欧盟GDPR法规对企业的影响及其对策分析

　　2012年11月，欧盟委员会制定了具有更强包容性和合作性的《通用数据保护条例》（General Data Protection Regulation，简称GDPR），2018年5月25日，GDPR法规将在欧盟28成员国强制执行。GDPR是目前最先进的隐私保护制度，可能会导致高达年收入4%的罚款，这将对企业产生怎样的影响，企业又将如何应对？论文将从企业组织架构、业务管理、职能平台、产品活动四个方面进行分析。

　　0 前言

　　2012年11月，欧盟委员会制定了具有更强包容性和合作性的《通用数据保护条例》（General Data Protection Regulation，GDPR）。2016年4月14日，欧盟举行会议通过GDPR。2018年5月25日，GDPR法規将在欧盟28成员国强制执行。

　　GDPR旨在取代1995年发布的欧盟数据保护指令，这个指令主要为了保护欧盟公民的个人数据的隐私性，而GDPR对这些数据保护规则进行了改革和更新。新法规的要点包括管理个人数据的权利、数据泄露获得通知的权利以及“被遗忘权”。GDPR是目前最先进的隐私保护制度，可能会导致高达年收入4%的罚款，这将如何影响各企业，企业又将如何应对？本文将从企业组织架构、业务管理、职能平台、产品活动四个方面进行分析。

　　1 关键影响领域

　　GDPR对企业的影响是综合的、系统性的，几乎涉及企业经营活动的各个领域，图概括了企业里受到GDPR直接影响的主要领域。

　　在评估GDPR对企业各领域可能带来的影响、探求改进对策时，应参照GDPR数据处理的基本原则和要求，GDPR各项原则要求概括起来如表所示。

　　2 对企业组织架构的影响分析

　　根据GDPR第4章要求，应该建立数据保护官（Data Protection Officer，DPO）制度，DPO应该是独立任命的，他们不能因为执行任务的原因而被解雇或者受到刑事处罚，DPO直接向最高管理者报告工作。

　　与合规官或法律顾问不同，企业的DPO需要向执行委员会报告，并有权监视组织的数据处理。拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们是否处理敏感数据的情况而定，拥有少于250名员工的组织可根据企业运营的实际情况来决定是否指定DPO。

　　3 对企业业务管理的影响分析

　　3.1 对企业销售及销售管理的影响分析

　　销售及销售管理工作，离不开客户的个人数据，在处理客户数据的过程中，应参考表1的原则要求对现有客户信息收集范围和处理方式进行重新梳理和分析。就当前大部分企业的销售及销售管理活动而言，与GDPR的要求是有明显差距的。

　　在评估GDPR对销售及销售管理的影响时，需要明确以下问题：

　　（1）销售和销售管理工作过程中，需要处理的个人数据有哪些？（此处的销售和销售管理含电商平台。）

　　（2）这些数据的目的分别是什么？实现数据处理目的所必需的时间是多久？

　　（3）需要采取哪些具体的处理措施，如收集、记录、拷贝、分析、转发？

　　（4）哪些人有权访问这些数据？数据存储环境有哪些技术上和管理上的安全保障措施来确保数据的保密性和完整性，如数据不会被篡改、拷贝、删除、非法访问？

　　（5）所收集的个人数据是否需要转移到欧盟境外进行处理？如果有，采取了哪些合规举措确保数据主体的权利和自由得到了应有的保护？

　　（6）采用什么方式进行存储？存储期限是否有明确的约定？如有约定，是多久？

　　（7）为销售及客户管理需要，是否有委托第三方进行客户数据处理，如数据收集、数据分析、用户满意度调查？如果有，是否有相应的约束协议限定了第三方数据处理的范围、责任和义务？

　　（8）企业在销售活动过程中，是否有受政企客户的委托进行相应的数据处理，如替运营商客户收集终端用户的信息、分析终端用户的信息？

　　（9）是否建立了销售及客户管理的个人数据保护制度，将以上各项活动要求文件化？

　　（10）是否对销售及客户管理的所需处理的个人数据进行过数据分类，对数据的来源和去向做出明确界定，并适时开展数据保护影响分析，比如是否有非必要数据，如果有，应及时删除；约定的存储期限是否超过了数据处理目的所必需的时间，如果超过，应修改存储时间；是否定期对安全性措施的有效性和适用性进行技术性和管理性评审；如果有电商平台，用户注册为电商用户时，是否有隐私保护提示和声明，内容是否合法合规等。

