满足GDPR的要求，企业到底需要重点了解哪些信息？

5月29日讯 欧盟《通用数据保护条列》（简称 GDPR）于2018年5月25日正式生效。英国一份政府调研显示，只有38%的英国公司在 GDPR 生效前100天才开始关注该条例，许多美国公司也一样。

按照 GDPR 的规定，企业违规可能会面临高达2000万欧元（约合人民币1.28亿元）或企业全球年收入的4%的罚款（取两者中最高的）。除了高额罚款，欧盟数据保护机构（DPA）可在必要时采取纠正处罚，例如禁止处理数据，并对常见的数据处理活动实施临时/确定性限制。因此，想要在欧洲市场立足的企业除了努力满足合规外别无他法。

满足 GDPR 的要求，企业到底需要重点了解哪些信息？

不少组织发现保障合规性远比预期的要复杂。市场调查公司 Propeller Insights 的一项调查显示，52%的受访企业认为将面临违规罚款。不过，只要小型企业在实施 GDPR 最佳实践方面做出显而易见实际努力，监管机构就可能会"宽大处理"。不过，尽管如此，仍免不了高额罚款。因此，满足 GDPR 的合规性可谓任重道远。

一、数据控制者&数字处理者

按照 GDPR 第4条的第（7）点和第（8）点，数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织，负责决定处理个人数据的目的和方式，不过具体标准应以欧盟或其成员国的法律予以规定；数字处理者指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。但是，有时难以确定某个实体到底属于数据控制者还是处理者。

谷歌的复杂身份特例：

当涉及包括 AdMob、 AdSense、AdWords、AdX 和 DFP 在内的热门广告产品时，谷歌就是一个数据控制者；

当涉及使用 Google Analytics、Google attribution offering、Ads Data Hub和DoubleClick Bid Manager 等工具的消费者时，谷歌则是数据处理者；

对于使用谷歌广告产品的广告发布商而言，谷歌仍是其收集数据的共同控制者，但是这些发布商收集数据必须征得用户同意。

二、个人数据及数据保护原则

根据 GDPR 的定义，是指任何指向一个已识别或可识别的自然人（“数据主体”）的信息。GDPR 拓宽了个人数据的范围。按照 GDPR 界定的范围，个人数据也包括数字指纹（例如 IP 地址和 Cookie）。除此之外，基因或生物识别数据也包含在“敏感数据”的范畴之内。

GDPR 明确提到个人敏感数据应受到高度保护，这些数据包含：个人的种族和族裔出身、政治观点、宗教和哲学信仰、工会成员、基因数据、生物识别数据、健康数据、性生活或性取向信息以及犯罪记录信息。而医疗机构通常须满足更高标准的数据保护要求。

按照 GDPR 第5条（Art. 5）的规定，个人数据必须：

（a）以合法、公正、透明的方式处理与数据主体有关的（“合法性、公平性和透明性”）；

（b） 为特定的、明确的、合法的目的收集，并且不符合以上目的不得以一定的方式进行进一步的处理；为公共利益、科学，或历史研究目的，或统计目的而进一步处理，按照第89条第（1）款，不应被视为不符合初始目的（“目的限制”）；

（c）充分、相关以及以该个人数据处理目的之必要为限度进行处理（“数据最小化”）；

（d）准确，必要，及时；为了个人数据被毫不延迟地处理、删除或修正的目的，必须采取一切合理的步骤确保个人数据是不精确的（“精度”）；

（e）在不超过个人数据处理目的之必要的情形下，允许以数据主体以可识别的形式保存；为了保护数据主体的权利和自由，依据第89条（1）予以实施本法所要求的适度的技术和组织措施，只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理，个人数据能被长时间存储（“存储限制”）；

（f）以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施（“完整性和机密性”）。

三、何时处理个人数据合法？

按照 GDPR 第6条的规定，处理个人数据须遵守以下六项法律依据：

1、数据主体同意他或她的个人数据为一个或多个特定目而处理；

2、处理是为履行数据主体参与的合同之必要，亦或处理是因数据主体在签订合同前的请求而采取的措施；

3、处理是为履行控制者所服从的法律义务之必要；

4、处理是为了保护数据主体或另一个自然人的切身利益之必要；

5、处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要；

6、处理是控制者或者第三方为了追求合法利益的之必要，但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外，尤其是数据主体为儿童的情形下。（注：此项不适用于政府当局在履行其职责时进行的处理）

