滿足GDPR的要求，企業(yè)到底需要重點了解哪些信息？

5月29日訊 歐盟《通用數據保護條列》（簡稱 GDPR）于2018年5月25日正式生效。英國一份政府調研顯示，只有38%的英國公司在 GDPR 生效前100天才開始關注該條例，許多美國公司也一樣。

按照 GDPR 的規(guī)定，企業(yè)違規(guī)可能會面臨高達2000萬歐元（約合人民幣1.28億元）或企業(yè)全球年收入的4%的罰款（取兩者中最高的）。除了高額罰款，歐盟數據保護機構（DPA）可在必要時采取糾正處罰，例如禁止處理數據，并對常見的數據處理活動實施臨時/確定性限制。因此，想要在歐洲市場立足的企業(yè)除了努力滿足合規(guī)外別無他法。

滿足 GDPR 的要求，企業(yè)到底需要重點了解哪些信息？

不少組織發(fā)現保障合規(guī)性遠比預期的要復雜。市場調查公司 Propeller Insights 的一項調查顯示，52%的受訪企業(yè)認為將面臨違規(guī)罰款。不過，只要小型企業(yè)在實施 GDPR 最佳實踐方面做出顯而易見實際努力，監(jiān)管機構就可能會"寬大處理"。不過，盡管如此，仍免不了高額罰款。因此，滿足 GDPR 的合規(guī)性可謂任重道遠。

一、數據控制者&數字處理者

按照 GDPR 第4條的第（7）點和第（8）點，數據控制者是能單獨或聯(lián)合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織，負責決定處理個人數據的目的和方式，不過具體標準應以歐盟或其成員國的法律予以規(guī)定；數字處理者指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。但是，有時難以確定某個實體到底屬于數據控制者還是處理者。

谷歌的復雜身份特例：

當涉及包括 AdMob、 AdSense、AdWords、AdX 和 DFP 在內的熱門廣告產品時，谷歌就是一個數據控制者；

當涉及使用 Google Analytics、Google attribution offering、Ads Data Hub和DoubleClick Bid Manager 等工具的消費者時，谷歌則是數據處理者；

對于使用谷歌廣告產品的廣告發(fā)布商而言，谷歌仍是其收集數據的共同控制者，但是這些發(fā)布商收集數據必須征得用戶同意。

二、個人數據及數據保護原則

根據 GDPR 的定義，是指任何指向一個已識別或可識別的自然人（“數據主體”）的信息。GDPR 拓寬了個人數據的范圍。按照 GDPR 界定的范圍，個人數據也包括數字指紋（例如 IP 地址和 Cookie）。除此之外，基因或生物識別數據也包含在“敏感數據”的范疇之內。

GDPR 明確提到個人敏感數據應受到高度保護，這些數據包含：個人的種族和族裔出身、政治觀點、宗教和哲學信仰、工會成員、基因數據、生物識別數據、健康數據、性生活或性取向信息以及犯罪記錄信息。而醫(yī)療機構通常須滿足更高標準的數據保護要求。

按照 GDPR 第5條（Art. 5）的規(guī)定，個人數據必須：

（a）以合法、公正、透明的方式處理與數據主體有關的（“合法性、公平性和透明性”）；

（b） 為特定的、明確的、合法的目的收集，并且不符合以上目的不得以一定的方式進行進一步的處理；為公共利益、科學，或歷史研究目的，或統(tǒng)計目的而進一步處理，按照第89條第（1）款，不應被視為不符合初始目的（“目的限制”）；

（c）充分、相關以及以該個人數據處理目的之必要為限度進行處理（“數據最小化”）；

（d）準確，必要，及時；為了個人數據被毫不延遲地處理、刪除或修正的目的，必須采取一切合理的步驟確保個人數據是不精確的（“精度”）；

（e）在不超過個人數據處理目的之必要的情形下，允許以數據主體以可識別的形式保存；為了保護數據主體的權利和自由，依據第89條（1）予以實施本法所要求的適度的技術和組織措施，只要個人數據將僅僅以為達到公共利益、科學或歷史研究或統(tǒng)計的目的而處理，個人數據能被長時間存儲（“存儲限制”）；

（f）以確保個人數據適度安全的方式處理，包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施（“完整性和機密性”）。

三、何時處理個人數據合法？

按照 GDPR 第6條的規(guī)定，處理個人數據須遵守以下六項法律依據：

1、數據主體同意他或她的個人數據為一個或多個特定目而處理；

2、處理是為履行數據主體參與的合同之必要，亦或處理是因數據主體在簽訂合同前的請求而采取的措施；

3、處理是為履行控制者所服從的法律義務之必要；

4、處理是為了保護數據主體或另一個自然人的切身利益之必要；

5、處理是為了執(zhí)行公共利益領域的任務或行使控制者既定的公務職權之必要；

6、處理是控制者或者第三方為了追求合法利益的之必要，但此利益被要求保護個人數據的數據主體的利益或基本權利以及自由覆蓋的除外，尤其是數據主體為兒童的情形下。（注：此項不適用于政府當局在履行其職責時進行的處理）