　　3.2 对企业供应链管理的影响分析

　　企业供应链管理工作，同样离不开供应链各环节的个人数据，在处理供应链上各环节个人数据的过程中，也应参考表1的原则要求对现有供应链上各相关数据主体的信息收集范围和处理方式进行梳理和分析。就当前大部分企业的供应链管理活动而言，与GDPR的要求还是有明显差距的。

　　在评估GDPR对供应链管理的影响时，需要明确以下问题：

　　（1）供应链管理工作过程中，需要处理的个人数据有哪些？（此处的供应链管理涉及的个人数据应包括供应商员工的信息以及企业自身员工的信息。）

　　（2）这些数据的目的分别是什么？实现数据处理目的所必需的时间是多久？

　　（3）需要采取哪些具体的处理措施，如收集、记录、拷贝、分析、转发？

　　（4）哪些人有权访问这些数据？数据存储环境有哪些技术上和管理上的安全保障措施来确保数据的保密性和完整性，如数据不会被篡改、拷贝、删除、非法访问？

　　（5）所收集的个人数据是否需要转移到欧盟境外进行处理？如果有，采取了哪些合规举措确保数据主体的权利和自由得到了应有的保护？

　　（6）采用什么方式进行存储？存储期限是否有明确的约定？如有约定，是多久？

　　（7）为供应链管理的需要，是否有委托第三方进行供应链上的个人数据处理，如数据收集、数据分析、供应商满意度调查？如果有，是否有相应的约束协议限定了第三方数据处理的范围、责任和义务？

　　（8）企业在供应链系列活动过程中，是否有受第三方的委托进行相应的数据处理，如替物流平台、材料平台做一些供应链个人数据分析？

　　（9）是否建立了供应链管理的个人数据保护制度，将以上各项活动要求文件化？

　　（10）是否对供应链管理的所需处理的个人数据进行过数据分类，对数据的来源和去向做出明确界定，并适时开展数据保护影响分析，比如是否有非必要数据，如果有，应及时删除；约定的存储期限是否超过了数据处理目的所必需的时间，如果超过，应修改存储时间；是否定期对安全性措施的有效性和适用性进行技术性和管理性评审；如果有供应商信息系统需要做供应商资格注册，其注册涉及提交个人数据时，是否有隐私保護提示和声明，内容是否合法合规等。

　　4 对企业职能平台的影响分析

　　4.1 对企业人力资源及财务管理的影响分析

　　人力资源及财务管理是企业个人数据最集中的领域之一，在处理人力资源及财务管理各环节个人数据的过程中，同样首先应参考表1的原则要求对现有人力资源及财务管理各相关数据主体的信息收集范围和处理方式进行梳理和分析。就当前大部分企业的人力资源及财务管理活动而言，与GDPR的要求是有明显差距的。

　　在评估GDPR对人力资源及财务管理的影响时，需要明确以下问题：

　　（1）企业是否在欧洲境内有分支机构？人力资源及财务管理工作过程中，需要处理的个人数据有哪些？（此处的人力资源及财务管理涉及的个人数据主体主要为本企业在欧盟境内的员工，不管其是临时雇员还是长期雇员，或者通过第三方人力资源及财务外包公司转包雇用的员工。）

　　（2）这些数据的目的分别是什么？实现数据处理目的所必需的时间是多久？

　　（3）需要采取哪些具体的处理措施，如收集、记录、拷贝、分析、转发？

　　（4）哪些人有权访问这些数据？数据存储环境有哪些技术上和管理上的安全保障措施来确保数据的保密性和完整性，如数据不会被篡改、拷贝、删除、非法访问？

　　（5）所收集的个人数据是否需要转移到欧盟境外进行处理？如果有，采取了哪些合规举措确保数据主体的权利和自由得到了应有的保护？

　　（6）采用什么方式进行存储？存储期限是否有明确的约定？如有约定，是多久？

　　（7）为人力资源及财务管理的需要，是否有委托第三方进行人力资源及财务管理各环节的个人数据处理，如数据收集、数据分析、员工满意度和敬业度调查？如果有，是否有相应的约束协议限定了第三方数据处理的范围、责任和义务？

　　（8）企业在人力资源及财务管理活动过程中，企业自身是否有受第三方的委托进行相应的数据处理，如人力资源或财务管理研究机构、教育培训机构、健康咨询机构做一些人力资源个人数据分析？

