企业怎样做更合规？

史上最严格的数据保护条例《通用数据保护条例》（GDPR）已实施一周年有余，这也意味着欧盟对个人信息保护及其监管达到了前所未有的高度。在日前举办的GDPR回顾与展望活动上，锦天城律师事务所合伙人郭素平表示，GDPR系国际社会有关个人数据保护最新、最全面的法律文件。不论是银行、保险、航空等传统行业，还是电子商务、社交网络等新兴领域，只要涉及向欧盟境内个人提供服务并处理个人数据，都将落入GDPR适用范围，除非企业打算放弃拥有5亿人口的欧盟市场。

根据GDPR法规，当有严重数据泄露发生时，数据负责人需要及时通知当地监管部门。

至少满足以下中的一项，处理数据才是合法的：数据主体同意为特定目的处理其数据；处理数据是为签订或履行合同所需的；处理数据是为遵守法定义务所需的；处理数据是为了保护数据主体或其他自然人的至关重要的利益；处理数据是为了公共利益或行使政府授予的权力；处理数据是为追求数据控制者的合理利益，但不得损害数据主体的利益。

GDPR强调，获得用户的同意是使得收集和处理用户个人数据行为合法化的基础，尤其是对于数据画像以及对特殊类别个人数据的处理。条例规定，同意必须是具体的、清晰的，是用户在充分知情的前提下自由做出的。“同意选项”必须与其他选项分离开，语言应清晰且通俗易懂。数据控制者必须告知用户。数据控制者须对用户的同意承担证明责任。

郭素平指出，遵守GDPR，需要掌握合法、合理、透明的原则。即对任何自然人个人数据的收集、使用、咨询或处理以及在何种程度上处理，都必须合法、合理。同时应对该自然人公开透明，应以简洁明晰的语言告知自然人处理个人数据的风险、规则、保障和权利，以及如何行使与处理这些数据有关的权利。

同时，很多企业易忽视目的明确原则。“这一原则与处理个人数据的合法性密切相关。GDPR总结了处理数据的合法目的，包括：数据主体已同意基于一个或多个特定目的处理其个人数据；为履行数据主体已签署的合同而需要对数据进行处理；为履行涉及公共利益的任务而需要对数据进行处理。为了合法地处理数据，必须以特定的合法目的收集数据，且在处理时不得用于与收集数据最初目的不符的目的。”郭素平说。

GDPR生效一年来，欧洲的执法行动开展得如火如荼，Google、Facebook、Amazon等美国科技巨头纷纷在欧洲陷入监管风波。

遍布欧洲23个城市的摩拜单车就曾涉嫌违反GDPR受到德国调查。根据摩拜全球版官网的介绍，摩拜用户的数据可能被传输至中国总部和新加坡。GDPR 对个人信息的跨境传输作出严格规定，数据控制者和处理者不能将欧盟居民的个人信息传输至境外，除非他们能证明为这些信息提供了充足的保护。就此，欧盟提出了充分性认定机制，由欧盟对单个国家、地区、国际组织或行业的个人数据跨境流动进行充分性保护评估或基于用户同意。

郭素平建议企业树立合规意识，确保公司管理层知晓GDPR的生效及其带来的主要变化；做好数据登记，登记公司所收集的数据，包括何地收集以及将数据分享给谁；与数据主体沟通，更新隐私政策，向数据主体提供有关如何处理其个人数据的明确信息；保障数据主体的权利，在数据分类、保留、收集、销毁、存储和搜索等方面采取相应的策略；分析法律依据，收集处理不同的数据时，分析并记录法律依据。因为法律依据不同，所适用的数据收集和处理规则不同，当收集儿童的数据时，儿童的父母或法定监护人必须给予许可才能使数据处理有效；有前瞻性的公司应在系统和程序设计的早期进行数据保护影响评估；任命数据保护官，为应对数据泄露做准备，制定明确的政策和程序，以确保能够快速应对任何数据泄露，并在需要时及时通知；如果公司曾与数据处理者、分包商签订合同，则必须审查合同是否符合GDPR，并在需要时进行更新。

在个人隐私意识大大增强的环境下，不合格的数据保护工作很有可能造成消费者、客户、员工对企业失去信任，企业无法应对激烈的市场竞争、收入锐减、商誉扫地等严峻的不利后果，而这些都是企业承担不起的。郭素平认为，企业除合规风险之外，从经营管理的角度，要维系与消费者、客户、员工的良好关系，确保企业自身的健康发展。建议企业在个人信息保护方面遵循“最佳做法”或者至少是“良好做法”。