事先取得同意是企業(yè)合法處理歐盟公民個人數據的最重要前提條件。例如，當面臨 GDPR 的合規(guī)性時，Facebook 應設法取得同意，而非遵守數據最小化原則。

取得同意必須是可證實的，須與其它事項明確區(qū)分開來，且可撤回。值得注意的是，處理敏感數據須取得明確的同意。模糊或“一攬子同意”均被視為無效。企業(yè)須向數據主體呈現通俗易懂的語言表述，供其選擇是否同意對方處理個人數據。鑒于此，至少從理論上講，模糊不清、滿篇術語及長期性同意的請求將不復存在。

此外，沉默、預先勾選或不積極，均不構成有效的同意。當用戶需要勾選或通過電話同意時，這就屬于明確的選擇。

16周歲以下的未成年人不具有合法的同意權，但歐盟成員國可以將此年齡限制放寬到13周歲。

四、用戶控制權和用戶權利

GDPR 的其中一個目標是讓消費者掌控自己的數據，這項目標仍是一項重大挑戰(zhàn)。數據控制者須向數據主體通知其具有的如下權利：

主體訪問權

數據主體有權要求數據收集者或企業(yè)提供相關信息，包括使用的方法、數據內容以及誰有權訪問數據等信息。除非該請求存在特別的困難之處，否則數據收集者或企業(yè)需在30天內提供相關信息，可能包括績效評估、獎懲記錄、電腦訪問日志、求職面試、通話記錄和錄像片段。但是，所提供的信息不得包含任何其它員工的個人信息。

注意：這條規(guī)則涉及的數據不包括醫(yī)療記錄、與刑事司法和稅收相關的個人數據、與律師之間的保密通信、暴露當前管理問題的文件以及商業(yè)機密。此外，該項程序免費開展，但數據控制者仍有權收取費用或拒絕執(zhí)行過多及毫無根據的請求。

反對權

數據主體有權基于與其特定情況有關的理由，在任何時候依據第6條第1款（e）項或（f）項拒絕有關其的個人數據被處理，包括根據這些規(guī)定進行概況分析?？刂普卟坏迷偬幚碓搨€人數據，除非控制者證明其有關（數據）處理的強制性法律依據優(yōu)先于數據主體的利益、權利和自由，或者為了設立、行使或捍衛(wèi)其合法權利。除此之外，數據主體還可反對僅基于自動決策而制定的具有重大影響的決策。

Crowd Research 的一份調查報告顯示，三分之一的組織機構報告稱，他們無法向用戶解釋其算法如何在自動處理的背景下做出決策。

糾正/刪除的權利

在用戶數據不完全或不正確的情況下，數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據?？紤]到處理的目的，數據主體應當有權使不完整的個人數據完整，包括通過提供補充聲明的方式。

限制權

如果處理程序與GDPR要求的數據保護措施不符，數據主體可要求限制處理他們的個人數據。

擦除權（又稱被遺忘權）

這是 GDPR 的一條標志性規(guī)定。在用戶數據不完全或不正確的情況下，數據主體有權要求控制者無不當延誤地刪除有關其的個人數據。如收集個人數據的目的變得毫無必要或同意被撤回，數據主體可要求刪除數據。

據 Solix 公司的一項調查顯示，約三分之二的受訪者承認其不知道如何實施“被遺忘權”，其原因在于他們不確定是否可以永久清除用戶的個人數據。

轉移數據的權利

數據主體可向數據控制者提交請求，要求對方以機器可讀的形式整理他們的個人數據，以便將這些數據轉移給其它控制者。如果用戶希望更換數據控制者，他們可通過數據可讀的形式簡單重用這些數據，例如，用戶希望轉移數據更換電信服務。

GDPR 合規(guī)建議

（一）、全面了解數據

要確保企業(yè)在滿足 GDPR 合規(guī)方面不出現問題，企業(yè)最好組建一個由律師、IT 技術人員和數據安全專家組成的團隊。這支團隊需弄清楚：

正在處理什么數據？

數據存儲在哪里？

處理過程如何？

對數據進行全面分析，包括數據所屬類別、處理數據的法律依據、處理數據的方法、訪問數據的實體以及安全措施。

組織機構的所有計劃和政策，例如，數據保護計劃、自帶設備（BOYD）政策、事件響應計劃和業(yè)務連續(xù)性計劃，且必須符合 GDPR 的要求。例如，大多數員工獲許在工作用設備上安裝個人應用程序。如果此類應用程序會訪問并存儲個人數據，且企業(yè)未部署任何措施來滿足 GDPR 合規(guī)，結果可能會事與愿違。因此，企業(yè)有必要優(yōu)化 BOYD 政策。

