中国企业应该如何应对GDPR？

[db:作者]

作为欧盟1995数据保护条例（The European 1995 Data Protection Directive, Dir.95/46/EC）的替代，2018年5月25日生效的《一般数据保护条例》（或《通用数据保护条例》，General Data Protection Regulation，简称GDPR）具有更大的威力：对于用户而言，他们有权访问、改正、移植和删除其数据；对于监管者而言，他们第一次拥有了在欧盟范围内统一行动的权力，并有权对违法企业处以高达2000万欧元或者全球营收4%（两者取其大）的巨额罚款。该法规将影响欧盟内所有获取、存储或处理个人数据的企业，包括设立地在欧盟之外但获取过欧盟公民数据信息的企业。
对于企业而言，不遵守GDPR规则可能会在无意间面临声誉受损、高额罚款甚至是刑事责任，从而在市场竞争处于劣势地位。
不过在实践中，企业往往缺乏对于GDPR充分的理解：有些仅把它当作原有数据条例的加强版；另一些则把它看作是企业的负担，认为很难满足所有的要求。这两种观点都有失偏颇，应该从更长远的角度去认识和观察。中国涉及欧洲业务的诸多企业，已经被自动纳入到GDPR的管辖范围，应提前做好预案。这样，一方面可以有效规避潜在的高额惩罚；另一方面还可以抓住互联网转变的机遇，在新产业形成过程中占据有利地位，寻找新的利润增长点。

第一，凝聚共识，应对风险

企业首先需要在内部进行动员，贯彻针对GDPR进行改革的必要性和重要性，在思想上凝聚共识。这是因为改革会增加企业成本、降低利润、甚至需要对企业既定的战略和计划做出调整——而利益格局的改变必然会招致不同的声音。为了将风险最小化，企业在前期规划时一定要做好评估：清点所有的应用程序，明确企业内部数据的来源、储存和处理方式，指派人员承担相关职责，预测可能会带来的危害并提前制订应对方案。值得一提的是，员工个人的移动办公设备也存在数据泄露风险，因为这些设备接触到了公司的数据，可能会被备份，所以也应该纳入定期排查的范围。更重要的是，企业要善于在“危”中寻“机”，明确如何利用新规则挖掘商机。例如良好的数据保护会带来口碑和声誉、吸引潜在用户；公司数据利用能力的提升也为未来新业务的发展构筑了基础。

第二，在企业内部构建数据处理机制

一个完善的数据处理机制包括从数据访问、存储、修正、乃至删除的整个过程，它拥有可以按照外部用户或监管机构的要求进行提取展示的能力；在特性上，应该兼顾全面性和专业性。GDPR影响了企业的整个运作流程，客观上要求企业在内部建立一个跨部门的组织，应该包括法律、财务、技术、市场等所有涉及用户个人信息的部门。比如，企业的法律部门首先需要厘清GDPR赋予企业的责任和权利，因为GDPR更多的是侧重于原则上的阐述而非具体的规则，给实施预留了一定的操作空间——而这就需要法律上的咨询建议，以确保企业行为在法规权限内落地实施。此外，财务部门提供资源支撑，技术部门保证实际运作，市场部门则将数据保护作为一项营销策略，用以增强用户好感、提升企业知名度。值得一提的是，企业需要保持与外界的良好沟通，让用户、监管者乃至社会公众了解你为数据保护所做出的努力，构造出一个数据守护者的形象，这无疑会有利于企业的长远发展。

第三，设置数据保护官（DPO）等职位

GDPR第4章第4节明确规定，企业内应指派数据保护人员承担数据保护合规相关职责。在企业内部，要通过组织架构的调整赋予DPO足够权限，确保其可以同其他高管进行顺利沟通，并能争取到足够的资源。在企业外部，GDPR的规则会在不断的实践中逐渐成熟和完善，形成公认的知识经验，因此DPO需要同外界的同行、监管机构、司法系统等保持畅通的交流，以调整和优化企业的数据保护机制。DPO可以是企业内其他管理人员的兼职，如2018年5月东方航空任命总法律顾问郭俊秀为DPO；内部缺乏数据合规相关人才的企业也可以外部聘用DPO，因为GDPR允许一名DPO同时为多个企业工作。

