歐盟GDPR法規(guī)對企業(yè)的影響及其對策分析

段利艷 王志輝 周靜麗

摘要：2012年11月，歐盟委員會制定了具有更強(qiáng)包容性和合作性的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR），2018年5月25日，GDPR法規(guī)將在歐盟28成員國強(qiáng)制執(zhí)行。GDPR是目前最先進(jìn)的隱私保護(hù)制度，可能會導(dǎo)致高達(dá)年收入4%的罰款，這將對企業(yè)產(chǎn)生怎樣的影響，企業(yè)又將如何應(yīng)對？論文將從企業(yè)組織架構(gòu)、業(yè)務(wù)管理、職能平臺、產(chǎn)品活動(dòng)四個(gè)方面進(jìn)行分析。

關(guān)鍵詞：GDPR 影響 對策

The Impact of GDPR on Enterprises and Its Countermeasures

Duan Liyan （ Shenzhen Academy of Metrology & Quality Inspection ）

Wang Zhihui （ Nubia Technology Company ）

Zhou Jingli （ Shenzhen Academy of Metrology & Quality Inspection ）

Abstract： November 2012， the European Commission has adopted a more inclusive and cooperative General Data Protection Regulation （GDPR）. On May 25， 2018， the GDPR regulations will be enforced in EU 28 member states . GDPR is the most advanced privacy protection system at present， which may result in a fine of up to 4% of annual income. What impact will this have on the enterprises and how will the enterprises deal with them？ This article will analyze the enterprise organizational structure， business management， functional platform， product activities in four areas.

Key words： GDPR， impact， countermeasure

0 前言

2012年11月，歐盟委員會制定了具有更強(qiáng)包容性和合作性的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）。2016年4月14日，歐盟舉行會議通過GDPR。2018年5月25日，GDPR法規(guī)將在歐盟28成員國強(qiáng)制執(zhí)行。

GDPR旨在取代1995年發(fā)布的歐盟數(shù)據(jù)保護(hù)指令，這個(gè)指令主要為了保護(hù)歐盟公民的個(gè)人數(shù)據(jù)的隱私性，而GDPR對這些數(shù)據(jù)保護(hù)規(guī)則進(jìn)行了改革和更新。新法規(guī)的要點(diǎn)包括管理個(gè)人數(shù)據(jù)的權(quán)利、數(shù)據(jù)泄露獲得通知的權(quán)利以及“被遺忘權(quán)”。GDPR是目前最先進(jìn)的隱私保護(hù)制度，可能會導(dǎo)致高達(dá)年收入4%的罰款，這將如何影響各企業(yè)，企業(yè)又將如何應(yīng)對？本文將從企業(yè)組織架構(gòu)、業(yè)務(wù)管理、職能平臺、產(chǎn)品活動(dòng)四個(gè)方面進(jìn)行分析。

1 關(guān)鍵影響領(lǐng)域

GDPR對企業(yè)的影響是綜合的、系統(tǒng)性的，幾乎涉及企業(yè)經(jīng)營活動(dòng)的各個(gè)領(lǐng)域，圖1概括了企業(yè)里受到GDPR直接影響的主要領(lǐng)域。

在評估GDPR對企業(yè)各領(lǐng)域可能帶來的影響、探求改進(jìn)對策時(shí)，應(yīng)參照GDPR數(shù)據(jù)處理的基本原則和要求，GDPR各項(xiàng)原則要求概括起來如表1所示。

2 對企業(yè)組織架構(gòu)的影響分析

根據(jù)GDPR第4章要求，應(yīng)該建立數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）制度，DPO應(yīng)該是獨(dú)立任命的，他們不能因?yàn)閳?zhí)行任務(wù)的原因而被解雇或者受到刑事處罰，DPO直接向最高管理者報(bào)告工作。

與合規(guī)官或法律顧問不同，企業(yè)的DPO需要向執(zhí)行委員會報(bào)告，并有權(quán)監(jiān)視組織的數(shù)據(jù)處理。擁有250名或以上員工處理敏感數(shù)據(jù)或犯罪記錄的組織必須指定DPO。這根據(jù)他們是否處理敏感數(shù)據(jù)的情況而定，擁有少于250名員工的組織可根據(jù)企業(yè)運(yùn)營的實(shí)際情況來決定是否指定DPO。

