我國企業應對歐盟GDPR的幾點建議

■ 賽迪智庫

GDPR被稱為史上最嚴格的數據保護立法。GDPR的嚴格主要體現在對個人權利的細致保護，以及對違法行為的高昂處罰。如此嚴苛的隱私保護條例和高額的罰款會讓部分企業直接退出歐洲市場，但是退出歐洲市場并不是長久之計，同時也違背了個人信息保護的原則。

我國企業應如何應對GDPR，提出以下幾點建議。

1.培養個人信息安全保護的戰略意識。積極組織專題宣傳培訓和研討交流活動，在執法檢查過程中加強監督引導，將個人信息安全保護作為占有市場和增強用戶黏性的戰略舉措。采取閉環管理的理念，在設計系統架構之初就應該把安全因素納入架構設計范圍，變被動為主動，逐步培養起安全與發展并重的良性大數據產業生態環境。鼓勵企業與監管認證機構建立長期合作伙伴關系，為其信息安全管理提供全方位的咨詢和服務，尤其加強對企業技術負責人、重點崗位員工的個人信息保護培訓。

2.建立健全的個人信息保護制度。更新隱私聲明，確保企業的隱私聲明符合GDPR的所有規定。尤其是與相關供應商和合作伙伴方面涉及到個人隱私方面的隱私聲明不僅要與合作伙伴進行及時溝通，而且還要符合條例的相關約束；建立數據保護官制度，GDPR規定擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定數據保護官（DPO）。這根據他們是否處理敏感數據的情況而定，擁有少于250名員工的組織可能也需要指定DPO；理清義務責任和違規風險點，加強數據安全監管，參照《個人信息保護規范》等國家標準完善數據監管制度措施，其中包括數據收集、使用和監管等，并在此基礎上按照GDPR要求補齊短板。

3.建立合理的個人信息保護應急機制。設立安全檢查專員，對安全事件進行應急處理、分析、調查、跟蹤、總結和事后教育，進行安全事件的分析調查與數據提供，制定信息安全日常工作匯報等相關文檔；建立風險管理制度，結合實際工作，總結個人信息保護風險，并定期進行應急預案演練；時刻關注有關國家的最新動態，做好對歐貿易政策的跟蹤和分析，及時將重要信息反饋給有關部門。

4.加快創新服務模式和安全技術。創新服務模式，規避法律風險，改變簡單依靠搜集個人信息并不加處理直接利用的商業模式，圍繞數據全生命周期各階段需求，發展數據采集、清洗、分析、交易、安全防護等技術服務，培育數據服務新模式和新業態。加強信息安全技術產品研發，重點研究大數據環境下的統一賬號、認證、授權和審計體系及信息加密和密級管理體系，推廣防泄露、防竊取、匿名化等信息保護技術，研發信息安全保護產品和解決方案，通過技術措施降低合規成本。