龙图合规承办首期中国"首席数据保护官"(DPO) 课程即将开讲

欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）的重要性毋庸置疑。作为隐私与数据保护领域20年来最引入瞩目的立法变革，GDPR提出了大数据时代个人数据保护的新秩序愿景。GDPR已于2018年5月25日正式生效了，且是在28个欧盟成员国统一实施生效的，这就意味着28个欧盟成员国对个人信息的保护要求和保护水平全面实现了一致性。

在该条例生效当天，腾讯、新浪、阿里巴巴等多家中国互联网科技巨头已纷纷开始向其在欧洲地区的用户更新了隐私政策，并请求用户重新授权。华为等在欧洲市场拥有较大市场份额的领军企业也已经开始聘请专家团队以应对《通用数据保护条例》带来的影响。

GDPR：史上最严格的数据保护立法？

GDPR的严格主要体现在对个人权利的细致保护，以及对违法行为的高昂处罚。

GDPR保护对象敏感，个人数据与隐私保护密切相关。个人数据是互联网行业经济发展和技术进步的基础，大数据、云计算、人工智能、区块链等等无一例外的离不开数据，技术创新要求尽可能多得收集数据，而这与严格保护个人隐私的法律需求相悖，特别是在欧美，个人隐私保护高于一切的环境下。例如3月份发生Facebook数据泄露事件后，Facebook股价大跌，有可能被判处2万亿美元的罚款，扎克伯格还要在美国国会、欧洲议会不断接受质询。GDPR保护的是个人数据以及自然人的基本权利与自由，反映了立法者们努力在技术进步与隐私保护中尽可能地实现个人信息妥善处理、安全商业化的良苦用心。

GDPR适用范围广，世界上只要跟欧洲数据主体沾边的都要遵守。GDPR适用于所有处理和持有欧盟内数据主体的个人数据的公司，而不考虑公司的地理位置。也就是说，以下的公司必须遵守GDPR：在欧盟境内有业务；在欧盟境内没业务，但是存储或处理欧盟公民的个人信息。

GDPR合规要求高，满足其要求需要投入大量的人力物力财力。GDPR对数据控制者和处理者的义务和行为做出了非常严苛的规定。如果企业要满足GDPR的合规要求，至少完成指定一个数据保护官（DPO）、企业内部进行培训、开展自查、进行整改等一系列工作。根据普华永道的调查数据显示，68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规性要求；另有9%的企业预计将花费超过1000万美元。

GDPR违规代价大，罚款金额就高不就低。如果违反GDPR规定，既可以给予行政处罚也可以给予司法救济。违规行为不同，罚金不同但最高将处以2000万欧元的罚金或上一财年全球营业额的4%以下的行政罚款，两者以高的金额为准。管理咨询公司奥利弗·怀曼（OliverWyman）预测，欧盟在第一年可能会收到高达60亿美元的罚款金额。

GDPR对企业的影响有哪些？

GDPR要求个人数据处理要遵循六大原则：合法、公正、透明；目的限制；数据最小化；准确性；储存限制；完整性与保密性。数据控制者必须能够证明自己在处理个人数据时符合这六大原则的要求。

由于GDPR明确了数据主体享有知情权、获取权、请求权、访问权、纠正权、删除权（被遗忘权）、限制处理权、数据可移植权、拒绝权。所以，欧洲的数据主体可以向数据控制者主张自己的权利，了解个人信息是否被不当使用，如果有不满，还可以向监管部门投诉。

同时GDPR对作为数据控制者和/或处理者的企业提出种种要求，特别是对处理过程的安全性、发生数据泄露事件所应采取的处理措施，并要求企业设立数据保护官（Data Protection Officer）。涉及到个人数据跨境转移到第三方国家或国际组织进行处理的，也要确保GDPR的保护规定得到严格执行。

既然逃不掉，那么企业该怎么做

GDPR号称史上最严苛的数据保护法规，要实现它的要求，企业主要任务是建立并完善企业的数据保护管理体系。按照GDPR的规定，作为数据控制者和/或处理者的企业，要加强对相关工作人员进行培训，提高企业从上到下各个层级对GDPR的认识。对企业上上下下可能发生收集处理个人数据的环节开展自查，包括客户信息系统、供应链、研发、销售、人力资源管理等各种IT基础设施和应用程序。对企业内部各种数据安全规章制度及数据处理流程进行风险评估，确保企业在收集、存储和处理个人数据时要获得数据主体明确同意，企业存储处理个人数据的操作制度流程符合GDPR的要求。企业一定要任命一个DPO数据保护官，对内负责企业数据管理合法合规，对外代表企业配合监督机构的监管工作。如果企业很小不足250人，可以酌情考虑找一个兼职的DPO。DPO可根据企业自查与风险评估情况，制定企业数据保护计划，按部就班进行整改、培训、自查、评估、整改等一系列合规工作，企业可以自行解决，也可以寻求专业服务机构的帮助。GDPR是持久战，企业必须建立持续的监控和评估流程确保合规。

中兴通讯因违反美国进出口管制规定被处以巨额罚款事件给中国"走出去"的企业带来了深刻的合规教训。日前，政府部门出台了《企业海外经营合规管理指引（征求意见稿）》的指导文件，旨在引导开展海外贸易、投资、经营及工程承包的各类企业强化合规管理。2018年5月，欧盟出台堪称史上最严的数据保护法规《一般数据保护条例》生效，企业若违反了该条例，将被处以2000万欧元或者全球收入4%的罚金。GDPR的影响突破了欧盟内部，欧盟之外多个国家给予"充分认定"，GDPR有发展成主导性的个人信息保护国际化标准之势，走向世界的中国企业须引起高度重视。

2018年7月26日-27日，中国企业走出去联盟（CEGG）主办，中国人民大学金融科技与互联网安全研究中心联合主办，走出去国际商务服务有限公司、龙图新世纪企业管理有限公司联合承办的走出去公开课之首期中国"首席数据保护官"(DPO) 课程即将开讲。特邀欧盟GDPR学院总裁Kersi Porbunderwalla教授来华亲授两天课程，围绕欧盟《一般数据保护条例》（简称GDPR）深度解读和案例剖析，指导金融、互联网、IT、电子商务、人工智能等各类"走出去"中国企业建立数据保护合规方案。这是继4月12日世界电子商务大会Kersi教授精彩演讲后，特为中国企业奉上走出去合规"大餐"。