3 對企業(yè)業(yè)務(wù)管理的影響分析

3.1 對企業(yè)銷售及銷售管理的影響分析

銷售及銷售管理工作，離不開客戶的個(gè)人數(shù)據(jù)，在處理客戶數(shù)據(jù)的過程中，應(yīng)參考表1的原則要求對現(xiàn)有客戶信息收集范圍和處理方式進(jìn)行重新梳理和分析。就當(dāng)前大部分企業(yè)的銷售及銷售管理活動(dòng)而言，與GDPR的要求是有明顯差距的。

在評估GDPR對銷售及銷售管理的影響時(shí)，需要明確以下問題：

（1）銷售和銷售管理工作過程中，需要處理的個(gè)人數(shù)據(jù)有哪些？（此處的銷售和銷售管理含電商平臺。）

（2）這些數(shù)據(jù)的目的分別是什么？實(shí)現(xiàn)數(shù)據(jù)處理目的所必需的時(shí)間是多久？

（3）需要采取哪些具體的處理措施，如收集、記錄、拷貝、分析、轉(zhuǎn)發(fā)？

（4）哪些人有權(quán)訪問這些數(shù)據(jù)？數(shù)據(jù)存儲環(huán)境有哪些技術(shù)上和管理上的安全保障措施來確保數(shù)據(jù)的保密性和完整性，如數(shù)據(jù)不會被篡改、拷貝、刪除、非法訪問？

（5）所收集的個(gè)人數(shù)據(jù)是否需要轉(zhuǎn)移到歐盟境外進(jìn)行處理？如果有，采取了哪些合規(guī)舉措確保數(shù)據(jù)主體的權(quán)利和自由得到了應(yīng)有的保護(hù)？

（6）采用什么方式進(jìn)行存儲？存儲期限是否有明確的約定？如有約定，是多久？

（7）為銷售及客戶管理需要，是否有委托第三方進(jìn)行客戶數(shù)據(jù)處理，如數(shù)據(jù)收集、數(shù)據(jù)分析、用戶滿意度調(diào)查？如果有，是否有相應(yīng)的約束協(xié)議限定了第三方數(shù)據(jù)處理的范圍、責(zé)任和義務(wù)？

（8）企業(yè)在銷售活動(dòng)過程中，是否有受政企客戶的委托進(jìn)行相應(yīng)的數(shù)據(jù)處理，如替運(yùn)營商客戶收集終端用戶的信息、分析終端用戶的信息？

（9）是否建立了銷售及客戶管理的個(gè)人數(shù)據(jù)保護(hù)制度，將以上各項(xiàng)活動(dòng)要求文件化？

（10）是否對銷售及客戶管理的所需處理的個(gè)人數(shù)據(jù)進(jìn)行過數(shù)據(jù)分類，對數(shù)據(jù)的來源和去向做出明確界定，并適時(shí)開展數(shù)據(jù)保護(hù)影響分析，比如是否有非必要數(shù)據(jù)，如果有，應(yīng)及時(shí)刪除；約定的存儲期限是否超過了數(shù)據(jù)處理目的所必需的時(shí)間，如果超過，應(yīng)修改存儲時(shí)間；是否定期對安全性措施的有效性和適用性進(jìn)行技術(shù)性和管理性評審；如果有電商平臺，用戶注冊為電商用戶時(shí)，是否有隱私保護(hù)提示和聲明，內(nèi)容是否合法合規(guī)等。

3.2 對企業(yè)供應(yīng)鏈管理的影響分析

企業(yè)供應(yīng)鏈管理工作，同樣離不開供應(yīng)鏈各環(huán)節(jié)的個(gè)人數(shù)據(jù)，在處理供應(yīng)鏈上各環(huán)節(jié)個(gè)人數(shù)據(jù)的過程中，也應(yīng)參考表1的原則要求對現(xiàn)有供應(yīng)鏈上各相關(guān)數(shù)據(jù)主體的信息收集范圍和處理方式進(jìn)行梳理和分析。就當(dāng)前大部分企業(yè)的供應(yīng)鏈管理活動(dòng)而言，與GDPR的要求還是有明顯差距的。

在評估GDPR對供應(yīng)鏈管理的影響時(shí)，需要明確以下問題：

（1）供應(yīng)鏈管理工作過程中，需要處理的個(gè)人數(shù)據(jù)有哪些？（此處的供應(yīng)鏈管理涉及的個(gè)人數(shù)據(jù)應(yīng)包括供應(yīng)商員工的信息以及企業(yè)自身員工的信息。）

（2）這些數(shù)據(jù)的目的分別是什么？實(shí)現(xiàn)數(shù)據(jù)處理目的所必需的時(shí)間是多久？

（3）需要采取哪些具體的處理措施，如收集、記錄、拷貝、分析、轉(zhuǎn)發(fā)？

（4）哪些人有權(quán)訪問這些數(shù)據(jù)？數(shù)據(jù)存儲環(huán)境有哪些技術(shù)上和管理上的安全保障措施來確保數(shù)據(jù)的保密性和完整性，如數(shù)據(jù)不會被篡改、拷貝、刪除、非法訪問？

