歐盟GDPR法規對企業的影響及其對策分析

段利艷 王志輝 周靜麗

摘要：2012年11月，歐盟委員會制定了具有更強包容性和合作性的《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR），2018年5月25日，GDPR法規將在歐盟28成員國強制執行。GDPR是目前最先進的隱私保護制度，可能會導致高達年收入4%的罰款，這將對企業產生怎樣的影響，企業又將如何應對？論文將從企業組織架構、業務管理、職能平臺、產品活動四個方面進行分析。

關鍵詞：GDPR 影響 對策

The Impact of GDPR on Enterprises and Its Countermeasures

Duan Liyan （ Shenzhen Academy of Metrology & Quality Inspection ）

Wang Zhihui （ Nubia Technology Company ）

Zhou Jingli （ Shenzhen Academy of Metrology & Quality Inspection ）

Abstract： November 2012， the European Commission has adopted a more inclusive and cooperative General Data Protection Regulation （GDPR）. On May 25， 2018， the GDPR regulations will be enforced in EU 28 member states . GDPR is the most advanced privacy protection system at present， which may result in a fine of up to 4% of annual income. What impact will this have on the enterprises and how will the enterprises deal with them？ This article will analyze the enterprise organizational structure， business management， functional platform， product activities in four areas.

Key words： GDPR， impact， countermeasure

0 前言

2012年11月，歐盟委員會制定了具有更強包容性和合作性的《通用數據保護條例》（General Data Protection Regulation，GDPR）。2016年4月14日，歐盟舉行會議通過GDPR。2018年5月25日，GDPR法規將在歐盟28成員國強制執行。

GDPR旨在取代1995年發布的歐盟數據保護指令，這個指令主要為了保護歐盟公民的個人數據的隱私性，而GDPR對這些數據保護規則進行了改革和更新。新法規的要點包括管理個人數據的權利、數據泄露獲得通知的權利以及“被遺忘權”。GDPR是目前最先進的隱私保護制度，可能會導致高達年收入4%的罰款，這將如何影響各企業，企業又將如何應對？本文將從企業組織架構、業務管理、職能平臺、產品活動四個方面進行分析。

1 關鍵影響領域

GDPR對企業的影響是綜合的、系統性的，幾乎涉及企業經營活動的各個領域，圖1概括了企業里受到GDPR直接影響的主要領域。

在評估GDPR對企業各領域可能帶來的影響、探求改進對策時，應參照GDPR數據處理的基本原則和要求，GDPR各項原則要求概括起來如表1所示。

2 對企業組織架構的影響分析

根據GDPR第4章要求，應該建立數據保護官（Data Protection Officer，DPO）制度，DPO應該是獨立任命的，他們不能因為執行任務的原因而被解雇或者受到刑事處罰，DPO直接向最高管理者報告工作。

與合規官或法律顧問不同，企業的DPO需要向執行委員會報告，并有權監視組織的數據處理。擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定DPO。這根據他們是否處理敏感數據的情況而定，擁有少于250名員工的組織可根據企業運營的實際情況來決定是否指定DPO。

3 對企業業務管理的影響分析

3.1 對企業銷售及銷售管理的影響分析

銷售及銷售管理工作，離不開客戶的個人數據，在處理客戶數據的過程中，應參考表1的原則要求對現有客戶信息收集范圍和處理方式進行重新梳理和分析。就當前大部分企業的銷售及銷售管理活動而言，與GDPR的要求是有明顯差距的。

在評估GDPR對銷售及銷售管理的影響時，需要明確以下問題：

（1）銷售和銷售管理工作過程中，需要處理的個人數據有哪些？（此處的銷售和銷售管理含電商平臺。）

（2）這些數據的目的分別是什么？實現數據處理目的所必需的時間是多久？

（3）需要采取哪些具體的處理措施，如收集、記錄、拷貝、分析、轉發？

（4）哪些人有權訪問這些數據？數據存儲環境有哪些技術上和管理上的安全保障措施來確保數據的保密性和完整性，如數據不會被篡改、拷貝、刪除、非法訪問？

（5）所收集的個人數據是否需要轉移到歐盟境外進行處理？如果有，采取了哪些合規舉措確保數據主體的權利和自由得到了應有的保護？

（6）采用什么方式進行存儲？存儲期限是否有明確的約定？如有約定，是多久？

（7）為銷售及客戶管理需要，是否有委托第三方進行客戶數據處理，如數據收集、數據分析、用戶滿意度調查？如果有，是否有相應的約束協議限定了第三方數據處理的范圍、責任和義務？

