滿足GDPR的要求，企業(yè)到底需要重點(diǎn)了解哪些信息？

5月29日訊 歐盟《通用數(shù)據(jù)保護(hù)條列》（簡稱 GDPR）于2018年5月25日正式生效。英國一份政府調(diào)研顯示，只有38%的英國公司在 GDPR 生效前100天才開始關(guān)注該條例，許多美國公司也一樣。

按照 GDPR 的規(guī)定，企業(yè)違規(guī)可能會面臨高達(dá)2000萬歐元（約合人民幣1.28億元）或企業(yè)全球年收入的4%的罰款（取兩者中最高的）。除了高額罰款，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)（DPA）可在必要時采取糾正處罰，例如禁止處理數(shù)據(jù)，并對常見的數(shù)據(jù)處理活動實(shí)施臨時/確定性限制。因此，想要在歐洲市場立足的企業(yè)除了努力滿足合規(guī)外別無他法。

滿足 GDPR 的要求，企業(yè)到底需要重點(diǎn)了解哪些信息？

不少組織發(fā)現(xiàn)保障合規(guī)性遠(yuǎn)比預(yù)期的要復(fù)雜。市場調(diào)查公司 Propeller Insights 的一項(xiàng)調(diào)查顯示，52%的受訪企業(yè)認(rèn)為將面臨違規(guī)罰款。不過，只要小型企業(yè)在實(shí)施 GDPR 最佳實(shí)踐方面做出顯而易見實(shí)際努力，監(jiān)管機(jī)構(gòu)就可能會"寬大處理"。不過，盡管如此，仍免不了高額罰款。因此，滿足 GDPR 的合規(guī)性可謂任重道遠(yuǎn)。

一、數(shù)據(jù)控制者&數(shù)字處理者

按照 GDPR 第4條的第（7）點(diǎn)和第（8）點(diǎn)，數(shù)據(jù)控制者是能單獨(dú)或聯(lián)合決定個人數(shù)據(jù)的處理目的和方式的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織，負(fù)責(zé)決定處理個人數(shù)據(jù)的目的和方式，不過具體標(biāo)準(zhǔn)應(yīng)以歐盟或其成員國的法律予以規(guī)定；數(shù)字處理者指為數(shù)據(jù)控制者處理個人數(shù)據(jù)的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。但是，有時難以確定某個實(shí)體到底屬于數(shù)據(jù)控制者還是處理者。

谷歌的復(fù)雜身份特例：

當(dāng)涉及包括 AdMob、 AdSense、AdWords、AdX 和 DFP 在內(nèi)的熱門廣告產(chǎn)品時，谷歌就是一個數(shù)據(jù)控制者；

當(dāng)涉及使用 Google Analytics、Google attribution offering、Ads Data Hub和DoubleClick Bid Manager 等工具的消費(fèi)者時，谷歌則是數(shù)據(jù)處理者；

對于使用谷歌廣告產(chǎn)品的廣告發(fā)布商而言，谷歌仍是其收集數(shù)據(jù)的共同控制者，但是這些發(fā)布商收集數(shù)據(jù)必須征得用戶同意。

二、個人數(shù)據(jù)及數(shù)據(jù)保護(hù)原則

根據(jù) GDPR 的定義，是指任何指向一個已識別或可識別的自然人（“數(shù)據(jù)主體”）的信息。GDPR 拓寬了個人數(shù)據(jù)的范圍。按照 GDPR 界定的范圍，個人數(shù)據(jù)也包括數(shù)字指紋（例如 IP 地址和 Cookie）。除此之外，基因或生物識別數(shù)據(jù)也包含在“敏感數(shù)據(jù)”的范疇之內(nèi)。

GDPR 明確提到個人敏感數(shù)據(jù)應(yīng)受到高度保護(hù)，這些數(shù)據(jù)包含：個人的種族和族裔出身、政治觀點(diǎn)、宗教和哲學(xué)信仰、工會成員、基因數(shù)據(jù)、生物識別數(shù)據(jù)、健康數(shù)據(jù)、性生活或性取向信息以及犯罪記錄信息。而醫(yī)療機(jī)構(gòu)通常須滿足更高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)要求。