（5）所收集的個(gè)人數(shù)據(jù)是否需要轉(zhuǎn)移到歐盟境外進(jìn)行處理？如果有，采取了哪些合規(guī)舉措確保數(shù)據(jù)主體的權(quán)利和自由得到了應(yīng)有的保護(hù)？

（6）采用什么方式進(jìn)行存儲？存儲期限是否有明確的約定？如有約定，是多久？

（7）為供應(yīng)鏈管理的需要，是否有委托第三方進(jìn)行供應(yīng)鏈上的個(gè)人數(shù)據(jù)處理，如數(shù)據(jù)收集、數(shù)據(jù)分析、供應(yīng)商滿意度調(diào)查？如果有，是否有相應(yīng)的約束協(xié)議限定了第三方數(shù)據(jù)處理的范圍、責(zé)任和義務(wù)？

（8）企業(yè)在供應(yīng)鏈系列活動(dòng)過程中，是否有受第三方的委托進(jìn)行相應(yīng)的數(shù)據(jù)處理，如替物流平臺、材料平臺做一些供應(yīng)鏈個(gè)人數(shù)據(jù)分析？

（9）是否建立了供應(yīng)鏈管理的個(gè)人數(shù)據(jù)保護(hù)制度，將以上各項(xiàng)活動(dòng)要求文件化？

（10）是否對供應(yīng)鏈管理的所需處理的個(gè)人數(shù)據(jù)進(jìn)行過數(shù)據(jù)分類，對數(shù)據(jù)的來源和去向做出明確界定，并適時(shí)開展數(shù)據(jù)保護(hù)影響分析，比如是否有非必要數(shù)據(jù)，如果有，應(yīng)及時(shí)刪除；約定的存儲期限是否超過了數(shù)據(jù)處理目的所必需的時(shí)間，如果超過，應(yīng)修改存儲時(shí)間； 是否定期對安全性措施的有效性和適用性進(jìn)行技術(shù)性和管理性評審；如果有供應(yīng)商信息系統(tǒng)需要做供應(yīng)商資格注冊，其注冊涉及提交個(gè)人數(shù)據(jù)時(shí)，是否有隱私保護(hù)提示和聲明，內(nèi)容是否合法合規(guī)等。

4 對企業(yè)職能平臺的影響分析

4.1 對企業(yè)人力資源及財(cái)務(wù)管理的影響分析

人力資源及財(cái)務(wù)管理是企業(yè)個(gè)人數(shù)據(jù)最集中的領(lǐng)域之一，在處理人力資源及財(cái)務(wù)管理各環(huán)節(jié)個(gè)人數(shù)據(jù)的過程中，同樣首先應(yīng)參考表1的原則要求對現(xiàn)有人力資源及財(cái)務(wù)管理各相關(guān)數(shù)據(jù)主體的信息收集范圍和處理方式進(jìn)行梳理和分析。就當(dāng)前大部分企業(yè)的人力資源及財(cái)務(wù)管理活動(dòng)而言，與GDPR的要求是有明顯差距的。

在評估GDPR對人力資源及財(cái)務(wù)管理的影響時(shí)，需要明確以下問題：

（1）企業(yè)是否在歐洲境內(nèi)有分支機(jī)構(gòu)？人力資源及財(cái)務(wù)管理工作過程中，需要處理的個(gè)人數(shù)據(jù)有哪些？（此處的人力資源及財(cái)務(wù)管理涉及的個(gè)人數(shù)據(jù)主體主要為本企業(yè)在歐盟境內(nèi)的員工，不管其是臨時(shí)雇員還是長期雇員，或者通過第三方人力資源及財(cái)務(wù)外包公司轉(zhuǎn)包雇用的員工。）

（2）這些數(shù)據(jù)的目的分別是什么？實(shí)現(xiàn)數(shù)據(jù)處理目的所必需的時(shí)間是多久？

（3）需要采取哪些具體的處理措施，如收集、記錄、拷貝、分析、轉(zhuǎn)發(fā)？

（4）哪些人有權(quán)訪問這些數(shù)據(jù)？數(shù)據(jù)存儲環(huán)境有哪些技術(shù)上和管理上的安全保障措施來確保數(shù)據(jù)的保密性和完整性，如數(shù)據(jù)不會被篡改、拷貝、刪除、非法訪問？

