欧盟史上最严数据保护法生效影响范围波及全球

5月25日，欧盟《通用数据保护条例》(GDPR)实施，GDPR被认为是欧盟有史以来最为严格的网络数据管理法规，其最大的特点在于限制企业对个人用户数据的使用权，违规企业最高可能受到2000万欧元或全球营业额4%的罚款。换言之，未来大企业，尤其是互联网公司在使用用户个人数据前必须先征得用户的同意。

欧盟史上最严网络数据管理法规“严”在哪？

GDPR是一套针对互联网公司在欧洲行为规范的新规定，主要关注数据和隐私保护，意在保护欧盟消费者免受身份盗用，侵犯隐私和个人数据泄漏到网上不法分子之手。GDPR对在线收集，转移或处理消费者信息的组织或企业进行管理规范，尤其是敏感信息，如姓名、地址、信用卡号码等。

GDPR规定通过网络处理个人信息的企业或组织对确保消费者的数据安全应承担法律责任，如企业应保存处理数据方式的记录，并对导致数据泄露的机构实施严厉的法律处罚。据了解，GDPR早在2016年就完成立法程序，经过两年的过渡期后于5月25日正式生效，并取代1995年的《数据保护指令》。

新实施的GDPR拓展了有关网络用户数据的定义范围，除了姓名、证件号码、地址和网络IP地址等常规个人信息，还将反映种族、宗教信仰甚至性取向的信息都纳入了保护范围。条例赋予了用户“被遗忘权”、数据“可携带权”等权利，大幅增强了对个人数据的保护。GDPR还要求企业必须以合法、公平和透明的方式收集处理信息，必须用通俗的语言向用户解释收集数据的方式，且企业有义务采取一切合理措施删除或纠正不正确的个人数据。

根据GDPR中的要求，每个欧盟成员国都必须设立一个监管机构，这些机构将进行跨国合作，以确保企业遵守数据保护新规。欧洲数据保护委员会的主要职责是，保障GDPR在所有欧盟成员国的一致执行，同时促进各成员国监管机构之间的合作，协助调解各国监管机构之间的争议，并提出指导方针和建议。欧洲数据保护委员会的成员包括欧盟各成员国国家数据保护机构的负责人，以及欧洲数据保护主管。

德国从2017年年初就开始对其国内的数据保护法进行修正，以更好地与欧盟《通用数据保护条例》对接。尽管新条例在欧盟成员国境内统一实施，但各成员国还是保留了一定的特别立法空间。因此，在德国，一方面，欧盟GDPR将取代目前实施中的《德国联邦数据保护法》；另一方面，同样于5月25日生效的《德国数据保护调整和实施法》将作为对现行《德国联邦数据保护法》的修正，对欧盟GDPR进行符合本国国情的更细化补充，包括扩大欧盟新条例下数据保护委托的适用范围，以及对企业员工的信息保护﹑视频监控、档案设置，还有受影响人权利方面等设置特别规定。

中企不可大意

为保障新规的推行，欧盟增设的独立监管机构——欧洲数据保护委员会也于同一天正式成立。根据GDPR中的要求，每个欧盟成员国都必须设立一个监管机构，这些机构将进行跨国合作，以确保企业遵守数据保护新规。欧洲数据保护委员会的主要职责是，保障GDPR在所有欧盟成员国的一致执行，同时促进各成员国监管机构之间的合作，协助调解各国监管机构之间的争议，并提出指导方针和建议。欧洲数据保护委员会的成员包括欧盟各成员国国家数据保护机构的负责人，以及欧洲数据保护主管。许多人可能认为，如果公司是在中国处理数据，就不用遵守欧盟新条例。但事实上不是这么回事，条例将不仅对位于欧盟内的企业发生效力，对于欧盟域外企业，无论企业在欧盟境内有无分支机构，只要它们存储、处理、交换任何欧盟个人的数据，也在这一条例的管辖范围之内。

“任何公司，在任何地方，不论规模大小，如果数据库里含有欧盟公民的信息，不论该欧洲公民身处何处，该公司均受GDPR的约束。”Ecovis北京创始人、德国律师霍毅在国际商会中国国家委员会数字经济委员会日前举办的中国企业应对GDPR研讨会上指出，对于脸书、推特这类美国社交网络公司，由于它们在欧盟内有大批用户，至少在保存、处理欧盟用户数据时，必须符合这一条例的规定。也就是说，今后只要涉及到使用欧盟个人数据，中国公司就一定要遵守欧盟新规。

德国资深法律顾问罗伯特·费希纳认为，欧盟《通用数据保护条例》会让企业有很强的危机感，而且基本上所有的企业都会被牵涉其中。他说 ：“欧盟之所以推行《通用数据保护条例》，主要是为了保护公民或者个人用户的数据与隐私权，所以该条例对企业应如何处理以及更好地保障隐私数据作出了严格规定。至于说哪些企业会受到该条例的约束，答案是所有在欧洲运营业务的公司，不论业务范围是什么领域或者是以什么样的形式。中国企业当然也会被涉及，比如那些卖东西到欧洲的网站都需要收集和处理用户的一些基本信息。”

中央财经大学副教授刘权也表示 ：“比如说一个中国企业没有在欧盟有任何分支机构，但是欧盟用户上这个中国的网站，他注册购买商品、购买服务。这个时候，这个中国企业如果不当收集他的信息，那么欧盟监管当局就可能对中国企业处以巨额罚款。”

对于中国公司，波兰个人数据保护专家斯瓦沃米尔·科瓦尔斯基建议 ：“GDPR非常复杂，中国的规定和欧盟的有很大的不同，因此，请咨询数据隐私领域的律师，因为在欧盟处理个人数据有很大的风险，你需要做好充分准备，而在准备之前，要明确哪些不能做，哪些能做，你需要进行识别。”

霍毅建议，企业应令员工接受相关培训、在收集数据环节取得提供数据的客户或者合作伙伴的同意、处理数据时要合法合规，必要时委任数据保护专员进行处理。

风险和机遇并存

人工智能企业、电子商务企业、互联网金融企业以及新兴的分享经济企业，只要与网络相关，与互联网相关的这些企业，他们在开展业务的时候不可避免地要收集一些个人的信息。

GDPR的生效除了给企业带来更多的法定义务之外，也可能带来机遇。据凯捷数字化转型研究院日前发布的最新报告显示，GDPR正式生效，但85%的欧美企业未能在生效日期前按时完成数据合规工作。此外，25%的企业将无法在今年年底实现全面合规。报告指出，那些在生效日前达成合规，并重视合规以及消费者数据透明投资的企业已初见回报。对能够保护消费者个人数据并获得其信任的企业，39%的消费者增加了在该企业的消费，购买该企业更多产品。40%的消费者增加了与该企业的交易频次，多达数次甚至形成了定期交易。

“在GDPR出台前，微软、Facebook受到的相关处罚已超过1000万欧元。由此可见，欧盟对数据保护都非常重视，执法严格，并非虚张声势。我国企业应高度关注，并做好投入一定成本的准备。”毕马威管理咨询服务总监肖腾飞认为，在此大趋势下，企业做好数据保护，可以把握增收良机，创造更多的商业价值。

关注读览天下微信， 100万篇深度好文， 等你来看……