　　（9）是否建立了人力资源及财务管理的个人数据保护制度，将以上各项活动要求文件化？

　　（10）是否对人力资源及财务管理的所需处理的个人数据进行过数据分类，对数据的来源和去向做出明确界定，并适时开展数据保护影响分析，比如是否有非必要数据，如果有，应及时删除；约定的存储期限是否超过了数据处理目的所必需的时间，如果超过，应修改存储时间；是否定期对安全性措施的有效性和适用性进行技术性和管理性评审；针对人力资源招聘网站和人事财务IT系统，如果需要注册才能使用，其注册涉及提交个人数据时，是否有隐私保护提示和声明，内容是否合法合规等。

　　4.2 对企业信息安全管理的影响分析

　　传统的信息安全事件响应对象主要从网络、系统、机房基础设施三方面展开。就GDPR而言，传统的信息安全事件响应对象仍然完全适用，这些都是GDPR个人数据安全事件响应机制应该考虑的基本面，是必不可少的，但是，和传统的信息安全事件响应内容和流程相比较，GDPR还有其自身的额外要求，如：

　　（1）发生个人数据安全事件后，企业不能不当延误，而且至少应当在知道之时起72小时以内通知监管机构，除非个人数据的泄露不会导致自然人权利和自由的风险。

　　（2）发生个人数据安全事件后，如果个人数据泄露可能对自然人权利和自由形成很高的风险，企业应毫不延误地就个人数据泄露的主体进行交流。

　　（3）如果发生数据安全事件的企业所处理的数据是受另一企业委托进行的，其有义务和委托企业保持密切互动并提醒委托企业及时通知监管机构和数据主体。

　　4.3 对企业IT系统的影响分析

　　IT系统目前已经成为最为普遍和基本的企业运营管理支撑工具，无论是销售及销售管理、供应链管理、人力资源及财务管理还是其他诸如质量管理等，涉及大量数据的管理和应用时均已经实现IT化。

　　IT系统的GDPR合规要求如何落地？基本工作如图2所示。

　　相较于传统的IT系统规划和设计，满足GDPR要求的IT系统，在架构设计和开发实践上，新增了不少个人数据保護和权限管理的要求。

　　5 对企业产品活动的影响分析

　　本文主要针对ICT产品的企业，这里的ICT产品仅指会涉及个人数据处理的纯软件产品和固件类产品（如移动智能终端、IOT），不包括那些不涉及个人数据处理的产品（如电源适配器）。

　　ICT产品的GDPR合规要求如何落地？基本工作如图3所示。

　　相较于传统的ICT产品的规划和设计，满足GDPR要求的ICT产品在架构设计和开发实践上，新增了不少个人数据保护和权限管理的要求。

　　在确定应用产品规划和设计方案时，应遵循以下几点：

　　（1）应定义清楚该产品将可能会涉及的个人数据类型，对其进行汇总和分类。

　　（2）针对汇总的个人数据类型，依照GDPR数据处理的基本原则和要求（参见表1）确定数据处理方案，对其做好数据保护影响分析，建立适用于该ICT产品的个人数据字典，明确该系统将处理的个人数据种类、目的、数量、规模、储存期限和可访问对象，以及各类数据在IT系统中的储存与管理时应该给予的处理权限，如同意/不同意、可修改/不可修改、可复制/不可复制。

　　（3）应提前确定该应用产品需要实现的数据保护和数据服务的功能及应用范围。

　　（4）ICT产品设计方案应明确安全性需求，这是GDPR核心要求之一。ICT产品安全涉及的范围包括硬件安全、App安全、操作系统安全、传输安全以及各种权限开关和隐私声明。

　　ICT产品开发时，应采用必要的个人数据保护技术以确保个人数据安全性，如匿名化技术和数据加密技术。

　　如果企业暂不具备能力开展以上各类GDPR验证测评，可以委托有能力的第三方机构进行合规性分析、漏洞检测和渗透测试，找出产品的脆弱点并加以改进。

　　产品售后及运行维护与企业IT系统的运行维护有较大区别，ICT产品的售后还包括一些固件的维修管理。

　　6 结束语

　　GDPR的通过意味着欧盟对个人隐私保护及其监管达到了前所未有的高度，堪称史上最严格的数据保护法案。企业应实施合适的防范措施、技术标准和策略以应对即将到来的数据保护法案。

　　摘自：《中国质量与标准导报》2018年4期

　　段利艳，王志辉，周静丽