你準(zhǔn)備好迎接歐盟通用數(shù)據(jù)保護(hù)法了嗎

去年《經(jīng)濟(jì)學(xué)人》的一期封面文章稱，如今全球最寶貴的資源不再是石油，而是數(shù)據(jù)。足以可見，大數(shù)據(jù)時(shí)代數(shù)據(jù)對(duì)于企業(yè)來說蘊(yùn)藏著巨大的商業(yè)價(jià)值。但就在各大公司紛紛開展數(shù)據(jù)業(yè)務(wù)、瘋狂“攫取”數(shù)據(jù)資源時(shí)，有關(guān)公民個(gè)人隱私數(shù)據(jù)泄露的新聞卻此起彼伏。前有社交平臺(tái)Facebook泄露五千萬數(shù)據(jù)，趣店數(shù)據(jù)遭遇內(nèi)鬼外泄，后有YouTube被指控泄露兒童數(shù)據(jù)隱私，大眾點(diǎn)評(píng)網(wǎng)泄露客戶行蹤。許多知名互聯(lián)網(wǎng)企業(yè)屢次被曝泄露用戶信息或侵犯?jìng)€(gè)人隱私，而這些平臺(tái)就像開了無數(shù)“后門”，成為威脅個(gè)人隱私的罪魁禍?zhǔn)住Ｊ腔ヂ?lián)網(wǎng)的光芒照耀下個(gè)人隱私真的“無處躲藏”？還是某些企業(yè)暗藏濫用用戶信息牟利的私心？

2018年5月25日，史上最嚴(yán)的《歐盟通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation 簡稱GDPR）正式施行。盡管它的目的是保護(hù)消費(fèi)者個(gè)人數(shù)據(jù)避免濫用，但這項(xiàng)法案無疑對(duì)企業(yè)有著深遠(yuǎn)的影響。因?yàn)槿绻髽I(yè)不好好處理的話，它們將面臨非常復(fù)雜的訴訟官司以及巨額罰款。

GDPR是什么？

歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）整合了隱私保護(hù)指令、電子通信隱私保護(hù)指令、及歐盟公民權(quán)利指令，歷經(jīng)四年討論于2016年4月27日由歐洲議會(huì)通過。該條例旨在保護(hù)歐盟和歐洲經(jīng)濟(jì)區(qū)域內(nèi)的個(gè)人數(shù)據(jù)隱私。

GDPR由各國政府強(qiáng)制執(zhí)行，目的就是通過加強(qiáng)執(zhí)法和增加違規(guī)罰款，讓消費(fèi)者掌控自己的個(gè)人數(shù)據(jù)。盡管條例已經(jīng)于2016年通過，但關(guān)于該條例的新聞報(bào)道從2018年后才開始增加。這主要是因?yàn)闅W盟給予了企業(yè)兩年過渡期，讓它們慢慢為2018年5月25日的正式全面實(shí)施做好充足準(zhǔn)備。

無論是法人還是自然人，也不管公司規(guī)模大小以及擁有歐洲居民個(gè)人數(shù)據(jù)多少，只要企業(yè)的核心業(yè)務(wù)直接或間接和歐洲居民的個(gè)人數(shù)據(jù)搜集、處理和利用相關(guān)，那么從2018年5月25日后，都必須及時(shí)調(diào)整，以便能夠符合GDPR對(duì)于個(gè)人數(shù)據(jù)保護(hù)的規(guī)范和要求。

在這項(xiàng)法案中，個(gè)人信息是指“與已識(shí)別或可識(shí)別的自然人有關(guān)的任何信息；可識(shí)別的自然人是指可以直接或間接識(shí)別的人?！边@里的“任何信息”不僅包括直接信息（姓名、住址、電話號(hào)碼等），還包括網(wǎng)絡(luò)信息（ip地址、cookies等）和間接信息（包括所有可追溯至某一特定個(gè)人的生理、心理、基因、文化等特征）。根據(jù)GDPR的規(guī)定，企業(yè)必須：

