从GDPR谈企业如何进行数据合规？

文|常亮

GDPR（一般数据保护条例），是由欧盟于2018年5月25日出台。该条例在数据科学领域引起了广泛的讨论，这是因为严格的数据条例，将对数据科学项目，尤其是机器学习领域产生巨大的影响。

目前我们平台风控相关业务是以数据为基础，且也会采用机器学习等相关数据分析及建模技术，虽然不在欧盟范围内，也不会使用欧盟地区数据，但条例中提出的个人数据权利及保护等要求，对我们规范业务中的数据使用方法和范围有借鉴意义。可以肯定的是，未来随着个人隐私及数据意思的增强，数据安全保护，及合规要求会越来越细致严格。

“一般数据保护条例”(GDPR)为欧盟公民数据处理制定了一套统一的法律和更严格的规定，也规定了对违规行为的严厉处罚。其罚款范围是1000万到2000万欧元，或企业全球年营业额的2%到4%。欧盟发布这个新规定的主要原因是：

(1)为欧盟公民提供更多使用自己的个人资料的权力

(2)加强数字服务提供者与他们所服务的人之间的信任

(3)为企业提供明确的法律框架，通过在欧盟单一市场上制定统一的法律来消除任何区域差异。确立了欧盟“长臂管辖”原则，即欧盟立法可以管辖欧盟之外向欧盟居民提供服务的企业。

条例的第13-15条中，GDPR一再声明数据主体有权了解关于数据使用的“有意义的信息”和自动化决策带来的“重要和可预见的后果”。第71条序言是该条例中包含的不具约束力一部分，它指出数据主体可以要求自动化决策给出合理的解释，并且数据主体能够质疑这些决策。在GDPR下，所有数据的使用都需要在法律的允许下进行，GDPR第6条规定了六项对应的法律依据。其中有两个最重要的“合法权益”的依据，并且数据主体明确同意使用该数据。这种情况下，当处理数据是依据于数据主体的同意时，数据主体将仍保留对该数据的重要控制权，这意味着他们可以随时撤回同意，处理该数据的合法性将不再存在。

借鉴GDPR条例，我们在数据合规性要注意考虑以下几点：

（1）信息主体明确授权访问、采集和使用

（2）信息主体有权撤回授权，即系统要响应信息主体删除/修改/提供数据副本的请求

（3）对信息主体的评级等决策结果，要能形成有效证据链，并可向信息主体解释

（4）隐私保护认证

（5）数据事件响应计划，如数据泄露须及时通知，限72小时内改正

（6）数据可见性，需要获得在端点，服务器和云应用程序中保护，收集和监视数据的能力。使组织真正了解自己的整体数据攻击面，并且能够对如何部署符合监管的安全机制提供可操作的洞察

（7）安全转移，如数据转移通道，组织需要采用业界领先的基于标准的TLS 1.2和AES 256加密技术，配合简化和集成的密钥管理。

农业时代确立了产权规则，工业时代确立了知识产权规则，人工智能时代呼唤数据规则，而当前该规则正在行成过程中。我们企业需要不断储备和提高数据的获取、处理、应用和安全管理能力，以适应前进中的数据规则。

来源：乾康金融