按照 GDPR 第5條（Art. 5）的規(guī)定，個人數(shù)據(jù)必須：

（a）以合法、公正、透明的方式處理與數(shù)據(jù)主體有關(guān)的（“合法性、公平性和透明性”）；

（b） 為特定的、明確的、合法的目的收集，并且不符合以上目的不得以一定的方式進(jìn)行進(jìn)一步的處理；為公共利益、科學(xué)，或歷史研究目的，或統(tǒng)計(jì)目的而進(jìn)一步處理，按照第89條第（1）款，不應(yīng)被視為不符合初始目的（“目的限制”）；

（c）充分、相關(guān)以及以該個人數(shù)據(jù)處理目的之必要為限度進(jìn)行處理（“數(shù)據(jù)最小化”）；

（d）準(zhǔn)確，必要，及時；為了個人數(shù)據(jù)被毫不延遲地處理、刪除或修正的目的，必須采取一切合理的步驟確保個人數(shù)據(jù)是不精確的（“精度”）；

（e）在不超過個人數(shù)據(jù)處理目的之必要的情形下，允許以數(shù)據(jù)主體以可識別的形式保存；為了保護(hù)數(shù)據(jù)主體的權(quán)利和自由，依據(jù)第89條（1）予以實(shí)施本法所要求的適度的技術(shù)和組織措施，只要個人數(shù)據(jù)將僅僅以為達(dá)到公共利益、科學(xué)或歷史研究或統(tǒng)計(jì)的目的而處理，個人數(shù)據(jù)能被長時間存儲（“存儲限制”）；

（f）以確保個人數(shù)據(jù)適度安全的方式處理，包括使用適當(dāng)?shù)募夹g(shù)或組織措施來對抗未經(jīng)授權(quán)、非法的處理、意外遺失、滅失或損毀的保護(hù)措施（“完整性和機(jī)密性”）。

三、何時處理個人數(shù)據(jù)合法？

按照 GDPR 第6條的規(guī)定，處理個人數(shù)據(jù)須遵守以下六項(xiàng)法律依據(jù)：

1、數(shù)據(jù)主體同意他或她的個人數(shù)據(jù)為一個或多個特定目而處理；

2、處理是為履行數(shù)據(jù)主體參與的合同之必要，亦或處理是因數(shù)據(jù)主體在簽訂合同前的請求而采取的措施；

3、處理是為履行控制者所服從的法律義務(wù)之必要；

4、處理是為了保護(hù)數(shù)據(jù)主體或另一個自然人的切身利益之必要；

5、處理是為了執(zhí)行公共利益領(lǐng)域的任務(wù)或行使控制者既定的公務(wù)職權(quán)之必要；

6、處理是控制者或者第三方為了追求合法利益的之必要，但此利益被要求保護(hù)個人數(shù)據(jù)的數(shù)據(jù)主體的利益或基本權(quán)利以及自由覆蓋的除外，尤其是數(shù)據(jù)主體為兒童的情形下。（注：此項(xiàng)不適用于政府當(dāng)局在履行其職責(zé)時進(jìn)行的處理）

事先取得同意是企業(yè)合法處理歐盟公民個人數(shù)據(jù)的最重要前提條件。例如，當(dāng)面臨 GDPR 的合規(guī)性時，F(xiàn)acebook 應(yīng)設(shè)法取得同意，而非遵守?cái)?shù)據(jù)最小化原則。

取得同意必須是可證實(shí)的，須與其它事項(xiàng)明確區(qū)分開來，且可撤回。值得注意的是，處理敏感數(shù)據(jù)須取得明確的同意。模糊或“一攬子同意”均被視為無效。企業(yè)須向數(shù)據(jù)主體呈現(xiàn)通俗易懂的語言表述，供其選擇是否同意對方處理個人數(shù)據(jù)。鑒于此，至少從理論上講，模糊不清、滿篇術(shù)語及長期性同意的請求將不復(fù)存在。

此外，沉默、預(yù)先勾選或不積極，均不構(gòu)成有效的同意。當(dāng)用戶需要勾選或通過電話同意時，這就屬于明確的選擇。

16周歲以下的未成年人不具有合法的同意權(quán)，但歐盟成員國可以將此年齡限制放寬到13周歲。

四、用戶控制權(quán)和用戶權(quán)利

GDPR 的其中一個目標(biāo)是讓消費(fèi)者掌控自己的數(shù)據(jù)，這項(xiàng)目標(biāo)仍是一項(xiàng)重大挑戰(zhàn)。數(shù)據(jù)控制者須向數(shù)據(jù)主體通知其具有的如下權(quán)利：