明確披露已收集的任何數(shù)據(jù)；

聲明他們將如何使用這些數(shù)據(jù)，以及使用這些數(shù)據(jù)的合法依據(jù)和意圖；

披露數(shù)據(jù)將被保留多長時(shí)間；

是否會(huì)被任何第三方或歐盟以外的國家共享。

公民除了行使“被遺忘權(quán)”，即他們有權(quán)要求在某些情況下刪除他們的個(gè)人數(shù)據(jù)，還有權(quán)要求對(duì)已收集的任何數(shù)據(jù)進(jìn)行便攜式復(fù)制。即用戶可隨時(shí)查看、修改、移動(dòng)、刪除數(shù)據(jù)，并要求企業(yè)開具數(shù)據(jù)備份及數(shù)據(jù)使用方式。同時(shí)，用戶也擁有隨時(shí)取消授權(quán)和抗議的權(quán)利。當(dāng)獲取數(shù)據(jù)時(shí)所述的目的不再適用或用戶不再允許企業(yè)使用該數(shù)據(jù)，GDPR規(guī)定企業(yè)必須刪除用戶信息，同時(shí)將用戶的數(shù)據(jù)清除請(qǐng)求告知第三方處理機(jī)構(gòu)。

GDPR建立了嚴(yán)格的處罰機(jī)制。如果企業(yè)違反了GDPR的規(guī)定，監(jiān)管部門可以對(duì)其處以高達(dá)全球營業(yè)額4%的罰款。

這對(duì)企業(yè)意味著什么？企業(yè)又需要采取什么行動(dòng)呢？

雖然這只是歐盟頒發(fā)的一部法律，但是總部設(shè)在全球任何其它地方但在歐盟設(shè)有分支機(jī)構(gòu)的企業(yè)，以及向歐盟公民提供數(shù)字商品和服務(wù)的任何企業(yè)，都將受到這一規(guī)定的影響。

對(duì)企業(yè)來講，雖然GDPR的實(shí)施看起來似乎是一種行政負(fù)擔(dān)，但如果處理得當(dāng)，它其實(shí)可以作為品牌建設(shè)的組成部分，成為企業(yè)最有利的競(jìng)爭(zhēng)優(yōu)勢(shì)。而對(duì)消費(fèi)者來說，增加透明度是一種建立信任的方式。據(jù)一項(xiàng)調(diào)查結(jié)果顯示，73%的消費(fèi)者認(rèn)為易于閱讀的隱私政策會(huì)增加他們對(duì)公司在保護(hù)個(gè)人信息方面的信任。企業(yè)主動(dòng)保護(hù)用戶隱私的話，用戶更有可能與企業(yè)保持長期關(guān)系。我們需要采取風(fēng)險(xiǎn)導(dǎo)向型的方法，采取積極的措施和計(jì)劃，防止濫用用戶的個(gè)人信息。企業(yè)在證明其遵守法例時(shí)須考慮以下五項(xiàng)措施：

采取“隱私設(shè)計(jì)”（Privacy by Design）理念，即在整個(gè)過程中考慮隱私，將保護(hù)隱私的概念設(shè)計(jì)融入其產(chǎn)品，而不再完全依賴那些沒人愿意讀的隱私政策。

進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估（Data Protection Impact Assessment），識(shí)別并管理風(fēng)險(xiǎn)。

制定內(nèi)部政策或指導(dǎo)方針，規(guī)劃出保持合規(guī)所需的行動(dòng)計(jì)劃。

任命一名數(shù)據(jù)保護(hù)官（Data Protection Officer）監(jiān)督、實(shí)施和就GDPR的遵守情況提出建議。

保存數(shù)據(jù)處理活動(dòng)的記錄。

為了評(píng)估公司的操作程序是否需要調(diào)整以符合GDPR，企業(yè)應(yīng)檢查其現(xiàn)有的數(shù)據(jù)管理程序。對(duì)于那些已經(jīng)擁有了嚴(yán)格程序，部分完成了GDPR要求的企業(yè)來說，這避免了可能的重復(fù)工作。一旦評(píng)估了程序，就有必要對(duì)隱私專員的要求與現(xiàn)有要求進(jìn)行差距分析，以確定下一步應(yīng)采取什么步驟，以及實(shí)施起來所需的資源。在此基礎(chǔ)上，企業(yè)應(yīng)制定出內(nèi)部合規(guī)戰(zhàn)略，列出所有必要步驟和所需人員。該戰(zhàn)略應(yīng)根據(jù)公司提供的商品服務(wù)性質(zhì)以及經(jīng)營規(guī)模進(jìn)行調(diào)整，以便實(shí)施最有效和最具成本效益的程序。為了表明企業(yè)對(duì)合規(guī)的承諾，還可以制定全公司范圍內(nèi)的數(shù)據(jù)處理和管理政策，作為內(nèi)部和外部使用的交流工具。

編輯|胡文娟 wenjuan.hu@wtoguide.net