5月29日訊 歐盟《通用數(shù)據(jù)保護條列》（簡稱 GDPR）于2018年5月25日正式生效。英國一份政府調研顯示，只有38%的英國公司在 GDPR 生效前100天才開始關注該條例，許多美國公司也一樣。

按照 GDPR 的規(guī)定，企業(yè)違規(guī)可能會面臨高達2000萬歐元（約合人民幣1.28億元）或企業(yè)全球年收入的4%的罰款（取兩者中最高的）。除了高額罰款，歐盟數(shù)據(jù)保護機構（DPA）可在必要時采取糾正處罰，例如禁止處理數(shù)據(jù)，并對常見的數(shù)據(jù)處理活動實施臨時/確定性限制。因此，想要在歐洲市場立足的企業(yè)除了努力滿足合規(guī)外別無他法。

滿足 GDPR 的要求，企業(yè)到底需要重點了解哪些信息？

不少組織發(fā)現(xiàn)保障合規(guī)性遠比預期的要復雜。市場調查公司 Propeller Insights 的一項調查顯示，52%的受訪企業(yè)認為將面臨違規(guī)罰款。不過，只要小型企業(yè)在實施 GDPR 最佳實踐方面做出顯而易見實際努力，監(jiān)管機構就可能會"寬大處理"。不過，盡管如此，仍免不了高額罰款。因此，滿足 GDPR 的合規(guī)性可謂任重道遠。

一、數(shù)據(jù)控制者&數(shù)字處理者

按照 GDPR 第4條的第（7）點和第（8）點，數(shù)據(jù)控制者是能單獨或聯(lián)合決定個人數(shù)據(jù)的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織，負責決定處理個人數(shù)據(jù)的目的和方式，不過具體標準應以歐盟或其成員國的法律予以規(guī)定；數(shù)字處理者指為數(shù)據(jù)控制者處理個人數(shù)據(jù)的自然人、法人、公共機構、行政機關或其他非法人組織。但是，有時難以確定某個實體到底屬于數(shù)據(jù)控制者還是處理者。

谷歌的復雜身份特例：

當涉及包括 AdMob、 AdSense、AdWords、AdX 和 DFP 在內的熱門廣告產品時，谷歌就是一個數(shù)據(jù)控制者；

當涉及使用 Google Analytics、Google attribution offering、Ads Data Hub和DoubleClick Bid Manager 等工具的消費者時，谷歌則是數(shù)據(jù)處理者；

對于使用谷歌廣告產品的廣告發(fā)布商而言，谷歌仍是其收集數(shù)據(jù)的共同控制者，但是這些發(fā)布商收集數(shù)據(jù)必須征得用戶同意。

二、個人數(shù)據(jù)及數(shù)據(jù)保護原則

根據(jù) GDPR 的定義，是指任何指向一個已識別或可識別的自然人（“數(shù)據(jù)主體”）的信息。GDPR 拓寬了個人數(shù)據(jù)的范圍。按照 GDPR 界定的范圍，個人數(shù)據(jù)也包括數(shù)字指紋（例如 IP 地址和 Cookie）。除此之外，基因或生物識別數(shù)據(jù)也包含在“敏感數(shù)據(jù)”的范疇之內。

GDPR 明確提到個人敏感數(shù)據(jù)應受到高度保護，這些數(shù)據(jù)包含：個人的種族和族裔出身、政治觀點、宗教和哲學信仰、工會成員、基因數(shù)據(jù)、生物識別數(shù)據(jù)、健康數(shù)據(jù)、性生活或性取向信息以及犯罪記錄信息。而醫(yī)療機構通常須滿足更高標準的數(shù)據(jù)保護要求。

按照 GDPR 第5條（Art. 5）的規(guī)定，個人數(shù)據(jù)必須：

（a）以合法、公正、透明的方式處理與數(shù)據(jù)主體有關的（“合法性、公平性和透明性”）；

（b） 為特定的、明確的、合法的目的收集，并且不符合以上目的不得以一定的方式進行進一步的處理；為公共利益、科學，或歷史研究目的，或統(tǒng)計目的而進一步處理，按照第89條第（1）款，不應被視為不符合初始目的（“目的限制”）；

（c）充分、相關以及以該個人數(shù)據(jù)處理目的之必要為限度進行處理（“數(shù)據(jù)最小化”）；

（d）準確，必要，及時；為了個人數(shù)據(jù)被毫不延遲地處理、刪除或修正的目的，必須采取一切合理的步驟確保個人數(shù)據(jù)是不精確的（“精度”）；