（8）企業在銷售活動過程中，是否有受政企客戶的委托進行相應的數據處理，如替運營商客戶收集終端用戶的信息、分析終端用戶的信息？

（9）是否建立了銷售及客戶管理的個人數據保護制度，將以上各項活動要求文件化？

（10）是否對銷售及客戶管理的所需處理的個人數據進行過數據分類，對數據的來源和去向做出明確界定，并適時開展數據保護影響分析，比如是否有非必要數據，如果有，應及時刪除；約定的存儲期限是否超過了數據處理目的所必需的時間，如果超過，應修改存儲時間；是否定期對安全性措施的有效性和適用性進行技術性和管理性評審；如果有電商平臺，用戶注冊為電商用戶時，是否有隱私保護提示和聲明，內容是否合法合規等。

3.2 對企業供應鏈管理的影響分析

企業供應鏈管理工作，同樣離不開供應鏈各環節的個人數據，在處理供應鏈上各環節個人數據的過程中，也應參考表1的原則要求對現有供應鏈上各相關數據主體的信息收集范圍和處理方式進行梳理和分析。就當前大部分企業的供應鏈管理活動而言，與GDPR的要求還是有明顯差距的。

在評估GDPR對供應鏈管理的影響時，需要明確以下問題：

（1）供應鏈管理工作過程中，需要處理的個人數據有哪些？（此處的供應鏈管理涉及的個人數據應包括供應商員工的信息以及企業自身員工的信息。）

（2）這些數據的目的分別是什么？實現數據處理目的所必需的時間是多久？

（3）需要采取哪些具體的處理措施，如收集、記錄、拷貝、分析、轉發？

（4）哪些人有權訪問這些數據？數據存儲環境有哪些技術上和管理上的安全保障措施來確保數據的保密性和完整性，如數據不會被篡改、拷貝、刪除、非法訪問？

（5）所收集的個人數據是否需要轉移到歐盟境外進行處理？如果有，采取了哪些合規舉措確保數據主體的權利和自由得到了應有的保護？

（6）采用什么方式進行存儲？存儲期限是否有明確的約定？如有約定，是多久？

（7）為供應鏈管理的需要，是否有委托第三方進行供應鏈上的個人數據處理，如數據收集、數據分析、供應商滿意度調查？如果有，是否有相應的約束協議限定了第三方數據處理的范圍、責任和義務？

（8）企業在供應鏈系列活動過程中，是否有受第三方的委托進行相應的數據處理，如替物流平臺、材料平臺做一些供應鏈個人數據分析？

（9）是否建立了供應鏈管理的個人數據保護制度，將以上各項活動要求文件化？

（10）是否對供應鏈管理的所需處理的個人數據進行過數據分類，對數據的來源和去向做出明確界定，并適時開展數據保護影響分析，比如是否有非必要數據，如果有，應及時刪除；約定的存儲期限是否超過了數據處理目的所必需的時間，如果超過，應修改存儲時間； 是否定期對安全性措施的有效性和適用性進行技術性和管理性評審；如果有供應商信息系統需要做供應商資格注冊，其注冊涉及提交個人數據時，是否有隱私保護提示和聲明，內容是否合法合規等。

4 對企業職能平臺的影響分析

4.1 對企業人力資源及財務管理的影響分析

人力資源及財務管理是企業個人數據最集中的領域之一，在處理人力資源及財務管理各環節個人數據的過程中，同樣首先應參考表1的原則要求對現有人力資源及財務管理各相關數據主體的信息收集范圍和處理方式進行梳理和分析。就當前大部分企業的人力資源及財務管理活動而言，與GDPR的要求是有明顯差距的。

在評估GDPR對人力資源及財務管理的影響時，需要明確以下問題：

（1）企業是否在歐洲境內有分支機構？人力資源及財務管理工作過程中，需要處理的個人數據有哪些？（此處的人力資源及財務管理涉及的個人數據主體主要為本企業在歐盟境內的員工，不管其是臨時雇員還是長期雇員，或者通過第三方人力資源及財務外包公司轉包雇用的員工。）

（2）這些數據的目的分別是什么？實現數據處理目的所必需的時間是多久？

（3）需要采取哪些具體的處理措施，如收集、記錄、拷貝、分析、轉發？

（4）哪些人有權訪問這些數據？數據存儲環境有哪些技術上和管理上的安全保障措施來確保數據的保密性和完整性，如數據不會被篡改、拷貝、刪除、非法訪問？

（5）所收集的個人數據是否需要轉移到歐盟境外進行處理？如果有，采取了哪些合規舉措確保數據主體的權利和自由得到了應有的保護？

（6）采用什么方式進行存儲？存儲期限是否有明確的約定？如有約定，是多久？

（7）為人力資源及財務管理的需要，是否有委托第三方進行人力資源及財務管理各環節的個人數據處理，如數據收集、數據分析、員工滿意度和敬業度調查？如果有，是否有相應的約束協議限定了第三方數據處理的范圍、責任和義務？

