欧盟一般数据保护条例箭在弦上

被称为“史上最严数据保护条例”“大数据时代的最强法规”的GDPR将于25日实施，这为全球企业数据保护工作敲响了警钟。极为严苛的罚金制度、事无巨细的数据安全条例令中国企业也感到了前所未有的危机感。“如果企业完全按照GDPR条例来工作，开展海外业务的难度将大大增加，这甚至关系到企业在欧盟市场的存亡。”一家中企负责人对记者表示。

“GDPR与之前的数据保护规则相比，数据主体权利更大、对数据控制者问责更严，企业一定要重视起来。”在国际商会中国国家委员会数字经济委员会日前举办的中国企业应对GDPR研讨会上，Ecovis北京创始人、德国律师霍毅（Richard Hoffmann）指出，GDPR的目标包括自然人个人数据的保护、数据在欧盟内部的有序流动、自然人的基本权利和自由。

据了解，GDPR的保护对象主要包括个人数据和特殊数据。一般来讲，个人数据包括任何指向一个已识别或可识别自然人的信息。如姓名、地址、邮箱、手机号码、身份证号码、工资、受教育程度等。而特殊数据包括政治观点、宗教信仰、生物特征、基因数据、性取向等。同时，数据处理手段和数据处理原则也涵盖其中。GDPR对数据的保护贯穿信息咨询、采集、记录、使用、传输披露、传播、排列组合、限制、删除、销毁等全过程。要求企业对自己行为能够负责、能证明每一个相关行为的合规性，并根据要求与监督机构进行合作。

“如要求企业在处理个人信息时公平公正，不应有偏颇或歧视。个人信息处理的方式或流程应具有透明性，使当事人可以知悉相关资讯。”毕马威管理咨询服务总监肖腾飞表示。

GDPR欲保护隐私与信息自主等基本人权，因此对当事人的权利形式十分重视。数据拥有者具有数据访问、纠正、删除、限制处理、反对、数据移植、特定情形下的同意撤销权、向监督机构投诉等一系列权利。

同时，GDPR对上述权利的保护范围也很广。“在中国，一个人在会场上为同事拍照，并发到社交媒体上是很自然的事。但GDPR实施后，必须要经过该同事同意才能上传，否则将面临被控告的风险。”霍毅表示，一个企业在任何地方、不论规模大小，如果数据库里含有欧盟公民的信息，且不管欧盟公民身在何处，该企业均受GDPR条例的约束。

肖腾飞对这一观点表示赞同。“GDPR除了适用于在欧盟设立企业或分支机构处理个人信息的企业，也适用于虽然未在欧盟设立实体公司但在欧盟境内外处理个人信息的企业，只要企业处理个人信息时涉及提供货物/服务给欧盟居民或监测欧盟居民在欧盟境内行为，都归GDPR规范。”他说。

肖腾飞指出，对于数据跨境传输问题，GDPR要求原则上禁止、例外情况允许。出现将数据传输至保护程度与欧盟相当的国家，已对数据采取适当保护措施，同时符合当事人同意、执行契约必须要求等因素时才被允许。

霍毅建议，企业应令员工接受相关培训、在收集数据环节取得提供数据的客户/合作伙伴的同意、处理数据时要合法合规、必要时委任数据保护专员进行处理。

GDPR即将生效，除了将会给企业带来更多的法定义务外，也可能带来机遇。据凯捷数字化转型研究院日前发布的最新报告显示，GDPR将正式生效，但85%的欧美企业未能在生效日期前按时完成数据合规工作。此外，25%的企业将无法在今年年底实现全面合规。报告指出，那些在生效日前达成合规，并重视合规以及消费者数据透明投资的企业已初见回报。对能够保护消费者个人数据并获得其信任的企业，39%的消费者增加了在该企业的消费，购买该企业更多产品。40%的消费者增加了与该企业的交易频次，多达数次甚至形成了定期交易。

“在GDPR出台前，微软、Facebook受到的相关处罚已超过1000万欧元。由此可见，欧盟对数据保护都非常重视，执法严格，并非虚张声势。我国企业应高度关注，并做好投入一定成本的准备。”肖腾飞认为，在此大趋势下，企业做好数据保护，可以把握增收良机，创造更多的商业价值。