gdpr评述及实务指引（通用数据保护条例）

GDPR是General Data Protection Regulation（通用数据保护条例）的简称。因为它在2018年5月25日生效，所以这一天在欧洲被称为“G-Day”。GDPR取代了22年历史的Data Protection Directive（DPD，数据保护指令），其实两个法律差异很大，已经算不上升级，而是彻底的革新。

GDPR是一个保护所有欧盟公民的法律，其条款规定了企业和实体应该采取何种措施保护欧盟公民的数据，尤其针对数字世界的数据，在受保护的数据范围上极大拓展。例如，旧的法律更强调公民的PII信息的保护（PII，Personally Identifiable Information——个人可识别信息），而新的GDPR则要求公民在数字世界中的cookie，device ID，IP地址等也应受到跟PII一样的保护。

在这一点上，GDPR是顺应时代的发展要求的，尽管具体的法条的严厉程度可能会带来很多争议。

但争议更大的还是GDPR的作用范围，因为GDPR的Data Subjects（数据实用范围）的相关法条，对于“保护谁”的数据这一块相当模糊。

一般而言，有如下情况：

l 欧盟公民且正在欧盟境内；

l 欧盟居民且正在欧盟境内；

l 欧盟公民，正在欧盟境外的其他国家，比如在美国或者中国；

l 欧盟居民，正在欧盟境外的其他国家，比如在美国或者中国；

l 外国人，临时在欧盟境内。

所以，基本上可以认为，所有人（all people），凡是处于欧盟境内的，都受到GDPR的保护，就算不是欧盟公民也受到保护。但离开了欧盟的土地，基本上GDPR就管不着了。

另外一个争议比较大的，是欧盟境内的人，访问欧盟境外的互联网，是否受到GDPR的保护。答案是肯定的，只要是欧盟境内的人，访问到的互联网，无论是美国的网站还是中国的app，还是俄罗斯的杀毒软件，他们的数据都受到GDPR的保护。

这也是为什么，即使你的公司不在欧盟，也不为欧盟的人提供服务，但仍然可能在完全不知道的情况下违反了GDPR的法规。这也是全世界几乎所有的公司都觉得“不可思议”而“恐惧颤抖”的一个最主要的原因。

GDPR规定，任何存储或处理欧盟国家内有关欧盟公民个人信息的公司，即使在欧盟境内没有业务存在，也必须遵守GDPR。具体如下：

l 在欧盟境内拥有业务；

l 在欧盟境内没有业务，但是存储或处理欧盟公民的个人信息；

l 超过250名员工；

l 少于250名员工，但是其数据处理方式影响数据主体的权利和隐私，或是包含某些类型的敏感个人数据。

国内企业应该怎么应对GPDR？

重构隐私保护的设计

基本上GDPR要求企业不是在过去的个人隐私保护上进行修修补补，而是需要进行彻底的重构。比如，过去的隐私保护强调的是未经授权的“不泄露”，但没有强调数据的所有权与控制权的结合。过去，数据理论上当然属于用户，但是用户却没有主动的任何一点控制这些数据的能力。有些网络服务，一旦用户建立了自己的账号，实际上并不允许删除以及销毁这些账号，更谈不上能够将相关的数据转移给第三方。现在，为了GDPR合规，数据的获取、存储、处理、组织、管理、转移等等，全部都需要重新构建，以满足GDPR所要求的功能，以及满足更大的用户的数据控制权。

必须大幅度清晰化用户数据条款

对于大部分企业而言，需要大幅度简化他们“虚伪”的用户数据条款。而那些没有用户数据条款的，则必须立即建立足够清晰、意思表示明确的用户数据条款。此外，这些条款不可能包含“用户主动放弃相关数据的所有权”之类的表述，因为这跟GDPR的基本发条是相违背的。

增强IT能力

很明显，前面讲到的很多事情，都是需要技术同事去重新开发才能完成的。我会预测，GDPR甚至可能推出一些数据格式的通用标准，以帮助企业能够实现诸如数据携带权之类的要求。

任命数据保护官（DPO）

DPO并不一定是企业内部的员工，也可以聘请外部人士担任。DPO更像是顾问的角色，而且，如果企业违反了GDPR，企业会作为法人受到欧盟的处罚，但DPO未必需要承担责任。

减少不必要的数据收集

毫无疑问，收集的数据越多，越容易触犯GDPR的红线。重新审视自己的数据，是否真正的需要这些数据？如果把中国的这些互联网大佬们在国内收集数据的方法搬到欧洲，分分钟把你罚到破产。

如果你的网站使用cookie或者类似的监测

基本上没有网站不使用cookie。GDPR并不是说不允许使用，但是必须有一个足够明确、清晰的提醒告知用户，你在使用cookie并且在收集他的数据。

任何表单填写都要小心

任何让用户填写的表单都要特别小心，要有明确的隐私提示，并且告知用户他们对于这些数据拥有遗忘权等。

因此GDPR不是世界末日，只要你正视并弄清楚它。

作者：伍杰｜ 研究领域：信息技术运维服务管理，信息安全管理，业务连续性管理

编辑：Viola

本文中内容仅供参考，若与您了解有任何不符之处请与我们联系

关注我们，欢迎留言给出意见与建议，共同学习与交流