最严欧盟隐私保护令实施在即中企宜及时应对-新华丝路

新华丝路网北京3月9日电（记者赵丹亮、黄新培）由德国电信、德国北威州投资促进署、ASGTechnologies共同举办的“中欧企业论坛之中国企业国际化专题研讨会”7日在京举行。记者从研讨会上获悉，为应对数字时代个人信息数据泄漏的新挑战，欧洲议会于2016年4月27日通过的《一般数据保护条例》(简称GDPR)法律条例将在2018年5月25日生效，从该日起，任何一个未能满足新法规的企业和组织将面临严厉处罚。此举将对中国企业的移动应用安全、数据收集、处理和交易产业重大影响，中国企业应积极准备，做好应对措施。

GDPR是为欧盟公民数据处理制定的一套统一的法律和更严格的规定：任何违反GDPR规定的企业，都将面临其全球收入4%或2000万欧元（两者取最高为准）的罚款。具体核心内容如下：

——切实维护数据所有者的权利。有权反对企业出于商业目的分析和决策，以及要求其删除不必要的个人数据。

——企业需承担更多的义务。在公共平台履行披露义务，让个人有途径获知起诉书权益及数据使用形式和状态。

——严谨的授权使用数据的条款。授权使用数据的条款必须更加明确，必须给出具体目的，撤销授权程序也更加便捷。

——数据泄露预警。重大数据泄露，必须在72小时内向监管机构报告，特定情况下，还需向数据所有者报告。

——更加关注个人隐私。企业必须将数据保护运用到即将发生的和现有的业务流程和系统中。强制要求软件企业在整个开发阶段和运行数据处理阶段能够保护个人数据隐私。条例还规定了数据控制(含移动应用)和处理需要有足够的技术和措施来确保其数据和移动应用的完整性。这些安全措施必须能够应对数据处理面临的风险，例如所传输或存储的个人数据被篡改、丢失、未经授权披露或被恶意攻击。

——增加隐私影响评估，企业必须正视识别新兴的隐私风险，尤其是新型的业务形式。

——任命数据保护专员将是对企业的强制性要求。

——监管范围更加广泛。新规将同时适用于数据所有者和数据处理者。

与会专家表示，GDPR不仅会为欧盟公民提供更多使用个人资料的权利，加强数字服务提供者与服务对象之间的信任，而且也为企业提供了明确的法律框架，即通过在欧盟单一市场上制定统一的法律来消除任何区域差异。

按照条例，非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一，都适用于GDPR的监管：一是为了向欧盟境内可识别的自然人提供商品和服务而收集、处理其信息；二是为了监控欧盟境内可识别的自然人的活动而收集、处理其信息。

据了解，GDPR规定了欧盟每一个成员国都必须成立GDPR的监管机构，负责GDPR在每一个国家的执行。监管机构接受该国关于违法的投诉，有权调查可能的违法情形，并进行相应的处罚。监管机构也有义务和欧盟其他成员国的监管机构沟通，确保同一件事情上在执法尺度上的统一。同时，欧盟将设立“一站式”投诉服务，以便于消费者在欧盟内跨境投诉。

在研讨会上，国家信息中心信息安全评估处副处长陈永刚特别提醒，GDPR与中国施行的《网络安全法》有所不同，前者强调的是属人原则，任何中国公司，只要其用户中有欧盟公民就必然要接受GDPR的监管，而后者是属地原则，只要求相关公司把用户个人信息和重要数据在中国境内存储即可。

德国北威州投资促进署驻北京代表处首席代表封兴良表示，中国企业对保护用户个人隐私的重视程度不够，个人信息泄露事件屡屡发生，因此，堪称史上最严厉的GDPR，将对中国企业移动应用安全以及数据收集、处理和交易合规性带来巨大挑战，银行业、电子商务、互联网、IT企业和软硬件生产商将首当其冲。企业应详细了解相关信息，做好积极应对准备。他还表示，对于GDPR，制定法律法规固然重要，但就中国现状来讲，有效并强有力地执行法律更为关键。

首先，为执行GDPR中的新法规，企业应不惜巨资配备完善的设备和专业技术人员。GDPR严厉的惩罚措施已引起国际企业的高度重视。ASG TechnologiesGDPR专家Sam Yoo先生提供的普华永道对美国企业的一项调查显示，77%的受访者表示将投入100万到1000万美元来执行这项法规。

其次，关注企业的供应链。大多数企业的供应链都很长，比如一级金融机构有15000家合作伙伴，而这些合作伙伴大多拥有金融机构中的个人信息。在 GDPR 的实施下，数据拥有者有义务保护欧盟公民的隐私。企业应确保供应商也有足够的安全防范意识和控制措施。

第三，尽快制订完善的隐私保护措施。按照GDPR规定，所有的国际企业，无论是欧盟企业或与之交易的企业（如为欧洲公民提供旅行、电信和金融服务的中国企业），都将被要求从2018年5月起遵守GDPR条例。如果违反，对于在欧盟境内有分支机构的公司，分支机构将被作为责任主体来强制执行法律要求。如果在欧盟境内没有机构，欧盟将缺席判决，一旦境外公司高管进入欧盟境内，将直接强制执行。因此，中国企业应提前关注相关政策和条例，以确保企业所有业务活动正常运转。

第四，制定符合 GDPR 法规的安全流程。企业需要提前建立好安全预案，以便在事件发生时能从容面对，因为根据规定，GDPR 留给企业的时间只有72小时。