中企应对GDPR困惑多

超过1000家美国新闻网站在欧洲无法访问、Facebook欧洲用户大幅减少、众多国际科技巨头涉嫌违反隐私规定……自5月25日起，被称为“史上最严数据保护条例”“大数据时代的最强法规”的欧盟数据保护条例（GDPR）实施以来，给全球企业数据保护工作敲响了警钟。

世界各国企业纷纷行动起来，加强对个人数据的控制。

日前，在中国贸促会商事法律服务中心举办的“通用数据保护条例——影响全球市场的新规则”讲座上，ECOVIS（国际）咨询集团董事会成员霍毅（Richard Hoffmann）律师表示，GDPR给市场带来了许多新问题，值得中国企业重视。

据了解，很多跨国科技公司已经根据GDPR要求对产品进行了升级。比如国际版微信近日更新了版本，规定了新隐私服务条款，用户180天未使用账号，账号将被清除，聊天记录也在72小时内被清除。腾讯微博也发布了一个iOS版本，说明是“修复了bug”。东方航空也设立了“数据保护官”，以做好旅客个人信息保护工作。

“过去常见的‘同意强制条款’也不再生效。”霍毅举例说，如客户在线申请某银行信用卡页面时，需要勾选“我接受该合同条款”“同意银行采取非人为干预的数据加工决定是否为我开立信用卡”等选项，按照GDPR规定，这种选项被视为无效。

不过，如今仍有相当数量的企业处于观望状态。“我们落地欧盟的子公司会受到管辖，其他境外业务是否会受到规制目前尚不确定，需要根据管辖规定和我们服务的具体情况来判断。未来，欧盟各国执法尺度也可能存在差异，需要长期跟进评估。”某互联网公司法务部员工表示。

有专家指出，很多企业迟迟没有采取措施的原因是GDPR规定并不明确。这部法规长达260余页，涉及众多复杂的概念、规则、条款，牵涉企业的法务、技术、人力等众多部门。“我们公司网站有英文页面，如果欧盟客户访问网站，是否意味着我们要遵守GDPR？进行GDPR合规的成本到底有多高，小企业能否负担得起？我们已经花钱做了中国《网络安全法》的合规，还需要再单独做GDPR的合规项目吗？……”GDPR广泛的域外适用及高额罚金的规定，让许多中国企业产生困惑和担忧，一时无从下手。

霍毅指出，企业应先判断GDPR是否适用于自己。对于跨国企业而言，如果其欧盟的公司主要负责欧盟业务，中国子公司不直接作为交易主体与欧盟客户发生交易，也没有利用任何内部的数据系统用来收集、处理、存储或监控相关个人数据，就很可能不受GDPR影响。对业务已经扩展到欧盟的中国企业来说，可以将在欧盟的公司作为处理欧盟员工、客户或供应商个人数据的实体，与国内公司业务分隔开来。

在定义受保护的个人数据方面，并非一切个人数据都严禁处理。根据GDPR规定，一般情况下，禁止企业处理敏感的个人数据。但也存在例外，如：数据主体将其敏感个人数据公开发布；数据主体明确给予同意；法律法规允许为了公共利益或健康等特定目的处理该数据；在特定领域中，如公共健康、劳动和社会保障，法律对处理敏感个人数据有保障措施时。

对适用GDPR规则的企业，霍毅建议他们在完成每项任务时，完成记录模板，模板内容包括数据处理行为人、行为目的、数据主体类别、个人数据类别、接收方类别、预计删除时间、技术和组织安全措施的一般描述等。其中技术上的安全措施包括：个人数据的假名化和加密；保证处理系统和服务持续保密、完整、可用；在发生物理或技术事故的情况下，及时恢复个人数据；对技术性措施进行定期测试、评定和评估。

“有条件的跨国企业可以任命有专门数据保护知识的数据保护专员，为GDPR的施行执行监管工作。”霍毅表示，数据保护专员的职责是向企业和员工提供GDPR数据保护方面的信息和建议，对企业GDPR合规及数据保护方面的工作进行监管，作为沟通渠道同欧盟GDPR监管部门保持联系，防止数据外泄。同时，数据保护专员有权直接向企业最高管理决策层汇报工作。

此外，企业还要谨防利用GDPR的新型诈骗。“如A公司、B公司是竞争对手，骗子谎称是某律师事务所工作人员，经B公司授权给A公司发警告信，称A公司违反GDPR需要缴纳罚款，来骗取钱财。”霍毅说。