（8）企業在人力資源及財務管理活動過程中，企業自身是否有受第三方的委托進行相應的數據處理，如人力資源或財務管理研究機構、教育培訓機構、健康咨詢機構做一些人力資源個人數據分析？

（9）是否建立了人力資源及財務管理的個人數據保護制度，將以上各項活動要求文件化？

（10）是否對人力資源及財務管理的所需處理的個人數據進行過數據分類，對數據的來源和去向做出明確界定，并適時開展數據保護影響分析，比如是否有非必要數據，如果有，應及時刪除；約定的存儲期限是否超過了數據處理目的所必需的時間，如果超過，應修改存儲時間； 是否定期對安全性措施的有效性和適用性進行技術性和管理性評審；針對人力資源招聘網站和人事財務IT系統，如果需要注冊才能使用，其注冊涉及提交個人數據時，是否有隱私保護提示和聲明，內容是否合法合規等。

4.2 對企業信息安全管理的影響分析

傳統的信息安全事件響應對象主要從網絡、系統、機房基礎設施三方面展開。就GDPR而言，傳統的信息安全事件響應對象仍然完全適用，這些都是GDPR個人數據安全事件響應機制應該考慮的基本面，是必不可少的，但是，和傳統的信息安全事件響應內容和流程相比較，GDPR還有其自身的額外要求，如：

（1）發生個人數據安全事件后，企業不能不當延誤，而且至少應當在知道之時起72小時以內通知監管機構，除非個人數據的泄露不會導致自然人權利和自由的風險。

（2）發生個人數據安全事件后，如果個人數據泄露可能對自然人權利和自由形成很高的風險，企業應毫不延誤地就個人數據泄露的主體進行交流。

（3）如果發生數據安全事件的企業所處理的數據是受另一企業委托進行的，其有義務和委托企業保持密切互動并提醒委托企業及時通知監管機構和數據主體。

4.3 對企業IT系統的影響分析

IT系統目前已經成為最為普遍和基本的企業運營管理支撐工具，無論是銷售及銷售管理、供應鏈管理、人力資源及財務管理還是其他諸如質量管理等，涉及大量數據的管理和應用時均已經實現IT化。

IT系統的GDPR合規要求如何落地？基本工作如圖2所示。

相較于傳統的IT系統規劃和設計，滿足GDPR要求的IT系統，在架構設計和開發實踐上，新增了不少個人數據保護和權限管理的要求。

5 對企業產品活動的影響分析

本文主要針對ICT產品的企業，這里的ICT產品僅指會涉及個人數據處理的純軟件產品和固件類產品（如移動智能終端、IOT），不包括那些不涉及個人數據處理的產品（如電源適配器）。

ICT產品的GDPR合規要求如何落地？基本工作如圖3所示。

相較于傳統的ICT產品的規劃和設計，滿足GDPR要求的ICT產品在架構設計和開發實踐上，新增了不少個人數據保護和權限管理的要求。

在確定應用產品規劃和設計方案時，應遵循以下幾點：

（1）應定義清楚該產品將可能會涉及的個人數據類型，對其進行匯總和分類。

（2）針對匯總的個人數據類型，依照GDPR數據處理的基本原則和要求（參見表1）確定數據處理方案，對其做好數據保護影響分析，建立適用于該ICT產品的個人數據字典，明確該系統將處理的個人數據種類、目的、數量、規模、儲存期限和可訪問對象，以及各類數據在IT系統中的儲存與管理時應該給予的處理權限，如同意/不同意、可修改/不可修改、可復制/不可復制。

（3）應提前確定該應用產品需要實現的數據保護和數據服務的功能及應用范圍。

（4）ICT產品設計方案應明確安全性需求，這是GDPR核心要求之一。ICT產品安全涉及的范圍包括硬件安全、App安全、操作系統安全、傳輸安全以及各種權限開關和隱私聲明。

ICT產品開發時，應采用必要的個人數據保護技術以確保個人數據安全性，如匿名化技術和數據加密技術。

如果企業暫不具備能力開展以上各類GDPR驗證測評，可以委托有能力的第三方機構進行合規性分析、漏洞檢測和滲透測試，找出產品的脆弱點并加以改進。

產品售后及運行維護與企業IT系統的運行維護有較大區別，ICT產品的售后還包括一些固件的維修管理。

6 結束語

GDPR的通過意味著歐盟對個人隱私保護及其監管達到了前所未有的高度，堪稱史上最嚴格的數據保護法案。企業應實施合適的防范措施、技術標準和策略以應對即將到來的數據保護法案。