我國企業(yè)應(yīng)對歐盟GDPR的幾點建議

■ 賽迪智庫

GDPR被稱為史上最嚴(yán)格的數(shù)據(jù)保護立法。GDPR的嚴(yán)格主要體現(xiàn)在對個人權(quán)利的細(xì)致保護，以及對違法行為的高昂處罰。如此嚴(yán)苛的隱私保護條例和高額的罰款會讓部分企業(yè)直接退出歐洲市場，但是退出歐洲市場并不是長久之計，同時也違背了個人信息保護的原則。

我國企業(yè)應(yīng)如何應(yīng)對GDPR，提出以下幾點建議。

1.培養(yǎng)個人信息安全保護的戰(zhàn)略意識。積極組織專題宣傳培訓(xùn)和研討交流活動，在執(zhí)法檢查過程中加強監(jiān)督引導(dǎo)，將個人信息安全保護作為占有市場和增強用戶黏性的戰(zhàn)略舉措。采取閉環(huán)管理的理念，在設(shè)計系統(tǒng)架構(gòu)之初就應(yīng)該把安全因素納入架構(gòu)設(shè)計范圍，變被動為主動，逐步培養(yǎng)起安全與發(fā)展并重的良性大數(shù)據(jù)產(chǎn)業(yè)生態(tài)環(huán)境。鼓勵企業(yè)與監(jiān)管認(rèn)證機構(gòu)建立長期合作伙伴關(guān)系，為其信息安全管理提供全方位的咨詢和服務(wù)，尤其加強對企業(yè)技術(shù)負(fù)責(zé)人、重點崗位員工的個人信息保護培訓(xùn)。

2.建立健全的個人信息保護制度。更新隱私聲明，確保企業(yè)的隱私聲明符合GDPR的所有規(guī)定。尤其是與相關(guān)供應(yīng)商和合作伙伴方面涉及到個人隱私方面的隱私聲明不僅要與合作伙伴進行及時溝通，而且還要符合條例的相關(guān)約束；建立數(shù)據(jù)保護官制度，GDPR規(guī)定擁有250名或以上員工處理敏感數(shù)據(jù)或犯罪記錄的組織必須指定數(shù)據(jù)保護官（DPO）。這根據(jù)他們是否處理敏感數(shù)據(jù)的情況而定，擁有少于250名員工的組織可能也需要指定DPO；理清義務(wù)責(zé)任和違規(guī)風(fēng)險點，加強數(shù)據(jù)安全監(jiān)管，參照《個人信息保護規(guī)范》等國家標(biāo)準(zhǔn)完善數(shù)據(jù)監(jiān)管制度措施，其中包括數(shù)據(jù)收集、使用和監(jiān)管等，并在此基礎(chǔ)上按照GDPR要求補齊短板。

3.建立合理的個人信息保護應(yīng)急機制。設(shè)立安全檢查專員，對安全事件進行應(yīng)急處理、分析、調(diào)查、跟蹤、總結(jié)和事后教育，進行安全事件的分析調(diào)查與數(shù)據(jù)提供，制定信息安全日常工作匯報等相關(guān)文檔；建立風(fēng)險管理制度，結(jié)合實際工作，總結(jié)個人信息保護風(fēng)險，并定期進行應(yīng)急預(yù)案演練；時刻關(guān)注有關(guān)國家的最新動態(tài)，做好對歐貿(mào)易政策的跟蹤和分析，及時將重要信息反饋給有關(guān)部門。

4.加快創(chuàng)新服務(wù)模式和安全技術(shù)。創(chuàng)新服務(wù)模式，規(guī)避法律風(fēng)險，改變簡單依靠搜集個人信息并不加處理直接利用的商業(yè)模式，圍繞數(shù)據(jù)全生命周期各階段需求，發(fā)展數(shù)據(jù)采集、清洗、分析、交易、安全防護等技術(shù)服務(wù)，培育數(shù)據(jù)服務(wù)新模式和新業(yè)態(tài)。加強信息安全技術(shù)產(chǎn)品研發(fā)，重點研究大數(shù)據(jù)環(huán)境下的統(tǒng)一賬號、認(rèn)證、授權(quán)和審計體系及信息加密和密級管理體系，推廣防泄露、防竊取、匿名化等信息保護技術(shù)，研發(fā)信息安全保護產(chǎn)品和解決方案，通過技術(shù)措施降低合規(guī)成本。