一般数据保护条例[转]

大数据、云计算、移动互联网、社交网络以及各种智能终端的普及使得个人数据无处遁形，而自然人的天然弱势地位导致其难以掌控自身数据。

为了应对数字时代个人数据的新挑战，并确保欧盟规则的前瞻性，欧盟委员会重新审视现有的个人数据保护法律框架，于2016年4月14日，投票通过了商讨四年的《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR）。该法案将于2018年5月25日正式生效。

GDPR

“GDPR"作为一套用来保护欧盟公民个人隐私和数据的新法规，其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度，堪称史上最严格的数据保护法案；可以肯定的是，GDPR 的影响范围将不仅局限于欧洲；但不确定的是，法规执行初期，欧盟将以何种执行效率和力度对待违规企业。致同咨询业务全国负责人刘东东表示：“为帮助企业遵守严苛的合规条例，当务之急便是立刻部署相关解决方案，帮助企业准确了解其拥有的信息，并以合规为前提完善经营原则、进行数据管理、实现最佳业务实践；致同对GDPR进行了深入的研究，希望能够为国内企业在欧盟开展业务提供参考。”

一、什么是GDPR，对未来的业务有什么影响？

《一般数据保护条例》是欧盟新的数据保护法，将在整个欧盟实施。此法案提出了更为统一的数据保护方法，将适用于欧盟范围内发生的所有业务。与欧盟企业交易的公司也将受到影响，这些公司需要了解发生了什么改变、如何遵守该条例。

轻者处以1千万欧元或者企业上一年度全球营业收入的2%，两者取其高。（针对的违法行为包括：没有实施充分的IT安全保障措施，没有提供全面的透明的隐私政策，没有签订书面的数据处理协议等。）

重者处以2千万欧元或者企业上一年度全球营业收入的4%，两者取其高。（针对的违法行为包括：无法说明如何获得了用户许可，违反数据处理的一般性原则，侵害数据主体的合法权利，以及拒绝服从监管机构的执法命令等。）

此外，对于不服监管机构作出的决定或者监管机构不作为，用户可寻求司法救济。

为什么数据保护立法会改变？

自1995年以来，数据保护指引（指引95/46/EC）在欧盟范围内已经确认个人的资料如何得到保护。但是，随着社交媒体的出现及所衍生出的云计算和地理定位服务，导致数据创建、收集的复杂性和规模上出现前所未有的困难。该指引已经不再适用于当前的数据格局的发展。整个欧盟亟待一部适用于当前环境解决隐私问题的数据法案。因此，GDPR应运而生。

GDPR将切实维护个人合法权益，并通过对企业使用个人数据的方式提出更严格的要求，加强现行保护。如果企业不遵守将会受到非常严厉的制裁。

这将对您的业务产生什么影响？

GDPR将使您更加了解您的业务数据并有效地使用。然而，它需要企业严格遵守新法规、明确了解变更规定，以免遭受严重处罚。

首先要重点关注的是GDPR取代了所有现有的数据保护法案，并且增加了企业围绕数据保护的义务以及数据泄露应承担的责任。它也适用于数据处理的方方面面——从个人数据的收集到其使用和处置。您的企业应建立相关政策和程序，以确保企业所有业务活动都得到有效控制并保留相关合规文档。

新法案适用于所有规模的企业。无论企业的性质如何，GDPR都将产生重大影响。随着其实施日期越来越近，提前做好准备至关重要。

所有的国际企业，无论是欧盟企业或与之交易的企业（如为欧洲公民提供旅行、电信和金融服务业的中国企业），都将被要求从2018年5月起遵守GDPR。

二、条例关键点有哪些

GDPR将掀起广泛的变革，企业需要在整体业务中透彻了解，数据处理链条上的所有相关方都需要做好准备。为了让大家对法案有一个大致了解，致同提炼了以下关键点。

三、企业如何面对GDPR的变革

随着数据保护监管要求的不断加强，GDPR的实施将给企业、政府和公共机构带来挑战。面向消费者的互联网、金融服务行业及其他拥有敏感个人数据的企业将首先受到影响。新规实施临近之际，企业需要跟踪监管机构政策动向，了解其可能对业务运营造成的影响。致同提醒您，GDPR的影响并不局限于您的企业所在的业务领域，企业在运营业务时应着眼全局，基于整个产业链进行规划。

企业应该如何调整业务实践以符合新规？ 致同分享了简易、可视化的关键点指引，为您在合规的过程中提供方法论支持。