主體訪問權(quán)

數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)收集者或企業(yè)提供相關(guān)信息，包括使用的方法、數(shù)據(jù)內(nèi)容以及誰有權(quán)訪問數(shù)據(jù)等信息。除非該請求存在特別的困難之處，否則數(shù)據(jù)收集者或企業(yè)需在30天內(nèi)提供相關(guān)信息，可能包括績效評估、獎懲記錄、電腦訪問日志、求職面試、通話記錄和錄像片段。但是，所提供的信息不得包含任何其它員工的個人信息。

注意：這條規(guī)則涉及的數(shù)據(jù)不包括醫(yī)療記錄、與刑事司法和稅收相關(guān)的個人數(shù)據(jù)、與律師之間的保密通信、暴露當(dāng)前管理問題的文件以及商業(yè)機(jī)密。此外，該項(xiàng)程序免費(fèi)開展，但數(shù)據(jù)控制者仍有權(quán)收取費(fèi)用或拒絕執(zhí)行過多及毫無根據(jù)的請求。

反對權(quán)

數(shù)據(jù)主體有權(quán)基于與其特定情況有關(guān)的理由，在任何時候依據(jù)第6條第1款（e）項(xiàng)或（f）項(xiàng)拒絕有關(guān)其的個人數(shù)據(jù)被處理，包括根據(jù)這些規(guī)定進(jìn)行概況分析?？刂普卟坏迷偬幚碓搨€人數(shù)據(jù)，除非控制者證明其有關(guān)（數(shù)據(jù)）處理的強(qiáng)制性法律依據(jù)優(yōu)先于數(shù)據(jù)主體的利益、權(quán)利和自由，或者為了設(shè)立、行使或捍衛(wèi)其合法權(quán)利。除此之外，數(shù)據(jù)主體還可反對僅基于自動決策而制定的具有重大影響的決策。

Crowd Research 的一份調(diào)查報(bào)告顯示，三分之一的組織機(jī)構(gòu)報(bào)告稱，他們無法向用戶解釋其算法如何在自動處理的背景下做出決策。

糾正/刪除的權(quán)利

在用戶數(shù)據(jù)不完全或不正確的情況下，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)要求控制者無不當(dāng)延誤地糾正有關(guān)其的不準(zhǔn)確個人數(shù)據(jù)?？紤]到處理的目的，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)使不完整的個人數(shù)據(jù)完整，包括通過提供補(bǔ)充聲明的方式。

限制權(quán)

如果處理程序與GDPR要求的數(shù)據(jù)保護(hù)措施不符，數(shù)據(jù)主體可要求限制處理他們的個人數(shù)據(jù)。

擦除權(quán)（又稱被遺忘權(quán)）

這是 GDPR 的一條標(biāo)志性規(guī)定。在用戶數(shù)據(jù)不完全或不正確的情況下，數(shù)據(jù)主體有權(quán)要求控制者無不當(dāng)延誤地刪除有關(guān)其的個人數(shù)據(jù)。如收集個人數(shù)據(jù)的目的變得毫無必要或同意被撤回，數(shù)據(jù)主體可要求刪除數(shù)據(jù)。

據(jù) Solix 公司的一項(xiàng)調(diào)查顯示，約三分之二的受訪者承認(rèn)其不知道如何實(shí)施“被遺忘權(quán)”，其原因在于他們不確定是否可以永久清除用戶的個人數(shù)據(jù)。

轉(zhuǎn)移數(shù)據(jù)的權(quán)利

數(shù)據(jù)主體可向數(shù)據(jù)控制者提交請求，要求對方以機(jī)器可讀的形式整理他們的個人數(shù)據(jù)，以便將這些數(shù)據(jù)轉(zhuǎn)移給其它控制者。如果用戶希望更換數(shù)據(jù)控制者，他們可通過數(shù)據(jù)可讀的形式簡單重用這些數(shù)據(jù)，例如，用戶希望轉(zhuǎn)移數(shù)據(jù)更換電信服務(wù)。

