GDPR正式实施 中国企业该如何应对

郭涛

就在几天前，Facebook CEO扎克伯格启程去欧盟“道歉”了。试想，如果欧盟的《通用数据保护条例》（GDPR）在“脸书门”爆发之前便已生效，Facebook会不会被罚得“倾家荡产”？

2018年5月25日，GDPR正式生效。之前，各大安全和数据保护厂商以及媒体等都在“打预防针”，甚至将GDPR称为“史上最严数据保护条例”，因为一旦有企业触碰红线，罚款范围是1000万到2000万欧元，或者企业全球年营业额的2%到4%。

就在5月24日，“欧盟GDPR的影响与应对”高峰论坛在北京举行，相关专家、企业代表等近两百人就GDPR实施将引发的热点问题进行探讨。

据悉，欧盟之所以颁布这一新规，主要考虑：为欧盟公民提供更多使用自己的个人资料的权力；加强数字服务提供者与他们所服务的人之间的信任；为企业提供明确的法律框架，通过在欧盟单一市场上制定统一的法律来消除任何区域差异。GDPR不仅将适用于所有欧盟的企业，而且那些与欧盟做生意的企业也要遵守。当前，中国企业正涌起一股“出海潮”，不可避免会与欧盟的企业打交道。那么中国企业对GDPR到底了解多少？

GDPR是悬在头上的剑

记者的一位朋友在一家知名外企从事市场方面的工作。在得知记者准备写一篇关于GDPR的文章，他极为关注。“GDPR和你的工作有关系吗？”记者漫不经心地在微信中问了一句。“关系重大！我们在市场方面所有的数据都要符合GDPR的要求。”朋友这样回答。

中国的企业们听到了吗？GDPR真不是闹着玩的。安全厂商Sophos去年下半年曾在英国针对企业的IT决策者做过一项调查：超过半数的企业承认对GDPR及其可能引发的财务风险并不了解。距欧盟如此之近的英国尚且如此，中国企业的情况更不容乐观。

GDPR的官方网站（www.gdpreu.org/compliance/fines-and-penalties/）显示，GDPR开始实施后，数据泄露将不再是企业声誉受损或营业额下降这么简单，违反 GDPR，轻者将被处以1000万欧元或者上一年度全球营收2%的罚款，两者取其高；重者将被处以2000万欧元或者企业上一年度全球营业收入4%的罚款，两者取其高。决定罚金有十大标准，包括侵权的性质、意图、缓解措施、预防性措施、历史、合作、数据类型、通知、认证及其他。

Sophos的调查数据显示，超过25%的企业声称，如此重罚会让他们彻底倒闭（如果企业规模不足50人，将有超过一半的企业受罚后会关闭）；40%的IT决策者表示，如果遭罚，裁员将不可避免。

GDPR可谓悬在企业头顶上的一把利剑。我们很多人都有类似的“惨痛”经历：每天被各种“买房吗”“买基金吗”的电话骚扰；信用卡从未离身，钱却被一笔笔地盗刷；个人身份信息、照片甚至饭店的住宿记录在网上就可以被轻易查到……可能我们大多数人还没有遭受因信息泄露而导致的巨额经济损失，所以也就这样默默忍受了，但是信息泄露终究是一个巨大的隐患，随时可能被引爆。GDPR的巨额罚款不是最终目的，与其亡羊补牢，不如提早进行保护和防御。一句话，我们必须绷紧信息保护这根弦了。GDPR也许正是个转变的信号和契机。

满足GDPR也不是那么难

Commvault公司将GDPR对数据保护提出的相关要求归纳为三点：第一，正确地使用数据；第二，确保数据的访问安全；第三，保证数据的可用性。

GDPR要求企业将更大范围的数据纳入到数据管理体系中，特别是那些企业边缘的个人数据，而且不仅要保证数据的可用性，更需要对数据具有足够的洞察力以确保合规。高效、简化、统一地实现数据保护的需求，将是每个企业面临的挑战。

要满足这么多关于数据保护的新要求，企业有可能为此要设置新的工作岗位、招聘相应的人才等。“企业的GDPR合规之路何其漫长。鉴于其重要性和长远影响，企业高管确实应该从现在开始分步骤地进行规划，以降低风险，杜绝后患。”Sophos公司中国区总经理钟明辉表示。