第四，建立完善的数据库

数据库不仅仅是目录清单，用以追踪用户的数据流记录；它还涵盖了与数据相关的所有信息，包括数据来源、处理方式、法律依据、以及数据分享等。以此为基础，企业可以建立完整的数据库，它会是未来新兴业务发展的重要基础资产。数据库的构建要求企业拥有一定的信息技术的能力，可以操作海量数据，保证数据安全，并有能力在规定时间内（72小时）向监管者提取需要的信息。
个案分析：Facebook应对GDPR的措施
Facebook因“泄密门”事件遭遇了自公司成立以来最大的“滑铁卢”，扎克伯格在欧盟委员会上的听证也在客观上树立了GDPR的权威性。Facebook被质疑强行索取个人信息，用户不得不在注销账户和“同意”之间二选一。在面对英国《卫报》的采访时，Facebook首席隐私官Erin Egan说：“为了满足GDPR的要求，我们提前做了18个月的充分准备。我们让政策更加清晰，隐私设置更为便利，还可以让用户方便的访问、下载和删除他们的信息。在5月25日GDPR正式生效之后，我们还会继续完善用户隐私权。比如建立‘清晰历史’（Clear History），它可以让用户查询到曾经提交过的网站和应用信息、清除这些信息、或者拒绝Facebook继续存储个人信息。”
在登录Facebook时，用户需要在界面跳出的公告中重新选择数据使用权限。为打消公众疑虑，公告第一句便是：“我们重视对你隐私的保护，不会出售你的数据”，并阐明“会通过广告主，应用开发者和发行商提供的数据，了解你在Facebook旗下产品站外的活动，据此为你展示更好的广告”。这些从合作伙伴那里获取的数据包括“Facebook业务工具的网站和应用上的活动，例如在线购物或下载应用”以及“与合作伙伴的线下活动，例如在自行车店购买安全帽”。
为体现GDPR的“限制处理权”和“拒绝权”，Facebook阐明“你可以控制是否允许我们使用这些数据向你展示更好的广告”。例如，Facebook在获取用户使用数据的允诺之后（点击“接受并继续”）会向具备特定特征的用户展示广告；如果用户不愿意分享数据，则可以在“数据设置”里面进行设置。但是，公告中特别声明，即便用户不愿意分享数据来推送广告，Facebook仍会在法律框架内有限度的使用用户数据。
为了让用户直接控制自己的数据，Facebook将用户登录过的应用和网站信息放在设置页面下的“应用和网站”板块，用户可以方便地进行清除。“应用和网站”板块包含“使用中”“已过期”和“已移除”等三个部分。在“使用中”，用户可以查看并更新对方可获取的信息，并清除不再需要的应用和网站；“已过期”的应用和网站无法再访问用户的私人信息，但用户可以更新访问权限、编辑信息或者直接清除；“已移除”的应用和网站仍可以访问用户之前分享的信息，但无法获取更多私人信息。对于“使用中”和“已过期”的应用和网站，用户可以通过简单的点选进行清除，并通过“查看和编辑”按钮设置信息、应用可见度以及能否向用户发送通知等功能。“已移除”的应用和网站只能通过“查看详情”了解移除日期、用户编号以及数据访问权限等信息。有趣的是，Facebook以防止陌生人访问用户的照片和视频为由，在公告中顺便推销了自己的人脸识别技术。如果选择打开人脸识别设置，Facebook会“把它与其他照片和视频的分析进行对比，从而辨别这些照片或视频中是否有你”。
此外，Facebook在页面下方新设了“广告选项”和“隐私权政策”。在“广告选项”里，Facebook提供了多种控制向用户推送广告的方式，如选择退订所有相关公司的广告，并提供了如何在浏览器和设备中退订广告的方法。“隐私权政策”展现了Facebook收集的用户信息的类型，包括用户和他人执行的操作及提供的信息、设备信息以及来自合作伙伴（广告主、应用开发者以及发行商）的信息。在收集信息后，Facebook会提供、定制并优化产品，提供成效衡量、分析和其他商业服务，加强用户安全、数据安全和产品信誉，为社会公益目的进行研究和创新。不过，用户有权拒绝将数据用于企业利益或公益的目的。
针对GDPR的“删除权（被遗忘权）”，Facebook规定会对用户数据进行存储，但在不需要该数据或者账户注销时才能删除。例如，用户可在搜索后删除历史记录，但该搜索的日志要在六个月后才能真正清除；用户提交的用于账户验证的身份证件副本，要在30天后才能清除。此外，为回应GDPR的要求，Facebook还提供了负责用户信息的数据管控方Facebook Ireland的具体联系地址，并声明用户有权向其及主要监管者“爱尔兰数据保护专员”或当地监管者提起投诉。
在英国《卫报》的报道中，美国数字民主研究中心的创始人Jeffrey Chester将GDPR的实施称为“不可思议的突破”，因为它改变了互联网巨头与用户之间的权力平衡。对于企业而言，不遵守GDPR规则可能会在无意间面临声誉受损、高额罚款甚至是刑事责任，从而在市场竞争处于劣势地位；而因应时势，借由数据保护新规则开辟新的商业机会和利润空间的企业，则可以创造出更高的价值，转危为机，实现企业的新发展。
（作者：邵庆龙）