事先取得同意是企业合法处理欧盟公民个人数据的最重要前提条件。例如，当面临 GDPR 的合规性时，Facebook 应设法取得同意，而非遵守数据最小化原则。

取得同意必须是可证实的，须与其它事项明确区分开来，且可撤回。值得注意的是，处理敏感数据须取得明确的同意。模糊或“一揽子同意”均被视为无效。企业须向数据主体呈现通俗易懂的语言表述，供其选择是否同意对方处理个人数据。鉴于此，至少从理论上讲，模糊不清、满篇术语及长期性同意的请求将不复存在。

此外，沉默、预先勾选或不积极，均不构成有效的同意。当用户需要勾选或通过电话同意时，这就属于明确的选择。

16周岁以下的未成年人不具有合法的同意权，但欧盟成员国可以将此年龄限制放宽到13周岁。

四、用户控制权和用户权利

GDPR 的其中一个目标是让消费者掌控自己的数据，这项目标仍是一项重大挑战。数据控制者须向数据主体通知其具有的如下权利：

主体访问权

数据主体有权要求数据收集者或企业提供相关信息，包括使用的方法、数据内容以及谁有权访问数据等信息。除非该请求存在特别的困难之处，否则数据收集者或企业需在30天内提供相关信息，可能包括绩效评估、奖惩记录、电脑访问日志、求职面试、通话记录和录像片段。但是，所提供的信息不得包含任何其它员工的个人信息。

注意：这条规则涉及的数据不包括医疗记录、与刑事司法和税收相关的个人数据、与律师之间的保密通信、暴露当前管理问题的文件以及商业机密。此外，该项程序免费开展，但数据控制者仍有权收取费用或拒绝执行过多及毫无根据的请求。

反对权

数据主体有权基于与其特定情况有关的理由，在任何时候依据第6条第1款（e）项或（f）项拒绝有关其的个人数据被处理，包括根据这些规定进行概况分析。控制者不得再处理该个人数据，除非控制者证明其有关（数据）处理的强制性法律依据优先于数据主体的利益、权利和自由，或者为了设立、行使或捍卫其合法权利。除此之外，数据主体还可反对仅基于自动决策而制定的具有重大影响的决策。

Crowd Research 的一份调查报告显示，三分之一的组织机构报告称，他们无法向用户解释其算法如何在自动处理的背景下做出决策。

纠正/删除的权利

在用户数据不完全或不正确的情况下，数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的，数据主体应当有权使不完整的个人数据完整，包括通过提供补充声明的方式。

限制权

如果处理程序与GDPR要求的数据保护措施不符，数据主体可要求限制处理他们的个人数据。

擦除权（又称被遗忘权）

这是 GDPR 的一条标志性规定。在用户数据不完全或不正确的情况下，数据主体有权要求控制者无不当延误地删除有关其的个人数据。如收集个人数据的目的变得毫无必要或同意被撤回，数据主体可要求删除数据。

据 Solix 公司的一项调查显示，约三分之二的受访者承认其不知道如何实施“被遗忘权”，其原因在于他们不确定是否可以永久清除用户的个人数据。

转移数据的权利

数据主体可向数据控制者提交请求，要求对方以机器可读的形式整理他们的个人数据，以便将这些数据转移给其它控制者。如果用户希望更换数据控制者，他们可通过数据可读的形式简单重用这些数据，例如，用户希望转移数据更换电信服务。

GDPR 合规建议

（一）、全面了解数据

要确保企业在满足 GDPR 合规方面不出现问题，企业最好组建一个由律师、IT 技术人员和数据安全专家组成的团队。这支团队需弄清楚：

正在处理什么数据？

数据存储在哪里？

处理过程如何？

对数据进行全面分析，包括数据所属类别、处理数据的法律依据、处理数据的方法、访问数据的实体以及安全措施。

组织机构的所有计划和政策，例如，数据保护计划、自带设备（BOYD）政策、事件响应计划和业务连续性计划，且必须符合 GDPR 的要求。例如，大多数员工获许在工作用设备上安装个人应用程序。如果此类应用程序会访问并存储个人数据，且企业未部署任何措施来满足 GDPR 合规，结果可能会事与愿违。因此，企业有必要优化 BOYD 政策。