（e）在不超過個人數(shù)據(jù)處理目的之必要的情形下，允許以數(shù)據(jù)主體以可識別的形式保存；為了保護數(shù)據(jù)主體的權利和自由，依據(jù)第89條（1）予以實施本法所要求的適度的技術和組織措施，只要個人數(shù)據(jù)將僅僅以為達到公共利益、科學或歷史研究或統(tǒng)計的目的而處理，個人數(shù)據(jù)能被長時間存儲（“存儲限制”）；

（f）以確保個人數(shù)據(jù)適度安全的方式處理，包括使用適當?shù)募夹g或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施（“完整性和機密性”）。

三、何時處理個人數(shù)據(jù)合法？

按照 GDPR 第6條的規(guī)定，處理個人數(shù)據(jù)須遵守以下六項法律依據(jù)：

1、數(shù)據(jù)主體同意他或她的個人數(shù)據(jù)為一個或多個特定目而處理；

2、處理是為履行數(shù)據(jù)主體參與的合同之必要，亦或處理是因數(shù)據(jù)主體在簽訂合同前的請求而采取的措施；

3、處理是為履行控制者所服從的法律義務之必要；

4、處理是為了保護數(shù)據(jù)主體或另一個自然人的切身利益之必要；

5、處理是為了執(zhí)行公共利益領域的任務或行使控制者既定的公務職權之必要；

6、處理是控制者或者第三方為了追求合法利益的之必要，但此利益被要求保護個人數(shù)據(jù)的數(shù)據(jù)主體的利益或基本權利以及自由覆蓋的除外，尤其是數(shù)據(jù)主體為兒童的情形下。（注：此項不適用于政府當局在履行其職責時進行的處理）

事先取得同意是企業(yè)合法處理歐盟公民個人數(shù)據(jù)的最重要前提條件。例如，當面臨 GDPR 的合規(guī)性時，F(xiàn)acebook 應設法取得同意，而非遵守數(shù)據(jù)最小化原則。

取得同意必須是可證實的，須與其它事項明確區(qū)分開來，且可撤回。值得注意的是，處理敏感數(shù)據(jù)須取得明確的同意。模糊或“一攬子同意”均被視為無效。企業(yè)須向數(shù)據(jù)主體呈現(xiàn)通俗易懂的語言表述，供其選擇是否同意對方處理個人數(shù)據(jù)。鑒于此，至少從理論上講，模糊不清、滿篇術語及長期性同意的請求將不復存在。

此外，沉默、預先勾選或不積極，均不構成有效的同意。當用戶需要勾選或通過電話同意時，這就屬于明確的選擇。

16周歲以下的未成年人不具有合法的同意權，但歐盟成員國可以將此年齡限制放寬到13周歲。

四、用戶控制權和用戶權利

GDPR 的其中一個目標是讓消費者掌控自己的數(shù)據(jù)，這項目標仍是一項重大挑戰(zhàn)。數(shù)據(jù)控制者須向數(shù)據(jù)主體通知其具有的如下權利：

主體訪問權

數(shù)據(jù)主體有權要求數(shù)據(jù)收集者或企業(yè)提供相關信息，包括使用的方法、數(shù)據(jù)內容以及誰有權訪問數(shù)據(jù)等信息。除非該請求存在特別的困難之處，否則數(shù)據(jù)收集者或企業(yè)需在30天內提供相關信息，可能包括績效評估、獎懲記錄、電腦訪問日志、求職面試、通話記錄和錄像片段。但是，所提供的信息不得包含任何其它員工的個人信息。

注意：這條規(guī)則涉及的數(shù)據(jù)不包括醫(yī)療記錄、與刑事司法和稅收相關的個人數(shù)據(jù)、與律師之間的保密通信、暴露當前管理問題的文件以及商業(yè)機密。此外，該項程序免費開展，但數(shù)據(jù)控制者仍有權收取費用或拒絕執(zhí)行過多及毫無根據(jù)的請求。

反對權

數(shù)據(jù)主體有權基于與其特定情況有關的理由，在任何時候依據(jù)第6條第1款（e）項或（f）項拒絕有關其的個人數(shù)據(jù)被處理，包括根據(jù)這些規(guī)定進行概況分析?？刂普卟坏迷偬幚碓搨€人數(shù)據(jù)，除非控制者證明其有關（數(shù)據(jù)）處理的強制性法律依據(jù)優(yōu)先于數(shù)據(jù)主體的利益、權利和自由，或者為了設立、行使或捍衛(wèi)其合法權利。除此之外，數(shù)據(jù)主體還可反對僅基于自動決策而制定的具有重大影響的決策。

