兩年的《通用數(shù)據(jù)保護條例》GDPR的過渡期結(jié)束，這項在普通人眼里感覺枯燥的歐盟法案2018年5月25日正式生效。但是這項法案將從互聯(lián)網(wǎng)企業(yè)開始逐步影響整個全球行業(yè)變革。

為什么歐盟的法案影響全球？因為該條例面向所有收集、存儲或處理歐盟境內(nèi)任何居民的個人數(shù)據(jù)的任何組織及企業(yè)，無論該企業(yè)是否位于歐盟成員國內(nèi)。

這句話，在移動互聯(lián)、IOT、云計算高度發(fā)展的今天，以及實體經(jīng)濟與互聯(lián)網(wǎng)高度融合的今天，全球任何企業(yè)都有可能和歐盟成員打交道，也就是說，全球任何企業(yè)都必須認認真真的考慮應對這個條例的機制。

因為你要是一不小心或者大意了違反了GDPR，那么高達2,000萬歐元或全年總收入的4%的巨額罰款估計讓你肉疼。

[[231279]]

在這里給中國企業(yè)幾點建議：

第一、不要掉以輕心，事不關(guān)己。這不僅是阿里巴巴、華為這樣的全球高科技企業(yè)需要注意的問題，同時在安防、無人機、共享汽車、共享經(jīng)濟相關(guān)，無人汽車等領(lǐng)域企業(yè)應該注意的條款，因為隨著中國智能制造2025戰(zhàn)略的提出，以及人工智能的快速發(fā)展。目前大的到制造裝備，小到兒童玩具，都會和智能相關(guān)，都會嵌入各種芯片、軟件，必然會產(chǎn)生數(shù)據(jù)和數(shù)據(jù)的處理。一不小心可能就會誤入到GDPR的坑里。毫無疑問，GDPR 法規(guī)今后也適用于所有企業(yè)。

第二、不管是非常傳統(tǒng)的手工作坊還是傳統(tǒng)的制造業(yè)，對數(shù)據(jù)隱私這個概念應該有了新的認識。以前可能覺得無所謂，現(xiàn)在估計要考慮一下，對數(shù)據(jù)保護、數(shù)據(jù)安全數(shù)據(jù)隱私都有全新的認識。任何一個企業(yè)在經(jīng)營的過程中，都將在腦子里考慮一下，這會觸碰GDPR嗎？

第三、趕緊搶奪數(shù)據(jù)專家。傳統(tǒng)的企業(yè)更不要說，必然會招攬懂數(shù)據(jù)安全、數(shù)據(jù)隱私的專家來確保企業(yè)滿足GDPR合規(guī)要求提供支持。同時這些專家能為企業(yè)提供數(shù)據(jù)備份和使用相關(guān)工具的專業(yè)建議，降低企業(yè)在數(shù)據(jù)攻擊時造成的不必要的損失。

當然目前來看，必然有不少企業(yè)要進入GDPR這個坑里，成為一個個不好的“教材”。因為全球來看，很多企業(yè)還沒有對 GDPR 做好準備。

根據(jù)Veritas針對GDPR的調(diào)研表明，針對GDPR合規(guī)性，不少企業(yè)都還有很長的路要走。Veritas推出的2017 GDPR報告顯示：

• 18%的企業(yè)擔心，不滿足合規(guī)要求將最終導致公司破產(chǎn)
• 32%的企業(yè)認為，他們沒有合適的技術(shù)來滿足GDPR的要求
• 約40%的企業(yè)無法準確識別和定位相關(guān)數(shù)據(jù)，而這是GDPR條例要求企業(yè)所必須擁有的能力
• 平均而言，企業(yè)將在2018年投入130萬歐元來改善GDPR合規(guī)性

針對GDPR，企業(yè)要注意哪些關(guān)鍵因素？

數(shù)據(jù)領(lǐng)域?qū)I(yè)人士Veeam中國區(qū)總經(jīng)理施勤給出建議，首先所有企業(yè)應 “全面戒備”。哪怕沒有任命數(shù)據(jù)保護專員的打算，企業(yè)也需讓所有雇員意識到，GDPR條例的實施關(guān)系到每一個人。換句話說，企業(yè)或組織內(nèi)的所有關(guān)鍵利益相關(guān)方都應清楚了解新條例的要求與效力，以及GDPR將對企業(yè)組織運行產(chǎn)生的影響。

