欧盟“最严数据法”GDPR，对中国企业有什么影响？丨科技云·视角

上周，欧洲“史上最严”的数据保护条例——通用数据保护条例（The EU General Data Protection Regulation，GDPR）生效。肆无忌惮地收集用户数据，贩卖滥用数据的商业模式行将逝去，一道生死题正浮现在此前滥用用户数据的公司面前

欧盟GDPR通过于 2016 年，是欧盟为解决互联网时代用户数据的收集、使用问题而制定的。

被简称为GDRP的《通用数据保护条例》，可以把直接或间接识别到的某一个个体的任何信息，都视为个人信息，包括了从姓名、照片、身份证号、邮箱地址、银行账户、健康记录到网络用户名、位置定位、社交媒体发布的信息、计算机IP地址等各个方面，堪称目前世界范围内最宽泛的个人信息定义。

作为一部用来保护欧盟公民个人隐私和数据安全的新法案，其颁布使得欧盟对于数据保护的监管达到了前所未有的高度。

按照GDPR要求，公司应说明在何种情况下要持有用户哪些信息，作为何用，用户即便同意获取信息也必须容易撤回，此外，对于16岁以下少年儿童，监护人要代表他做出数据收集的授权。

GDPR对企业如何持有数据，也做出了具体规定。其中数据的“被遗忘权”和“可转移权”是当下企业较难做到的，即用户可以要求公司清除其个人数据，并禁止第三方获取这些数据；用户也可以带着他们的数据转移去不同的服务提供商。

对于违反规定的公司，可被判处其全球年度营业额4%或2000万欧元的罚款，选择二者中较高的数值判罚。对跨国科技巨头来说，年度营业额的4%的罚款额非常巨大。

据美国科技媒体The Verge报道，欧盟的通用数据保护条例(GDRP)出台第一天，就迎面痛击美国两大科技巨头Facebook、谷歌，控诉它们收集用户私人数据，并欲给Facebook和谷歌分别开出39亿欧元(约合人民币290亿元)和37亿欧元(约合人民币276亿元)的天价罚单。

与此前欧洲地区颁布的其他个人信息保护法规不同，GDPR具有强制力，直接对所有的欧盟成员国生效，而且法规一旦生效，自动对所有国家生效（部分国家如有其它规定，可协调处理）。

也就是说，所有在欧洲有产品或服务的科技互联网企业都有可能受到GDPR影响。GDPR就像一张巨大的筛子，所有在欧洲有产品或服务（无论公司是否在欧盟地区），会收集用户数据，或与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民数据的公司，都要经过这把筛子筛选。留者生，漏者死。

中国企业会受到哪些影响？

那么，中国企业会在多大程度上受其影响呢？

以BAT为代表的中国互联网企业大都是全球性企业，越来越多的中国企业也在进军欧洲，这意味着与欧洲企业有业务往来的中国企业，也要给自己安上一个“紧箍咒”了。

5月25日当天，包括微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通（aliexpress）等多家中国互联网巨头，已纷纷向欧洲区用户更新隐私政策、请求重新授权。

在早前的4月份，腾讯甚至曾通知其国际版用户，QQ将在5月停止向欧洲区用户的服务。尽管腾讯随即声明会继续保留该服务，但可以看出，慑于其强大的惩罚力度，不少中国企业已经对GDPR有所行动。

海尔、华为等企业在欧洲也有较大市场份额，并有意进军物联网的制造业，也早已雇请专门团队应对GDPR。

值得注意的是，适用GDPR的中国企业主要有两种情形：

一、在欧盟境内设有机构的中国企业，如其通过该机构开展业务的过程中涉及对个人数据的处理，不管该处理是否发生在欧盟境内，都应适用GDPR；

二、尚未在欧盟境内设有机构的中国企业，如其向欧盟境内的个人提供商品或服务的过程中（无论是否收费），涉及对个人数据的处理，也应适用于GDPR。

目前，中国企业对GDPR的态度“分化比较明显”。一方面，有很早就开始为GDPR做准备的企业，主要是一些大型的互联网或物联网公司。他们既有动力要保住欧洲市场，又有财力可以负担合规成本。但另一方面，也有大量企业并未认真对待GDPR。

尚未进行合规的中国企业，将很容易成为“枪靶子”。因为作为竞争对手的欧盟企业将有很强的动机向所在国监管机关投诉举报；而成员国政府出于保护本国企业的目的，也会有很强的动机进行调查。中国企业将因此面临巨大的GDPR处罚风险。

中国企业应如何

避免GDPR雷区？

应对GDPR的准备，企业越早做准备越好。中国涉欧企业应当吸取中兴合规不力的教训，将GDPR的合规提到日程上来。短期虽然会增加一定的成本，但可帮助企业避免风险、对长期的声誉也有好处。

具体而言，建议企业首先选派专人执行GDPR合规工作，并提供必要权限和经费支持。GDPR合规是个系统而动态的工作，需要一定的人力和财力的投入。这样的投入相对于天价行政处罚而言是必要的。

其次，对企业所拥有的个人数据进行清查和分类，并设置企业的隐私政策。其中，敏感信息包括种族、政治观点、宗教信仰、工会会员、基因数据、生物学数据、健康数据、性生活或性取向；中国涉欧企业除了获得欧洲居民的明确同意以及为自己企业雇佣的欧洲居民进行人事、医保方面必要的处理之外，都不建议对敏感信息进行处理。

再者，对数据进行加密和匿名化处理，审查数据是否获得数据主体的同意及其合作第三方的合同，并考虑数据跨境转移的合法途径。其中，GDPR要求企业对合作第三方进行审计，否则对合作第三方的数据违规可能承担连带责任。

最后，对特定情形下的数据处理指派数据保护官、进行数据保护影响评估，跟进欧盟数据监管当局更新的GDPR具体执行规则，并对员工进行培训。要尽快落实数据合规的基础设施，调整隐私政策、审查数据处理协议、开展数据审计、评估合规差距，并进行持续性的培训、检测与跟踪。

此外，具备条件的企业可以考虑使用欧盟数据监管当局批准的《行为规范》或者申请获得有关遵守GDPR的认证。

随着数字经济的兴起，数据成为了竞争力，如何保持数据隐私属性和价值属性间的平衡，如何在维护个人隐私权和数据利用之间找到一条合理路径，GDPR的生效可谓是恰逢其时，让隐私和数据保护在政治议程上占据了很高的位置。

【科技云报道原创】

转载请注明“科技云报道”并附本文链接