你準備好迎接歐盟通用數據保護法了嗎

去年《經濟學人》的一期封面文章稱，如今全球最寶貴的資源不再是石油，而是數據。足以可見，大數據時代數據對于企業來說蘊藏著巨大的商業價值。但就在各大公司紛紛開展數據業務、瘋狂“攫取”數據資源時，有關公民個人隱私數據泄露的新聞卻此起彼伏。前有社交平臺Facebook泄露五千萬數據，趣店數據遭遇內鬼外泄，后有YouTube被指控泄露兒童數據隱私，大眾點評網泄露客戶行蹤。許多知名互聯網企業屢次被曝泄露用戶信息或侵犯個人隱私，而這些平臺就像開了無數“后門”，成為威脅個人隱私的罪魁禍首。是互聯網的光芒照耀下個人隱私真的“無處躲藏”？還是某些企業暗藏濫用用戶信息牟利的私心？

2018年5月25日，史上最嚴的《歐盟通用數據保護條例》（General Data Protection Regulation 簡稱GDPR）正式施行。盡管它的目的是保護消費者個人數據避免濫用，但這項法案無疑對企業有著深遠的影響。因為如果企業不好好處理的話，它們將面臨非常復雜的訴訟官司以及巨額罰款。

GDPR是什么？

歐盟通用數據保護條例（GDPR）整合了隱私保護指令、電子通信隱私保護指令、及歐盟公民權利指令，歷經四年討論于2016年4月27日由歐洲議會通過。該條例旨在保護歐盟和歐洲經濟區域內的個人數據隱私。

GDPR由各國政府強制執行，目的就是通過加強執法和增加違規罰款，讓消費者掌控自己的個人數據。盡管條例已經于2016年通過，但關于該條例的新聞報道從2018年后才開始增加。這主要是因為歐盟給予了企業兩年過渡期，讓它們慢慢為2018年5月25日的正式全面實施做好充足準備。

無論是法人還是自然人，也不管公司規模大小以及擁有歐洲居民個人數據多少，只要企業的核心業務直接或間接和歐洲居民的個人數據搜集、處理和利用相關，那么從2018年5月25日后，都必須及時調整，以便能夠符合GDPR對于個人數據保護的規范和要求。

在這項法案中，個人信息是指“與已識別或可識別的自然人有關的任何信息；可識別的自然人是指可以直接或間接識別的人。”這里的“任何信息”不僅包括直接信息（姓名、住址、電話號碼等），還包括網絡信息（ip地址、cookies等）和間接信息（包括所有可追溯至某一特定個人的生理、心理、基因、文化等特征）。根據GDPR的規定，企業必須：

明確披露已收集的任何數據；

聲明他們將如何使用這些數據，以及使用這些數據的合法依據和意圖；

披露數據將被保留多長時間；

是否會被任何第三方或歐盟以外的國家共享。

公民除了行使“被遺忘權”，即他們有權要求在某些情況下刪除他們的個人數據，還有權要求對已收集的任何數據進行便攜式復制。即用戶可隨時查看、修改、移動、刪除數據，并要求企業開具數據備份及數據使用方式。同時，用戶也擁有隨時取消授權和抗議的權利。當獲取數據時所述的目的不再適用或用戶不再允許企業使用該數據，GDPR規定企業必須刪除用戶信息，同時將用戶的數據清除請求告知第三方處理機構。

GDPR建立了嚴格的處罰機制。如果企業違反了GDPR的規定，監管部門可以對其處以高達全球營業額4%的罰款。

這對企業意味著什么？企業又需要采取什么行動呢？

雖然這只是歐盟頒發的一部法律，但是總部設在全球任何其它地方但在歐盟設有分支機構的企業，以及向歐盟公民提供數字商品和服務的任何企業，都將受到這一規定的影響。

對企業來講，雖然GDPR的實施看起來似乎是一種行政負擔，但如果處理得當，它其實可以作為品牌建設的組成部分，成為企業最有利的競爭優勢。而對消費者來說，增加透明度是一種建立信任的方式。據一項調查結果顯示，73%的消費者認為易于閱讀的隱私政策會增加他們對公司在保護個人信息方面的信任。企業主動保護用戶隱私的話，用戶更有可能與企業保持長期關系。我們需要采取風險導向型的方法，采取積極的措施和計劃，防止濫用用戶的個人信息。企業在證明其遵守法例時須考慮以下五項措施：

采取“隱私設計”（Privacy by Design）理念，即在整個過程中考慮隱私，將保護隱私的概念設計融入其產品，而不再完全依賴那些沒人愿意讀的隱私政策。

進行數據保護影響評估（Data Protection Impact Assessment），識別并管理風險。

制定內部政策或指導方針，規劃出保持合規所需的行動計劃。

任命一名數據保護官（Data Protection Officer）監督、實施和就GDPR的遵守情況提出建議。

保存數據處理活動的記錄。

為了評估公司的操作程序是否需要調整以符合GDPR，企業應檢查其現有的數據管理程序。對于那些已經擁有了嚴格程序，部分完成了GDPR要求的企業來說，這避免了可能的重復工作。一旦評估了程序，就有必要對隱私專員的要求與現有要求進行差距分析，以確定下一步應采取什么步驟，以及實施起來所需的資源。在此基礎上，企業應制定出內部合規戰略，列出所有必要步驟和所需人員。該戰略應根據公司提供的商品服務性質以及經營規模進行調整，以便實施最有效和最具成本效益的程序。為了表明企業對合規的承諾，還可以制定全公司范圍內的數據處理和管理政策，作為內部和外部使用的交流工具。

編輯|胡文娟 wenjuan.hu@wtoguide.net