中企应参照反思自身制度缺陷

近日，欧洲数据保护委员会（EDPB）公布了首份《通用数据保护条例》（GDPR）年度报告。去年5月25日，欧盟出台GDPR并正式生效。在这一年时间里，有些企业因为违反GDPR的规定而遭到巨额罚款。报告揭示了欧洲经济区各国监管机构在这一年中是如何携手实施GDPR的。

首份GDPR年度报告显示，一年来，各国监管机构共上报20万例案件，分属3个主要门类：近半数案件是投诉，小部分涉及数据泄露和其他问题。一年内，监管机构审结了超过一半的案子。GDPR明确要求各国监管机构对违规数据处理者或控制者拥有不同类型的纠正权，包括发出警告、宣告申斥、责令合规以及判处违规罚款。GDPR生效以来，31家各国监管机构共判处了5000万欧元的行政罚款。此外，各国监管机构增强了参与度以适应其不断扩大的执法权力，且跨境案件数量很大，30家监管机构登记的281件案子都有跨境内容。

“GDPR为隐私和数据保护设定了一个新的全球标准，越来越多的国家开始借鉴GDPR中的一些原则和条例。”在日前举办的数据保护法研讨会上，司力达律师事务所律师丽贝卡表示，业务遍及全球的中资企业必须了解相关国家的数据保护法律。

司力达律师事务所律师凯文·沃伯顿表示，一般来说，中国企业并不直接受GDPR限制，欧盟企业需要在合同中对中国企业施加相关义务。但也有特殊情况，比如，在欧盟未设机构的一家中国企业为游客提供城市地图服务，该应用程序也未入驻欧盟应用程式商店。但当用户在应用程序覆盖的城市使用该程序时，该程式会定位用户的位置，如果用户前往欧洲地区，那么该企业就可能受到GDPR的管制。

“GDPR 提升了消费者对个人资料收集与使用的关注，企业需要落地实施，给消费者一种自身数据被合理存储和保护的安全感，来建立与消费者的信任。GDPR不是简单修改网页信息，更不是一次性行为。企业面对的数据库和数据流是不断增长变化的，用户数据会随时随地改变，需要系统落地实施，进行全生命周期管理。时间就是金钱，越早落地部署实施，企业被处罚的风险越小。”丽贝卡建议，企业应重新审阅产品的隐私权通知，评估企业隐私权文化，建立信息保障制度。同时考虑GDPR如何应用于新技术，例如人工智能、区块链等，更深入地分析数据流向，完善删除数据的方式以及并购交易对隐私权的影响。

“企业应反思自身制度缺陷，将数据管理和数据道德伦理管理（包括尊重、互惠和公平）纳入管理制度之中，从最高管理层做起，由上而下贯彻执行数据合规的政策。”司力达律师事务所律师郑诺铭认为，企业要制定详细的审核计划，逐步按照计划完成合规审核工作。审核工作顺利开展的重要因素之一，就是要准确评估企业所收集的欧盟居民数据、存储位置以及处理方式和地点等信息。例如，是谁在负责跟踪这些数据，如何根据欧盟居民的要求来移除或转移此类数据？是否确保此类请求是合法的？得到数据后如何正确使用？如果要删除数据，是否能保证包括数据备份在内的所有存储库都能及时更新和清理。

“审核团队还要根据特定区域的风险级别，来确定不合规区域的优先级。在进行补救工作时，需要采取基于风险的优先级评定方法。”郑诺铭称，一些补救项目将比其他补救项目耗时更久，企业一定要做好资源分配工作。例如，技术修复和升级可能需要更多预算和人员支持，数据主体权可能需要为负责最终用户请求的前端处理团队成员提供开发培训等。在确定风险时应该考虑的因素还包括发生概率、与监管不一致的程度以及发生侵权时的业务影响。从风险最高的领域开始，对发现阶段识别出的GDPR合规性差距进行及时补救。

此外，除了GDPR，受此类条例约束的企业还必须遵守世界范围内其他众多法规，内容涵盖信息安全、数据隐私、违规通知和文件归档等，包括《支付卡行业数据安全标准》《萨班斯—奥克斯利法案》《美国健康保险携带和责任法案》，以及金融服务行业要遵守的《支付服务指令》第二版、《金融工具市场指令II》和世界其他辖区推出的各种反洗钱法规。“这些法规对数据的收集、使用和存储以及企业在发生安全违规时应采取的步骤，均有不同要求，建议企业咨询专业人士进行风险防范。”丽贝卡说。