其实，降低风险也并不像想象中那样复杂，只要企业把该做的都做到位就可以在很大程度上防范数据泄露，比如确保所有操作系统和软件更新至最新版本，对敏感数据实施加密，教育所有员工有关网络钓鱼和其他社交工程网络攻击的风险。此外，还要部署一个有效的防病毒和相关恶意软件解决方案，以减少因黑客攻击和恶意软件造成的违规风险。

下决心易，付诸行动难。很多时候，如果没有法律强制要求采取行动，可能很难促使企业花费精力和金钱去整合数据，更遑论实施严格的数据保护。从这个角度说，GDPR来得很及时。

三未信安的一位专家表示，GDPR重点是保护个人隐私数据，企业信息系统必须采取技术和管理的措施，满足保护个人隐私数据的要求。作为技术领先的密码产品和数据安全方案供应商，三未信安可以为企业提供基于密码技术的信息安全解决方案，包括具有数据全生命周期加密保护的系列产品，能够帮助企业达到GDPR的要求。

中国企业不能置身事外

可能有的中国企业会说，GDPR是适用于欧盟企业的，中国企业或许可以“置身事外”。世界早就是个地球村，在中国开展业务的企业，很可能明天就要走向国际。中国企业在欧洲提供服务肯定要遵守该条例。更具体的说，在欧盟成员国有法人实体的公司，以及在欧盟没有设立实体公司，但因为业务关系而持有欧盟居民个人资料的公司都“笼罩”在GDPR之下。中国企业只要在欧盟成员国境内开展业务，就必须保护欧盟成员国民众的个人资料与隐私，即使公司业务范围不在欧盟境内，但只要公司有任何来自欧盟成员国的客户，都必须遵守GDPR，一旦违反，将面临严厉的处罚。

GDPR经历了四年的讨论才获得欧盟批准并于5月25日正式实施。其条款详尽复杂，可以说是欧美截至目前最严格的一部关于个人数据保护的条例。它把信息安全中关于隐私保护的范畴和重要性提升到一个前所未有的高度。绿盟科技认为，GDPR对于世界各国政府制订或修订自己国内的个人信息保护法规具有积极的参考意义。我国2018年5月1日正式实施的《信息安全技术 个人信息安全规范》标准在编制过程中也参考了GDPR。中国企业应该认真研读GDPR、《信息安全技术 个人信息安全规范》等条例和规范，或咨询第三方机构，并投入相应资源以满足条例和规范的监管要求。

GDPR的影响力将辐射全球。Veritas 2017 GDPR报告显示，全球47%的企业都担心无法赶在GDPR条例生效之前满足合规要求。更令人担忧的是，只有31%的企业认为他们达到了GDPR的要求。

Veritas公司大中华区总裁杨晨告诉记者，很多企业并不十分了解企业内部数据的管理权归属。企业高管常常认为CIO是负责GDPR的关键人物，而CIO又认为这是高管的职责。公平地说，这需要多个职能部门的配合。企业需要在创建合规和数据治理文化时，彻底改变思维模式。确保GDPR合规性不只是CIO一个人的职责，而是需要所有部门的共同努力。Veritas今年发布的《全球消费者数据隐私报告》显示，90%的中国消费者会联合亲朋好友共同抵制未能保护个人数据的企业，88%的消费者声称会向监管机构举报泄漏隐私的企业。有趣的是，消费者也会“奖励”妥善保护个人数据的公司。91%的中国消费者就表示，他们更愿意向个人数据有保障的可靠公司购买更多产品或服务。

中国的个人消费者都行动起来了，那么中国的企业呢？记者也采訪了几家国内的公有云服务商，他们是业务国际化的先锋，但他们对GDPR的问题讳莫如深，不愿置评。

总而言之，企业应该将GDPR视为一种新机制，并以此为原则，负责任地使用和管理企业数据，同时更要负责地对待客户和供应商。GDPR的重要性和深远影响力更体现在，它不仅可以促进企业建立遵守数据隐私法规的文化，还能帮助企业赢得更多信任，增进与消费者之间的互信。

GDPR早就应该来了！