GDPR 合規(guī)建議

（一）、全面了解數(shù)據(jù)

要確保企業(yè)在滿足 GDPR 合規(guī)方面不出現(xiàn)問題，企業(yè)最好組建一個由律師、IT 技術(shù)人員和數(shù)據(jù)安全專家組成的團(tuán)隊(duì)。這支團(tuán)隊(duì)需弄清楚：

正在處理什么數(shù)據(jù)？

數(shù)據(jù)存儲在哪里？

處理過程如何？

對數(shù)據(jù)進(jìn)行全面分析，包括數(shù)據(jù)所屬類別、處理數(shù)據(jù)的法律依據(jù)、處理數(shù)據(jù)的方法、訪問數(shù)據(jù)的實(shí)體以及安全措施。

組織機(jī)構(gòu)的所有計(jì)劃和政策，例如，數(shù)據(jù)保護(hù)計(jì)劃、自帶設(shè)備（BOYD）政策、事件響應(yīng)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，且必須符合 GDPR 的要求。例如，大多數(shù)員工獲許在工作用設(shè)備上安裝個人應(yīng)用程序。如果此類應(yīng)用程序會訪問并存儲個人數(shù)據(jù)，且企業(yè)未部署任何措施來滿足 GDPR 合規(guī)，結(jié)果可能會事與愿違。因此，企業(yè)有必要優(yōu)化 BOYD 政策。

對供應(yīng)商進(jìn)行調(diào)查，以了解對方的安全政策和重要措施以及供應(yīng)商訪問哪些用戶的數(shù)據(jù)。部分供應(yīng)商可能會獲取非必需數(shù)據(jù)（例如 IP 詳細(xì)信息），這能幫助它全面了解其用戶的瀏覽習(xí)慣。然而，修改合同以及維系與供應(yīng)商的關(guān)系是一個相當(dāng)耗時的過程。

企業(yè)必須描述用戶數(shù)據(jù)相關(guān)的流程，例如內(nèi)容管理、用戶注冊、商業(yè)智能和分析流程。此外，企業(yè)還須報(bào)告 GDPR 合規(guī)進(jìn)度。根據(jù)GDPR 第30條的規(guī)定，企業(yè)必須記錄處理活動（RoPA），以便進(jìn)行示范。從本質(zhì)上講，這就相當(dāng)于要求清點(diǎn)存在風(fēng)險的應(yīng)用程序。

（二）、風(fēng)險評估

企業(yè)不僅要了解存儲的數(shù)據(jù)，還要了解其中的風(fēng)險，尤其應(yīng)了解可能收集和存儲個人數(shù)據(jù)的“影子 IT”。為有效滿足合規(guī)，風(fēng)險評估還應(yīng)提出旨在緩解現(xiàn)有風(fēng)險的技術(shù)。

Snow Software 公司高級副總裁麥特·費(fèi)舍爾（Matt Fisher）在提供風(fēng)險評估相關(guān)建議時表示，組織機(jī)構(gòu)首先必須要全面了解整個 IT 基礎(chǔ)設(shè)施，并清點(diǎn)所有的應(yīng)用程序。然后再結(jié)合對可處理個人數(shù)據(jù)應(yīng)用程序的見解，進(jìn)而降低項(xiàng)目范圍及花費(fèi)在這上面的時間。

從邏輯上講，企業(yè)應(yīng)在風(fēng)險識別之后啟動風(fēng)險緩解程序，數(shù)據(jù)處理活動必須符合 GDPR 的數(shù)據(jù)保護(hù)原則。

（三）、尊重用戶權(quán)利，并賦予用戶控制權(quán)

企業(yè)應(yīng)有效處理客戶的投訴和疑問，尤其是那些與條例中規(guī)定的數(shù)據(jù)主體權(quán)利相關(guān)的投訴和疑問。

按照 GDPR 的規(guī)定，數(shù)據(jù)控制者必須向用戶提供取消所有通信的選項(xiàng)，為用戶提供控制權(quán)和退出通信的選項(xiàng)，如在“訂閱”旁邊提供“取消訂閱”的選擇框。