Crowd Research 的一份調查報告顯示，三分之一的組織機構報告稱，他們無法向用戶解釋其算法如何在自動處理的背景下做出決策。

糾正/刪除的權利

在用戶數(shù)據(jù)不完全或不正確的情況下，數(shù)據(jù)主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數(shù)據(jù)?？紤]到處理的目的，數(shù)據(jù)主體應當有權使不完整的個人數(shù)據(jù)完整，包括通過提供補充聲明的方式。

限制權

如果處理程序與GDPR要求的數(shù)據(jù)保護措施不符，數(shù)據(jù)主體可要求限制處理他們的個人數(shù)據(jù)。

擦除權（又稱被遺忘權）

這是 GDPR 的一條標志性規(guī)定。在用戶數(shù)據(jù)不完全或不正確的情況下，數(shù)據(jù)主體有權要求控制者無不當延誤地刪除有關其的個人數(shù)據(jù)。如收集個人數(shù)據(jù)的目的變得毫無必要或同意被撤回，數(shù)據(jù)主體可要求刪除數(shù)據(jù)。

據(jù) Solix 公司的一項調查顯示，約三分之二的受訪者承認其不知道如何實施“被遺忘權”，其原因在于他們不確定是否可以永久清除用戶的個人數(shù)據(jù)。

轉移數(shù)據(jù)的權利

數(shù)據(jù)主體可向數(shù)據(jù)控制者提交請求，要求對方以機器可讀的形式整理他們的個人數(shù)據(jù)，以便將這些數(shù)據(jù)轉移給其它控制者。如果用戶希望更換數(shù)據(jù)控制者，他們可通過數(shù)據(jù)可讀的形式簡單重用這些數(shù)據(jù)，例如，用戶希望轉移數(shù)據(jù)更換電信服務。

GDPR 合規(guī)建議

（一）、全面了解數(shù)據(jù)

要確保企業(yè)在滿足 GDPR 合規(guī)方面不出現(xiàn)問題，企業(yè)最好組建一個由律師、IT 技術人員和數(shù)據(jù)安全專家組成的團隊。這支團隊需弄清楚：

正在處理什么數(shù)據(jù)？

數(shù)據(jù)存儲在哪里？

處理過程如何？

對數(shù)據(jù)進行全面分析，包括數(shù)據(jù)所屬類別、處理數(shù)據(jù)的法律依據(jù)、處理數(shù)據(jù)的方法、訪問數(shù)據(jù)的實體以及安全措施。

組織機構的所有計劃和政策，例如，數(shù)據(jù)保護計劃、自帶設備（BOYD）政策、事件響應計劃和業(yè)務連續(xù)性計劃，且必須符合 GDPR 的要求。例如，大多數(shù)員工獲許在工作用設備上安裝個人應用程序。如果此類應用程序會訪問并存儲個人數(shù)據(jù)，且企業(yè)未部署任何措施來滿足 GDPR 合規(guī)，結果可能會事與愿違。因此，企業(yè)有必要優(yōu)化 BOYD 政策。

對供應商進行調查，以了解對方的安全政策和重要措施以及供應商訪問哪些用戶的數(shù)據(jù)。部分供應商可能會獲取非必需數(shù)據(jù)（例如 IP 詳細信息），這能幫助它全面了解其用戶的瀏覽習慣。然而，修改合同以及維系與供應商的關系是一個相當耗時的過程。

企業(yè)必須描述用戶數(shù)據(jù)相關的流程，例如內容管理、用戶注冊、商業(yè)智能和分析流程。此外，企業(yè)還須報告 GDPR 合規(guī)進度。根據(jù)GDPR 第30條的規(guī)定，企業(yè)必須記錄處理活動（RoPA），以便進行示范。從本質上講，這就相當于要求清點存在風險的應用程序。

（二）、風險評估

企業(yè)不僅要了解存儲的數(shù)據(jù)，還要了解其中的風險，尤其應了解可能收集和存儲個人數(shù)據(jù)的“影子 IT”。為有效滿足合規(guī)，風險評估還應提出旨在緩解現(xiàn)有風險的技術。