其次，特別是不太了解自身所儲存處理的數(shù)據(jù)的企業(yè)最好盡快做好準備，所有企業(yè)都應清楚了解自身儲存?zhèn)€人數(shù)據(jù)的內(nèi)容、地點、方式、來源、儲存這些數(shù)據(jù)的原因以及獲取數(shù)據(jù)的方式。因為這些可能就是地方GDPR執(zhí)行機構(gòu)關(guān)心的問題。

而對于那些違反條例或無法備份托管數(shù)據(jù)保證數(shù)據(jù)安全的企業(yè)，官方絕不會寬大處理。高額的罰金并非玩笑。很快，就會有違規(guī)的企業(yè)成為“前車之鑒”，以儆效尤。

第三，公民將對個人數(shù)據(jù)享有更大的權(quán)利。隨著GDPR的實施，人們將會更加意識到自身的數(shù)據(jù)權(quán)利。以及有權(quán)獲取個人數(shù)據(jù)，或要求企業(yè)為其提供個人數(shù)據(jù)（以他們能理解的格式）。反觀企業(yè)，為了不在滿足民眾數(shù)據(jù)需求上花費過多精力，并且在必要時能夠找到所需數(shù)據(jù)，企業(yè)需確保使用合理方法為每個數(shù)據(jù)點定位。

第四，嚴防數(shù)據(jù)泄露，根據(jù)GDPR的數(shù)據(jù)泄露通知要求，企業(yè)必須在發(fā)現(xiàn)數(shù)據(jù)泄露的72小時內(nèi)通知相關(guān)部門。但是在發(fā)生數(shù)據(jù)泄露后，企業(yè)往往為配合各項調(diào)查、采取補救措施而焦頭爛額。

數(shù)據(jù)領(lǐng)域?qū)I(yè)人士Veritas公司大中華區(qū)總裁楊晨認為，對于企業(yè)來說，GDPR合規(guī)性不再只是CIO一個人的職責，而是需要所有部門的共同努力。很多企業(yè)并不是十分了解企業(yè)內(nèi)部數(shù)據(jù)的管理權(quán)歸屬。高管常常認為CIO是負責GDPR的關(guān)鍵人物，而CIO又認為這是高管的職責。公平地說，這需要多個職能部門的配合。這種跨職能性意味著，企業(yè)需要在創(chuàng)建合規(guī)和數(shù)據(jù)治理文化時，徹底改變思維模式。

楊晨給出的建議是，滿足GDPR要求的關(guān)鍵的第一步是要全面了解公司擁有的所有個人數(shù)據(jù)位于何處。制定有關(guān)信息存儲位置、數(shù)據(jù)訪問權(quán)限所有者、數(shù)據(jù)保存時間以及數(shù)據(jù)傳輸位置的數(shù)據(jù)地圖，這對了解企業(yè)如何處理和管理個人數(shù)據(jù)至關(guān)重要。因此企業(yè)應對對所有數(shù)據(jù)進行定位。

第二，企業(yè)應該部署相關(guān)技術(shù)，建立針對所有用數(shù)據(jù)的實時查看能力，通過基于自動化策略的方法來發(fā)現(xiàn)、分類和管理信息。來滿足歐盟居民來申請查看相關(guān)公司持有的所有個人數(shù)據(jù)。他們有權(quán)要求企業(yè)糾正（如有錯誤）、導出（以合適的導出格式）或刪除其數(shù)據(jù)。

第三，企業(yè)應該部署和執(zhí)行能夠隨著時間演進自動讓數(shù)據(jù)失效的數(shù)據(jù)保存政策。同時確保企業(yè)存儲個人數(shù)據(jù)最小化，數(shù)據(jù)最小化是GDPR的主要原則之一。

第四，數(shù)據(jù)保護，根據(jù)GDPR條例，企業(yè)有責任實施技術(shù)及企業(yè)相關(guān)措施，來展示他們已經(jīng)將數(shù)據(jù)保護集成到了所有數(shù)據(jù)收集和處理活動中。

第五，嚴防數(shù)據(jù)泄露，GDPR 規(guī)定，所有企業(yè)都有責任在出現(xiàn)特定類型的數(shù)據(jù)泄漏時上報給相關(guān)監(jiān)管機構(gòu)，并在某些情況下通知受影響的個人。企業(yè)應該確保自身有能力監(jiān)控可能的泄漏事件（比如意外或不尋常的文件訪問模式），并快速啟動報告流程。