（四）、保持透明度

監(jiān)管機(jī)構(gòu)高度重視透明性，例如，在條款、條件和隱私政策中提供引入注目的鏈接。

（五）、采用默認(rèn)提供數(shù)據(jù)保護(hù)的組織和技術(shù)措施

某些安全措施和技術(shù)必須部署在產(chǎn)品/服務(wù)的最初開發(fā)階段。加密和假名化（pseudonymization）技術(shù)是此類措施的常見技術(shù)。此外，這些安全措施和技術(shù)還允許開發(fā)人員在實(shí)踐中應(yīng)用核心數(shù)據(jù)保護(hù)原則，比如數(shù)據(jù)最小化原則。

（六）、盡快解決數(shù)據(jù)泄露問題

GDPR 規(guī)定，數(shù)據(jù)處理者對數(shù)據(jù)泄露或不合規(guī)行為負(fù)有責(zé)任。在發(fā)生危及歐盟公民個人信息的安全事件后72小時之內(nèi)，企業(yè)須上報(bào)歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)。按照GDPR第33（2）條的規(guī)定，意識到個人數(shù)據(jù)泄露后，數(shù)據(jù)處理器者當(dāng)立即通知數(shù)據(jù)控制者。

事實(shí)表明，大多數(shù)數(shù)據(jù)泄露事件是第三方發(fā)現(xiàn)的，例如客戶或執(zhí)法機(jī)構(gòu)。事件響應(yīng)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃可幫助企業(yè)遵守 GDPR 有關(guān)數(shù)據(jù)泄露的義務(wù)。

（七）、任命數(shù)據(jù)保護(hù)官（DPO）

小企業(yè)通常缺乏資源或?qū)I(yè)知識來滿足該條例。缺乏具有 GDPR 合規(guī)經(jīng)驗(yàn)的工作人員以及預(yù)算不足是部分原因所在。此外，員工往往會低估滿足 GDPR 合規(guī)所需的努力和時間。IT 和信息安全團(tuán)隊(duì)通常有責(zé)任使其組織滿足 GDPR 的合規(guī)要求，但 GDPR 條例并未限制 DPO 只為某個特定組織工作。DPO 可為多個組織機(jī)構(gòu)提供相關(guān)服務(wù)。

DPO 的主要職責(zé)是負(fù)責(zé)對數(shù)據(jù)保護(hù)工作進(jìn)行定期及系統(tǒng)性監(jiān)測，同時負(fù)責(zé)內(nèi)部教育、培訓(xùn)以及合規(guī)性審計(jì)事務(wù)。此人還將負(fù)責(zé)企業(yè)與 GDPR 監(jiān)管當(dāng)局之間的溝通以及與數(shù)據(jù)主體間的交互。此要求適用于一切擁有高度敏感數(shù)據(jù)，或處理及/或存儲大量歐盟個人數(shù)據(jù)的組織，無論這些主體是否屬于組織外的員工或個人。

處理或存儲大量個人數(shù)據(jù)、定期監(jiān)控公民或公共部門的企業(yè)須指定一名 DPO，指導(dǎo)并監(jiān)督整個安全策略和 GDPR 合規(guī)性。

據(jù)Ovum 一份報(bào)告反映，85%的美國企業(yè)擔(dān)心 GDPR 會讓它們在歐洲同行中處于競爭劣勢。許多消費(fèi)者表示，他們將不會容忍個人數(shù)據(jù)被粗心處理的行為。RSA 數(shù)據(jù)隱私與安全報(bào)告顯示，62%的消費(fèi)者會責(zé)怪存儲數(shù)據(jù)的企業(yè)，而不是網(wǎng)絡(luò)犯罪分子，其原因在于數(shù)據(jù)主體不清楚企業(yè)如何處理自己的數(shù)據(jù)。隨著消費(fèi)者日益了解情況，他們希望數(shù)據(jù)管理者更加透明并提高響應(yīng)能力。

事實(shí)表明，大多數(shù)數(shù)據(jù)泄露事件是第三方發(fā)現(xiàn)的，例如客戶或執(zhí)法機(jī)構(gòu)。事件響應(yīng)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃可幫助企業(yè)遵守 GDPR 有關(guān)數(shù)據(jù)泄露的義務(wù)。