对供应商进行调查，以了解对方的安全政策和重要措施以及供应商访问哪些用户的数据。部分供应商可能会获取非必需数据（例如 IP 详细信息），这能帮助它全面了解其用户的浏览习惯。然而，修改合同以及维系与供应商的关系是一个相当耗时的过程。

企业必须描述用户数据相关的流程，例如内容管理、用户注册、商业智能和分析流程。此外，企业还须报告 GDPR 合规进度。根据GDPR 第30条的规定，企业必须记录处理活动（RoPA），以便进行示范。从本质上讲，这就相当于要求清点存在风险的应用程序。

（二）、风险评估

企业不仅要了解存储的数据，还要了解其中的风险，尤其应了解可能收集和存储个人数据的“影子 IT”。为有效满足合规，风险评估还应提出旨在缓解现有风险的技术。

Snow Software 公司高级副总裁麦特·费舍尔（Matt Fisher）在提供风险评估相关建议时表示，组织机构首先必须要全面了解整个 IT 基础设施，并清点所有的应用程序。然后再结合对可处理个人数据应用程序的见解，进而降低项目范围及花费在这上面的时间。

从逻辑上讲，企业应在风险识别之后启动风险缓解程序，数据处理活动必须符合 GDPR 的数据保护原则。

（三）、尊重用户权利，并赋予用户控制权

企业应有效处理客户的投诉和疑问，尤其是那些与条例中规定的数据主体权利相关的投诉和疑问。

按照 GDPR 的规定，数据控制者必须向用户提供取消所有通信的选项，为用户提供控制权和退出通信的选项，如在“订阅”旁边提供“取消订阅”的选择框。

（四）、保持透明度

监管机构高度重视透明性，例如，在条款、条件和隐私政策中提供引入注目的链接。

（五）、采用默认提供数据保护的组织和技术措施

某些安全措施和技术必须部署在产品/服务的最初开发阶段。加密和假名化（pseudonymization）技术是此类措施的常见技术。此外，这些安全措施和技术还允许开发人员在实践中应用核心数据保护原则，比如数据最小化原则。

（六）、尽快解决数据泄露问题

GDPR 规定，数据处理者对数据泄露或不合规行为负有责任。在发生危及欧盟公民个人信息的安全事件后72小时之内，企业须上报欧盟数据保护机构。按照GDPR第33（2）条的规定，意识到个人数据泄露后，数据处理器者当立即通知数据控制者。

事实表明，大多数数据泄露事件是第三方发现的，例如客户或执法机构。事件响应计划和业务连续性计划可帮助企业遵守 GDPR 有关数据泄露的义务。

（七）、任命数据保护官（DPO）

小企业通常缺乏资源或专业知识来满足该条例。缺乏具有 GDPR 合规经验的工作人员以及预算不足是部分原因所在。此外，员工往往会低估满足 GDPR 合规所需的努力和时间。IT 和信息安全团队通常有责任使其组织满足 GDPR 的合规要求，但 GDPR 条例并未限制 DPO 只为某个特定组织工作。DPO 可为多个组织机构提供相关服务。

DPO 的主要职责是负责对数据保护工作进行定期及系统性监测，同时负责内部教育、培训以及合规性审计事务。此人还将负责企业与 GDPR 监管当局之间的沟通以及与数据主体间的交互。此要求适用于一切拥有高度敏感数据，或处理及/或存储大量欧盟个人数据的组织，无论这些主体是否属于组织外的员工或个人。

处理或存储大量个人数据、定期监控公民或公共部门的企业须指定一名 DPO，指导并监督整个安全策略和 GDPR 合规性。

据Ovum 一份报告反映，85%的美国企业担心 GDPR 会让它们在欧洲同行中处于竞争劣势。许多消费者表示，他们将不会容忍个人数据被粗心处理的行为。RSA 数据隐私与安全报告显示，62%的消费者会责怪存储数据的企业，而不是网络犯罪分子，其原因在于数据主体不清楚企业如何处理自己的数据。随着消费者日益了解情况，他们希望数据管理者更加透明并提高响应能力。

事实表明，大多数数据泄露事件是第三方发现的，例如客户或执法机构。事件响应计划和业务连续性计划可帮助企业遵守 GDPR 有关数据泄露的义务。