GDPR的推进，对企业意味着什么？

欧盟General Data Protection Regulation（简称“GDPR”）实行在即，企业该如何应对以满足合规需求？...



随着网络的普及和数字化的逐步深入，人们的生活也愈加便利，然而开放的网络环境同时也带来了个人敏感信息被暴露的风险，因此各国也在积极进行旨在保障个人隐私数据安全的相关探索。其中，欧盟在相关立法和监管方面无疑是积极的践行者。

早在1995年，欧盟就已颁布了旨在保护其公民个人数据的《欧盟隐私性数据保护指令》（Directive95/46/EC）。而在今年四月，欧盟举行会议通过了新的General Data Protection Regulation（GDPR），对之前的数据保护规则进行了改革和更新。2018年5月，GDPR将在欧盟28个成员国生效。那么究竟什么是GDPR呢？GDPR的生效又会对企业的日常运营产生哪些影响呢？现在就跟着小编一起来一探究竟吧！

GDPR为欧洲议会通过的最新的数据保护条例，全称General Data Protection Regulation，该条例将在2018年5月25日生效。新条例的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度，可谓是史上最严格的数据保护条例。相比欧盟之前制定的类似规定，新的条例有以下几点值得注意的变化：

1.明确划分并定义了三个数据角色：

• 数据主体，即数据拥有者；
• 数据负责人，即数据收集处理的负责人；
• 数据处理者，即数据处理的执行者。

2.明确了条例的适用主体：

• 住所在欧盟的数据处理者；
• 住所虽然不在欧盟的数据控制者、处理者，但是其在向欧盟内数据主体提供商品和服务的过程中（无论是否需要付费）处理了欧盟内数据主体的个人数据，或对数据主体进行监测；
• 住所虽然不在欧盟的数据者，但在根据国际条约欧盟成员国法律适用的地方。

3.明确保障了用户的被遗忘权和可转移权

• 被遗忘权：当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据，用户有权要求删除数据。
• 可转移权：数据主体可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者。

总而言之，这部具体、明确的GDPR条例充分结合了数字时代的特点，为个人隐私信息提供了强有力的保护。同时在泛欧范围内，统一的数据保护条例更有利于促进执法机构之间的相互合作。

首先GDPR的生效意味着企业需要准备应对这些新的规则以及由处罚和增加的合规成本带来的财务问题。GDPR要求受其管辖的个人信息的数据控制者和数据处理者必须制定相应的公司制度和程序来确保符合GDPR的规定，从而保证个人信息的安全。因此，对于在欧盟拥有业务的企业来说，这个条例将对其数据收集、处理和交易等环节产生重大的影响。如果不能满足GDPR的合规性，企业可能面临最高2000万欧元，或者前一财政年全球总营业额的4%的巨额罚金。除了行政处罚外，违规更可能对企业形象和声誉造成难以估量的损失。

然而正如老话所说：危险和机遇是并存的。GDPR依然给企业带来了一次革新其内部信息管理的机会，Veritas两项最新的调查显示：高达52%的企业储存的数据是极具风险的“暗数据”；在备份环境中，41%的数据在超过3年的时间内无人问津；企业在储存数据上的花费高达23亿美金/PB，持续的开销还以39%的增速每年增加。因此，主动适应GDPR带来的改变得以促进企业在其信息治理方面采取大刀阔斧的改革，减少其持有不必要数据所带来的合规性风险。在欧盟GDPR生效在即，世界各国纷纷立法保障网络隐私数据安全的大趋势下，中国也逐渐加快了国内的相关立法进程。在下期内容中，我们将为您带来国内的关于网络信息安全、隐私数据保护的相关法规分析，并为您的企业在如何满足日趋严厉的合规性要求方面提出合理的建议。

    关注 VERITAS中文社区