GDPR正式實施 中國企業該如何應對

郭濤

就在幾天前，Facebook CEO扎克伯格啟程去歐盟“道歉”了。試想，如果歐盟的《通用數據保護條例》（GDPR）在“臉書門”爆發之前便已生效，Facebook會不會被罰得“傾家蕩產”？

2018年5月25日，GDPR正式生效。之前，各大安全和數據保護廠商以及媒體等都在“打預防針”，甚至將GDPR稱為“史上最嚴數據保護條例”，因為一旦有企業觸碰紅線，罰款范圍是1000萬到2000萬歐元，或者企業全球年營業額的2%到4%。

就在5月24日，“歐盟GDPR的影響與應對”高峰論壇在北京舉行，相關專家、企業代表等近兩百人就GDPR實施將引發的熱點問題進行探討。

據悉，歐盟之所以頒布這一新規，主要考慮：為歐盟公民提供更多使用自己的個人資料的權力；加強數字服務提供者與他們所服務的人之間的信任；為企業提供明確的法律框架，通過在歐盟單一市場上制定統一的法律來消除任何區域差異。GDPR不僅將適用于所有歐盟的企業，而且那些與歐盟做生意的企業也要遵守。當前，中國企業正涌起一股“出海潮”，不可避免會與歐盟的企業打交道。那么中國企業對GDPR到底了解多少？

GDPR是懸在頭上的劍

記者的一位朋友在一家知名外企從事市場方面的工作。在得知記者準備寫一篇關于GDPR的文章，他極為關注。“GDPR和你的工作有關系嗎？”記者漫不經心地在微信中問了一句。“關系重大！我們在市場方面所有的數據都要符合GDPR的要求。”朋友這樣回答。

中國的企業們聽到了嗎？GDPR真不是鬧著玩的。安全廠商Sophos去年下半年曾在英國針對企業的IT決策者做過一項調查：超過半數的企業承認對GDPR及其可能引發的財務風險并不了解。距歐盟如此之近的英國尚且如此，中國企業的情況更不容樂觀。

GDPR的官方網站（www.gdpreu.org/compliance/fines-and-penalties/）顯示，GDPR開始實施后，數據泄露將不再是企業聲譽受損或營業額下降這么簡單，違反 GDPR，輕者將被處以1000萬歐元或者上一年度全球營收2%的罰款，兩者取其高；重者將被處以2000萬歐元或者企業上一年度全球營業收入4%的罰款，兩者取其高。決定罰金有十大標準，包括侵權的性質、意圖、緩解措施、預防性措施、歷史、合作、數據類型、通知、認證及其他。

Sophos的調查數據顯示，超過25%的企業聲稱，如此重罰會讓他們徹底倒閉（如果企業規模不足50人，將有超過一半的企業受罰后會關閉）；40%的IT決策者表示，如果遭罰，裁員將不可避免。

GDPR可謂懸在企業頭頂上的一把利劍。我們很多人都有類似的“慘痛”經歷：每天被各種“買房嗎”“買基金嗎”的電話騷擾；信用卡從未離身，錢卻被一筆筆地盜刷；個人身份信息、照片甚至飯店的住宿記錄在網上就可以被輕易查到……可能我們大多數人還沒有遭受因信息泄露而導致的巨額經濟損失，所以也就這樣默默忍受了，但是信息泄露終究是一個巨大的隱患，隨時可能被引爆。GDPR的巨額罰款不是最終目的，與其亡羊補牢，不如提早進行保護和防御。一句話，我們必須繃緊信息保護這根弦了。GDPR也許正是個轉變的信號和契機。

滿足GDPR也不是那么難

Commvault公司將GDPR對數據保護提出的相關要求歸納為三點：第一，正確地使用數據；第二，確保數據的訪問安全；第三，保證數據的可用性。

GDPR要求企業將更大范圍的數據納入到數據管理體系中，特別是那些企業邊緣的個人數據，而且不僅要保證數據的可用性，更需要對數據具有足夠的洞察力以確保合規。高效、簡化、統一地實現數據保護的需求，將是每個企業面臨的挑戰。

要滿足這么多關于數據保護的新要求，企業有可能為此要設置新的工作崗位、招聘相應的人才等。“企業的GDPR合規之路何其漫長。鑒于其重要性和長遠影響，企業高管確實應該從現在開始分步驟地進行規劃，以降低風險，杜絕后患。”Sophos公司中國區總經理鐘明輝表示。