（5）所收集的個(gè)人數(shù)據(jù)是否需要轉(zhuǎn)移到歐盟境外進(jìn)行處理？如果有，采取了哪些合規(guī)舉措確保數(shù)據(jù)主體的權(quán)利和自由得到了應(yīng)有的保護(hù)？

（6）采用什么方式進(jìn)行存儲？存儲期限是否有明確的約定？如有約定，是多久？

（7）為人力資源及財(cái)務(wù)管理的需要，是否有委托第三方進(jìn)行人力資源及財(cái)務(wù)管理各環(huán)節(jié)的個(gè)人數(shù)據(jù)處理，如數(shù)據(jù)收集、數(shù)據(jù)分析、員工滿意度和敬業(yè)度調(diào)查？如果有，是否有相應(yīng)的約束協(xié)議限定了第三方數(shù)據(jù)處理的范圍、責(zé)任和義務(wù)？

（8）企業(yè)在人力資源及財(cái)務(wù)管理活動(dòng)過程中，企業(yè)自身是否有受第三方的委托進(jìn)行相應(yīng)的數(shù)據(jù)處理，如人力資源或財(cái)務(wù)管理研究機(jī)構(gòu)、教育培訓(xùn)機(jī)構(gòu)、健康咨詢機(jī)構(gòu)做一些人力資源個(gè)人數(shù)據(jù)分析？

（9）是否建立了人力資源及財(cái)務(wù)管理的個(gè)人數(shù)據(jù)保護(hù)制度，將以上各項(xiàng)活動(dòng)要求文件化？

（10）是否對人力資源及財(cái)務(wù)管理的所需處理的個(gè)人數(shù)據(jù)進(jìn)行過數(shù)據(jù)分類，對數(shù)據(jù)的來源和去向做出明確界定，并適時(shí)開展數(shù)據(jù)保護(hù)影響分析，比如是否有非必要數(shù)據(jù)，如果有，應(yīng)及時(shí)刪除；約定的存儲期限是否超過了數(shù)據(jù)處理目的所必需的時(shí)間，如果超過，應(yīng)修改存儲時(shí)間； 是否定期對安全性措施的有效性和適用性進(jìn)行技術(shù)性和管理性評審；針對人力資源招聘網(wǎng)站和人事財(cái)務(wù)IT系統(tǒng)，如果需要注冊才能使用，其注冊涉及提交個(gè)人數(shù)據(jù)時(shí)，是否有隱私保護(hù)提示和聲明，內(nèi)容是否合法合規(guī)等。

4.2 對企業(yè)信息安全管理的影響分析

傳統(tǒng)的信息安全事件響應(yīng)對象主要從網(wǎng)絡(luò)、系統(tǒng)、機(jī)房基礎(chǔ)設(shè)施三方面展開。就GDPR而言，傳統(tǒng)的信息安全事件響應(yīng)對象仍然完全適用，這些都是GDPR個(gè)人數(shù)據(jù)安全事件響應(yīng)機(jī)制應(yīng)該考慮的基本面，是必不可少的，但是，和傳統(tǒng)的信息安全事件響應(yīng)內(nèi)容和流程相比較，GDPR還有其自身的額外要求，如：

（1）發(fā)生個(gè)人數(shù)據(jù)安全事件后，企業(yè)不能不當(dāng)延誤，而且至少應(yīng)當(dāng)在知道之時(shí)起72小時(shí)以內(nèi)通知監(jiān)管機(jī)構(gòu)，除非個(gè)人數(shù)據(jù)的泄露不會導(dǎo)致自然人權(quán)利和自由的風(fēng)險(xiǎn)。

（2）發(fā)生個(gè)人數(shù)據(jù)安全事件后，如果個(gè)人數(shù)據(jù)泄露可能對自然人權(quán)利和自由形成很高的風(fēng)險(xiǎn)，企業(yè)應(yīng)毫不延誤地就個(gè)人數(shù)據(jù)泄露的主體進(jìn)行交流。

（3）如果發(fā)生數(shù)據(jù)安全事件的企業(yè)所處理的數(shù)據(jù)是受另一企業(yè)委托進(jìn)行的，其有義務(wù)和委托企業(yè)保持密切互動(dòng)并提醒委托企業(yè)及時(shí)通知監(jiān)管機(jī)構(gòu)和數(shù)據(jù)主體。

