，處以全年?duì)I收額4%或2000萬歐元的罰款，兩者以高者為限。此外，法案支持所有受企業(yè)違規(guī)影響遭受損失的個人向企業(yè)提出損失賠償的請求，為民事訴訟提供了法律基礎(chǔ)。

      如何高效、簡化、統(tǒng)一的滿足這些數(shù)據(jù)保護(hù)的需求，這將是每個企業(yè)都將面臨的挑戰(zhàn)。GDPR生效在即，中國企業(yè)如何做到未雨綢繆、對數(shù)據(jù)進(jìn)行合規(guī)保護(hù)？

中國企業(yè)防范措施

① 制定新的戰(zhàn)略，著眼改善自身業(yè)務(wù)。

為應(yīng)對法案實(shí)施，中國企業(yè)應(yīng)該從企業(yè)戰(zhàn)略角度，進(jìn)行周密地準(zhǔn)備，包括與歐盟成員國相關(guān)數(shù)據(jù)保護(hù)部門和利益相關(guān)方密切合作，了解其對GDPR監(jiān)管力度、配套的計(jì)劃等等。符合GDPR合規(guī)要求將成為一項(xiàng)潛在的競爭優(yōu)勢，合規(guī)將提高消費(fèi)者對企業(yè)的信心，而且，其所需的技術(shù)和流程改進(jìn)應(yīng)該能夠提高組織管理和保護(hù)數(shù)據(jù)的效率。

② 嚴(yán)格自查評估，制定匯報(bào)GDPR合規(guī)進(jìn)度的計(jì)劃。

GDPR的實(shí)施，必將使業(yè)務(wù)涉及數(shù)據(jù)處理或檢測的企業(yè)受到影響。企業(yè)需要全面檢查自己公司存儲和處理的歐盟公民數(shù)據(jù)，評估安全風(fēng)險(xiǎn)。將自己平臺數(shù)據(jù)的操作與GDPR的有關(guān)內(nèi)容進(jìn)行嚴(yán)格比對，對不合規(guī)部分做出整改。清點(diǎn)應(yīng)用程序和完成“處理活動記錄”，發(fā)現(xiàn)和調(diào)查與數(shù)據(jù)相關(guān)的任何風(fēng)險(xiǎn)，并確定保護(hù)這些數(shù)據(jù)所需的適當(dāng)安全級別。

③ 制定響應(yīng)機(jī)制和數(shù)據(jù)保護(hù)計(jì)劃。

根據(jù)該法案規(guī)定，企業(yè)需設(shè)立數(shù)據(jù)保護(hù)官等職位，定期審查數(shù)據(jù)相關(guān)政策確保企業(yè)自身符合GDPR并使企業(yè)業(yè)務(wù)順利運(yùn)行。完成數(shù)據(jù)安全漏洞檢測，確保發(fā)生情況時及時處置，同時，保持與利益相關(guān)方的有效聯(lián)動。

大數(shù)據(jù)時代，數(shù)據(jù)量呈井噴式增長，數(shù)據(jù)作為企業(yè)的核心資產(chǎn)，其隱私問題已經(jīng)成為數(shù)字經(jīng)濟(jì)時代的頂層問題，自由合法的數(shù)據(jù)流通成為數(shù)字時代經(jīng)濟(jì)持續(xù)健康發(fā)展的基石。敏捷科技十八年來聚焦“讓數(shù)據(jù)更安全”，專注于為企業(yè)提供合規(guī)的一體化數(shù)據(jù)安全解決方案，全方位保護(hù)和管理數(shù)據(jù)并符合GDPR規(guī)則要求，助力中國企業(yè)海外業(yè)務(wù)布局。