其實，降低風險也并不像想象中那樣復雜，只要企業把該做的都做到位就可以在很大程度上防范數據泄露，比如確保所有操作系統和軟件更新至最新版本，對敏感數據實施加密，教育所有員工有關網絡釣魚和其他社交工程網絡攻擊的風險。此外，還要部署一個有效的防病毒和相關惡意軟件解決方案，以減少因黑客攻擊和惡意軟件造成的違規風險。

下決心易，付諸行動難。很多時候，如果沒有法律強制要求采取行動，可能很難促使企業花費精力和金錢去整合數據，更遑論實施嚴格的數據保護。從這個角度說，GDPR來得很及時。

三未信安的一位專家表示，GDPR重點是保護個人隱私數據，企業信息系統必須采取技術和管理的措施，滿足保護個人隱私數據的要求。作為技術領先的密碼產品和數據安全方案供應商，三未信安可以為企業提供基于密碼技術的信息安全解決方案，包括具有數據全生命周期加密保護的系列產品，能夠幫助企業達到GDPR的要求。

中國企業不能置身事外

可能有的中國企業會說，GDPR是適用于歐盟企業的，中國企業或許可以“置身事外”。世界早就是個地球村，在中國開展業務的企業，很可能明天就要走向國際。中國企業在歐洲提供服務肯定要遵守該條例。更具體的說，在歐盟成員國有法人實體的公司，以及在歐盟沒有設立實體公司，但因為業務關系而持有歐盟居民個人資料的公司都“籠罩”在GDPR之下。中國企業只要在歐盟成員國境內開展業務，就必須保護歐盟成員國民眾的個人資料與隱私，即使公司業務范圍不在歐盟境內，但只要公司有任何來自歐盟成員國的客戶，都必須遵守GDPR，一旦違反，將面臨嚴厲的處罰。

GDPR經歷了四年的討論才獲得歐盟批準并于5月25日正式實施。其條款詳盡復雜，可以說是歐美截至目前最嚴格的一部關于個人數據保護的條例。它把信息安全中關于隱私保護的范疇和重要性提升到一個前所未有的高度。綠盟科技認為，GDPR對于世界各國政府制訂或修訂自己國內的個人信息保護法規具有積極的參考意義。我國2018年5月1日正式實施的《信息安全技術 個人信息安全規范》標準在編制過程中也參考了GDPR。中國企業應該認真研讀GDPR、《信息安全技術 個人信息安全規范》等條例和規范，或咨詢第三方機構，并投入相應資源以滿足條例和規范的監管要求。

GDPR的影響力將輻射全球。Veritas 2017 GDPR報告顯示，全球47%的企業都擔心無法趕在GDPR條例生效之前滿足合規要求。更令人擔憂的是，只有31%的企業認為他們達到了GDPR的要求。

Veritas公司大中華區總裁楊晨告訴記者，很多企業并不十分了解企業內部數據的管理權歸屬。企業高管常常認為CIO是負責GDPR的關鍵人物，而CIO又認為這是高管的職責。公平地說，這需要多個職能部門的配合。企業需要在創建合規和數據治理文化時，徹底改變思維模式。確保GDPR合規性不只是CIO一個人的職責，而是需要所有部門的共同努力。Veritas今年發布的《全球消費者數據隱私報告》顯示，90%的中國消費者會聯合親朋好友共同抵制未能保護個人數據的企業，88%的消費者聲稱會向監管機構舉報泄漏隱私的企業。有趣的是，消費者也會“獎勵”妥善保護個人數據的公司。91%的中國消費者就表示，他們更愿意向個人數據有保障的可靠公司購買更多產品或服務。

中國的個人消費者都行動起來了，那么中國的企業呢？記者也采訪了幾家國內的公有云服務商，他們是業務國際化的先鋒，但他們對GDPR的問題諱莫如深，不愿置評。

總而言之，企業應該將GDPR視為一種新機制，并以此為原則，負責任地使用和管理企業數據，同時更要負責地對待客戶和供應商。GDPR的重要性和深遠影響力更體現在，它不僅可以促進企業建立遵守數據隱私法規的文化，還能幫助企業贏得更多信任，增進與消費者之間的互信。

GDPR早就應該來了！