Snow Software 公司高級副總裁麥特·費舍爾（Matt Fisher）在提供風險評估相關建議時表示，組織機構首先必須要全面了解整個 IT 基礎設施，并清點所有的應用程序。然后再結合對可處理個人數(shù)據(jù)應用程序的見解，進而降低項目范圍及花費在這上面的時間。

從邏輯上講，企業(yè)應在風險識別之后啟動風險緩解程序，數(shù)據(jù)處理活動必須符合 GDPR 的數(shù)據(jù)保護原則。

（三）、尊重用戶權利，并賦予用戶控制權

企業(yè)應有效處理客戶的投訴和疑問，尤其是那些與條例中規(guī)定的數(shù)據(jù)主體權利相關的投訴和疑問。

按照 GDPR 的規(guī)定，數(shù)據(jù)控制者必須向用戶提供取消所有通信的選項，為用戶提供控制權和退出通信的選項，如在“訂閱”旁邊提供“取消訂閱”的選擇框。

（四）、保持透明度

監(jiān)管機構高度重視透明性，例如，在條款、條件和隱私政策中提供引入注目的鏈接。

（五）、采用默認提供數(shù)據(jù)保護的組織和技術措施

某些安全措施和技術必須部署在產品/服務的最初開發(fā)階段。加密和假名化（pseudonymization）技術是此類措施的常見技術。此外，這些安全措施和技術還允許開發(fā)人員在實踐中應用核心數(shù)據(jù)保護原則，比如數(shù)據(jù)最小化原則。

（六）、盡快解決數(shù)據(jù)泄露問題

GDPR 規(guī)定，數(shù)據(jù)處理者對數(shù)據(jù)泄露或不合規(guī)行為負有責任。在發(fā)生危及歐盟公民個人信息的安全事件后72小時之內，企業(yè)須上報歐盟數(shù)據(jù)保護機構。按照GDPR第33（2）條的規(guī)定，意識到個人數(shù)據(jù)泄露后，數(shù)據(jù)處理器者當立即通知數(shù)據(jù)控制者。

事實表明，大多數(shù)數(shù)據(jù)泄露事件是第三方發(fā)現(xiàn)的，例如客戶或執(zhí)法機構。事件響應計劃和業(yè)務連續(xù)性計劃可幫助企業(yè)遵守 GDPR 有關數(shù)據(jù)泄露的義務。

（七）、任命數(shù)據(jù)保護官（DPO）

小企業(yè)通常缺乏資源或專業(yè)知識來滿足該條例。缺乏具有 GDPR 合規(guī)經驗的工作人員以及預算不足是部分原因所在。此外，員工往往會低估滿足 GDPR 合規(guī)所需的努力和時間。IT 和信息安全團隊通常有責任使其組織滿足 GDPR 的合規(guī)要求，但 GDPR 條例并未限制 DPO 只為某個特定組織工作。DPO 可為多個組織機構提供相關服務。

DPO 的主要職責是負責對數(shù)據(jù)保護工作進行定期及系統(tǒng)性監(jiān)測，同時負責內部教育、培訓以及合規(guī)性審計事務。此人還將負責企業(yè)與 GDPR 監(jiān)管當局之間的溝通以及與數(shù)據(jù)主體間的交互。此要求適用于一切擁有高度敏感數(shù)據(jù)，或處理及/或存儲大量歐盟個人數(shù)據(jù)的組織，無論這些主體是否屬于組織外的員工或個人。

處理或存儲大量個人數(shù)據(jù)、定期監(jiān)控公民或公共部門的企業(yè)須指定一名 DPO，指導并監(jiān)督整個安全策略和 GDPR 合規(guī)性。

據(jù)Ovum 一份報告反映，85%的美國企業(yè)擔心 GDPR 會讓它們在歐洲同行中處于競爭劣勢。許多消費者表示，他們將不會容忍個人數(shù)據(jù)被粗心處理的行為。RSA 數(shù)據(jù)隱私與安全報告顯示，62%的消費者會責怪存儲數(shù)據(jù)的企業(yè)，而不是網絡犯罪分子，其原因在于數(shù)據(jù)主體不清楚企業(yè)如何處理自己的數(shù)據(jù)。隨著消費者日益了解情況，他們希望數(shù)據(jù)管理者更加透明并提高響應能力。

事實表明，大多數(shù)數(shù)據(jù)泄露事件是第三方發(fā)現(xiàn)的，例如客戶或執(zhí)法機構。事件響應計劃和業(yè)務連續(xù)性計劃可幫助企業(yè)遵守 GDPR 有關數(shù)據(jù)泄露的義務。