4.3 對企業(yè)IT系統(tǒng)的影響分析

IT系統(tǒng)目前已經(jīng)成為最為普遍和基本的企業(yè)運(yùn)營管理支撐工具，無論是銷售及銷售管理、供應(yīng)鏈管理、人力資源及財(cái)務(wù)管理還是其他諸如質(zhì)量管理等，涉及大量數(shù)據(jù)的管理和應(yīng)用時(shí)均已經(jīng)實(shí)現(xiàn)IT化。

IT系統(tǒng)的GDPR合規(guī)要求如何落地？基本工作如圖2所示。

相較于傳統(tǒng)的IT系統(tǒng)規(guī)劃和設(shè)計(jì)，滿足GDPR要求的IT系統(tǒng)，在架構(gòu)設(shè)計(jì)和開發(fā)實(shí)踐上，新增了不少個(gè)人數(shù)據(jù)保護(hù)和權(quán)限管理的要求。

5 對企業(yè)產(chǎn)品活動(dòng)的影響分析

本文主要針對ICT產(chǎn)品的企業(yè)，這里的ICT產(chǎn)品僅指會涉及個(gè)人數(shù)據(jù)處理的純軟件產(chǎn)品和固件類產(chǎn)品（如移動(dòng)智能終端、IOT），不包括那些不涉及個(gè)人數(shù)據(jù)處理的產(chǎn)品（如電源適配器）。

ICT產(chǎn)品的GDPR合規(guī)要求如何落地？基本工作如圖3所示。

相較于傳統(tǒng)的ICT產(chǎn)品的規(guī)劃和設(shè)計(jì)，滿足GDPR要求的ICT產(chǎn)品在架構(gòu)設(shè)計(jì)和開發(fā)實(shí)踐上，新增了不少個(gè)人數(shù)據(jù)保護(hù)和權(quán)限管理的要求。

在確定應(yīng)用產(chǎn)品規(guī)劃和設(shè)計(jì)方案時(shí)，應(yīng)遵循以下幾點(diǎn)：

（1）應(yīng)定義清楚該產(chǎn)品將可能會涉及的個(gè)人數(shù)據(jù)類型，對其進(jìn)行匯總和分類。

（2）針對匯總的個(gè)人數(shù)據(jù)類型，依照GDPR數(shù)據(jù)處理的基本原則和要求（參見表1）確定數(shù)據(jù)處理方案，對其做好數(shù)據(jù)保護(hù)影響分析，建立適用于該ICT產(chǎn)品的個(gè)人數(shù)據(jù)字典，明確該系統(tǒng)將處理的個(gè)人數(shù)據(jù)種類、目的、數(shù)量、規(guī)模、儲存期限和可訪問對象，以及各類數(shù)據(jù)在IT系統(tǒng)中的儲存與管理時(shí)應(yīng)該給予的處理權(quán)限，如同意/不同意、可修改/不可修改、可復(fù)制/不可復(fù)制。

（3）應(yīng)提前確定該應(yīng)用產(chǎn)品需要實(shí)現(xiàn)的數(shù)據(jù)保護(hù)和數(shù)據(jù)服務(wù)的功能及應(yīng)用范圍。

（4）ICT產(chǎn)品設(shè)計(jì)方案應(yīng)明確安全性需求，這是GDPR核心要求之一。ICT產(chǎn)品安全涉及的范圍包括硬件安全、App安全、操作系統(tǒng)安全、傳輸安全以及各種權(quán)限開關(guān)和隱私聲明。

ICT產(chǎn)品開發(fā)時(shí)，應(yīng)采用必要的個(gè)人數(shù)據(jù)保護(hù)技術(shù)以確保個(gè)人數(shù)據(jù)安全性，如匿名化技術(shù)和數(shù)據(jù)加密技術(shù)。

如果企業(yè)暫不具備能力開展以上各類GDPR驗(yàn)證測評，可以委托有能力的第三方機(jī)構(gòu)進(jìn)行合規(guī)性分析、漏洞檢測和滲透測試，找出產(chǎn)品的脆弱點(diǎn)并加以改進(jìn)。

產(chǎn)品售后及運(yùn)行維護(hù)與企業(yè)IT系統(tǒng)的運(yùn)行維護(hù)有較大區(qū)別，ICT產(chǎn)品的售后還包括一些固件的維修管理。

6 結(jié)束語

GDPR的通過意味著歐盟對個(gè)人隱私保護(hù)及其監(jiān)管達(dá)到了前所未有的高度，堪稱史上最嚴(yán)格的數(shù)據(jù)保護(hù)法案。企業(yè)應(yīng)實(shí)施合適的防范措施、技術(shù)標(biāo)準(zhǔn)和策略以應(yīng)對即將到來的數(shù)據(jù)保護(hù)法案。