對供應商進行調查，以了解對方的安全政策和重要措施以及供應商訪問哪些用戶的數據。部分供應商可能會獲取非必需數據（例如 IP 詳細信息），這能幫助它全面了解其用戶的瀏覽習慣。然而，修改合同以及維系與供應商的關系是一個相當耗時的過程。

企業(yè)必須描述用戶數據相關的流程，例如內容管理、用戶注冊、商業(yè)智能和分析流程。此外，企業(yè)還須報告 GDPR 合規(guī)進度。根據GDPR 第30條的規(guī)定，企業(yè)必須記錄處理活動（RoPA），以便進行示范。從本質上講，這就相當于要求清點存在風險的應用程序。

（二）、風險評估

企業(yè)不僅要了解存儲的數據，還要了解其中的風險，尤其應了解可能收集和存儲個人數據的“影子 IT”。為有效滿足合規(guī)，風險評估還應提出旨在緩解現有風險的技術。

Snow Software 公司高級副總裁麥特·費舍爾（Matt Fisher）在提供風險評估相關建議時表示，組織機構首先必須要全面了解整個 IT 基礎設施，并清點所有的應用程序。然后再結合對可處理個人數據應用程序的見解，進而降低項目范圍及花費在這上面的時間。

從邏輯上講，企業(yè)應在風險識別之后啟動風險緩解程序，數據處理活動必須符合 GDPR 的數據保護原則。

（三）、尊重用戶權利，并賦予用戶控制權

企業(yè)應有效處理客戶的投訴和疑問，尤其是那些與條例中規(guī)定的數據主體權利相關的投訴和疑問。

按照 GDPR 的規(guī)定，數據控制者必須向用戶提供取消所有通信的選項，為用戶提供控制權和退出通信的選項，如在“訂閱”旁邊提供“取消訂閱”的選擇框。

（四）、保持透明度

監(jiān)管機構高度重視透明性，例如，在條款、條件和隱私政策中提供引入注目的鏈接。

（五）、采用默認提供數據保護的組織和技術措施

某些安全措施和技術必須部署在產品/服務的最初開發(fā)階段。加密和假名化（pseudonymization）技術是此類措施的常見技術。此外，這些安全措施和技術還允許開發(fā)人員在實踐中應用核心數據保護原則，比如數據最小化原則。

（六）、盡快解決數據泄露問題

GDPR 規(guī)定，數據處理者對數據泄露或不合規(guī)行為負有責任。在發(fā)生危及歐盟公民個人信息的安全事件后72小時之內，企業(yè)須上報歐盟數據保護機構。按照GDPR第33（2）條的規(guī)定，意識到個人數據泄露后，數據處理器者當立即通知數據控制者。

事實表明，大多數數據泄露事件是第三方發(fā)現的，例如客戶或執(zhí)法機構。事件響應計劃和業(yè)務連續(xù)性計劃可幫助企業(yè)遵守 GDPR 有關數據泄露的義務。

（七）、任命數據保護官（DPO）

小企業(yè)通常缺乏資源或專業(yè)知識來滿足該條例。缺乏具有 GDPR 合規(guī)經驗的工作人員以及預算不足是部分原因所在。此外，員工往往會低估滿足 GDPR 合規(guī)所需的努力和時間。IT 和信息安全團隊通常有責任使其組織滿足 GDPR 的合規(guī)要求，但 GDPR 條例并未限制 DPO 只為某個特定組織工作。DPO 可為多個組織機構提供相關服務。

DPO 的主要職責是負責對數據保護工作進行定期及系統(tǒng)性監(jiān)測，同時負責內部教育、培訓以及合規(guī)性審計事務。此人還將負責企業(yè)與 GDPR 監(jiān)管當局之間的溝通以及與數據主體間的交互。此要求適用于一切擁有高度敏感數據，或處理及/或存儲大量歐盟個人數據的組織，無論這些主體是否屬于組織外的員工或個人。

處理或存儲大量個人數據、定期監(jiān)控公民或公共部門的企業(yè)須指定一名 DPO，指導并監(jiān)督整個安全策略和 GDPR 合規(guī)性。

據Ovum 一份報告反映，85%的美國企業(yè)擔心 GDPR 會讓它們在歐洲同行中處于競爭劣勢。許多消費者表示，他們將不會容忍個人數據被粗心處理的行為。RSA 數據隱私與安全報告顯示，62%的消費者會責怪存儲數據的企業(yè)，而不是網絡犯罪分子，其原因在于數據主體不清楚企業(yè)如何處理自己的數據。隨著消費者日益了解情況，他們希望數據管理者更加透明并提高響應能力。

事實表明，大多數數據泄露事件是第三方發(fā)現的，例如客戶或執(zhí)法機構。事件響應計劃和業(yè)務連續(xù)性計劃可幫助企業(yè)遵守 GDPR 有關數據泄露的義務。