qq阅读免费读十天（资深专家为企业支招）

QQ国际版隐私政策截图

一些中国企业认为，GDPR刚刚生效，在监管重点上可能暂时“管不到”它们，您怎么看这种观点？

欧洲监管机构是否“管得到”？这个问题的关键在是否接到投诉。因为在人手不足的情况下，监管机构不可能事无巨细什么都管。因此，欧洲监管机构会更加关注案件是否具有典型意义、相关处罚是否会带来积极效果。

在我看来，不排除有一些欧洲监管机构在接到欧洲公民投诉后，例如接到关于中国某电商平台的投诉，认定其可能对欧洲境内公民的个人数据不当处理或滥用。如果欧洲监管机构认为“是时候出手了”，该中企很可能被“抓典型”，传说中的天价罚款也是分分钟的事。

脸书成为第一批因GDPR不合规而遭到官方投诉的目标 图片来源：东方IC

在GDPR生效的第一天，因为欧洲消费权益组织的一纸投诉，谷歌和脸书等美国互联网巨头，成为第一批因GDPR不合规而遭到官方投诉的目标。由此可见，“抓典型”还是很有可能发生的。

GDPR才生效十几天，我们暂时还没有看到欧盟监管机构依据GDPR对违规企业进行执法的新闻报道。

尽管如此，在2018年3月底，在由国际隐私专业人士协会（IAPP）举行的全球隐私峰会上，爱尔兰执法官员Helen Dixon曾表示，GDPR生效后，欧洲监管机构主要有两大执法重点：

第一是应对式执法，即应对投诉。这些投诉可能因数据控制者对数据主体个人权利进行限制或剥夺而导致。第二个执法重点是主动式执法。

简单来说，如果欧盟监管机构接到个人投诉，一般都会接着展开调查。欧洲一些民间组织也会对企业的个人数据进行监控，一旦发现漏洞就去投诉，相关监管机构紧接着会来调查，媒体也有可能因此跟进报道。上述情况都有可能给中企声誉带来负面影响。

如果欧盟监管机构接到个人投诉，一般都会接着展开调查

一旦中企因数据保护问题损害声誉，特别是那些需要大量使用个人数据的企业，无论到欧盟哪个国家做生意，只要需要跟监管机构谈市场准入，这个问题都不可避免地会被问及。

第二，如果数据控制者对数据主体个人的法定权利进行限制和剥夺，这种违反GDPR的行为很容易引来监管机构的调查和执法。

例如，在欧洲的用户给使用其个人数据的企业写一封邮件，要求该企业删除自己的相关资料。但发出这封邮件后，该用户仍然能收到该企业推送的宣传信息。这种情况也是监管机关调查执法的重点。

因此，中企不要认为GDPR“管不到”自己，它很有可能增大开拓新市场的难度，也有可能损害企业声誉、令企业失去用户信任。

GDPR可能给中企带来哪些影响？

综合来看，GDPR可能对中企的“钱袋子”产生影响。

去欧洲做生意的中国企业，很多时候都是以供应商的身份出现。简单来说就是向欧洲企业卖东西或进行业务合作。

GDPR生效后，欧洲企业在采购货物时，很可能会询问供应商的产品是否符合GDPR要求，服务是否符合GDPR要求。如果供应商在这些采购问卷上回答“不符合”，那这些生意很有可能因此“告吹”。这对中企的影响是最直接的。

此外，数据泄露也可能影响中企的“钱袋子”。

数据泄露也可能影响中企的“钱袋子”

在欧洲，一旦发生数据泄露，企业需要向相关监管机构报告并汇报数据泄露的严重程度。但如果该企业是个“糊涂脑袋”，根本搞不清自己平日里的数据使用情况，在汇报时当然也说不清数据泄露的前因后果。在这种情况下，欧洲监管机关可能就此认定该企业“没有尽到个人数据保护义务”，随之而来处罚也是分分钟的事了。

依靠同一版本的隐私政策能帮中国企业安全过关？

更新隐私政策是一件好事。除了文本上的更新，更重要的是企业实际的行为也根据文本做出相应的调整。数据到了企业之后，其使用情况是不是真的像隐私政策文本里说的那个样子？

文本上的改动很简单，但真正工作流程上的改动是要花大力气的。这涉及到内部改造、整个系统流程的重构，这些是更核心的东西。

根据GDPR的要求，在监管机构调查询问的时候，企业要能提供其遵守隐私政策的证据，“必须具备向对外展示企业已经合规、承担起责任的一个能力”。

对于那些在欧洲和美国同时开展业务的中国企业而言，制定隐私政策一定要依据自身数据处理情况并符合当地法律要求，切忌将同一个版本的隐私政策不加修改地使用。

如果中国企业将一个用于GDPR的隐私政策，不加修改地用于其美国业务。一旦其在美国的数据使用情况与该隐私政策条款出现“言行不一”的情况，这可能会引来美国数据监管机构的调查和执法。

GDPR重锤之下，中国企业该如何应对？

首先，中国企业应该先理清企业内部数据使用情况，理顺之后再做一些后续的合规事项，例如制定符合跨境传输要求的隐私政策等。

在理顺数据使用情况时，如果数据使用情况与企业主营业务没有必要联系，企业应对此予以高度警觉，仔细排查是否存在数据过度采集的情况，因为数据过度采集是不符合GDPR规定的。

第二，设立数据保护合规官。

按照GDPR的规定，有些数据处理情形要求该企业必须指派数据合规官。虽然GDPR并没有规定每一个企业都要设立数据合规官，但设立这一职位代表了企业对落实个人数据保护的重视。

设立数据保护合规官后，企业就必然要给这个职位规定职责、配备相应资源、划拨人员和预算等。这种内部的职责分配和资源安排对GDPR合规非常重要。

在开展工作时，数据合规官也会对员工进行培训，将个人数据保护落实到每一个业务流程中，这也是GDPR合规一个重要环节。

中国企业应该先理顺内部数据使用情况，理顺之后再做一些后续合规事项

第三，针对企业进行培训，理性看待GDPR及其相关规定。

很多中企对GDPR的直观判断就是罚款高、执法严，或者认为GDPR太难合规了，企业达不到要求肯定会遭遇天价罚款。其实，适用GDPR只是意味着数据使用以及保护规则要按GDPR的规定来做，不代表适用了GDPR中国企业就一定是违反这个法律规定的。

很多国家的数据保护法都有关于个人数据使用和保护的规则。因此可以通过与国内法对比的角度来理解GDPR，将GDPR要求“更高”的部分看做是现有流程的一种“增强提高版”。如果认识了GDPR的数据保护规则以及其具体在业务流程中的体现，GDPR合规也并非“不可能完成的任务”，中国企业也没必要过分的担忧。

第四，应对下游供应商进行管理，选择能够采取相应手段保护个人数据的供应商。

很多企业虽然有时候把自己内部的事情处理好了，但因为下游供应商没有严格把控和选择，在下游供应商出现数据保护违规或数据泄露时，企业也需要承担一定的责任。因此，企业应强化对下游供应商的筛选和监管。

（文章为作者独立观点，不代表新华网立场）