王春晖

   

   2018年5月25日，欧盟《通用数据保护规则规范》（General Data Protection Regulation简称：GDPR）正式生效施行，这是一项关于个人隐私和个人数（信息）据保护的法律。GDPR的施行，不仅对于欧盟境内的企业将会产生巨大的影响，而且世界各国的企业，尤其是涉及收集、存储、使用欧盟公民数据（信息）的企业，都将会受到该项法律的约束。我国企业应当高度重视GDPR这项法律的域外法律约束力，我们不但要认真地学习这部法律，最重要的是应当做好充分的合规风险管控，目前应重点关注以下问题：

     一是选任数据保护官(Data Protection Officer, DPO)，依据 GDPR的规定，许多组织将被要求指定数据保护官员, 虽然GDPR并未给出对DPO资质的要求，但在欧洲监管部门最新发布的GDPR解读材料WP29中明确给出了对DPO专业性和技能的最低要求。目前我国许多企业的DPO均选用法律人士担任，笔者认为应当依据WP29的要求，选择有能力建立和管理企业数据保护和数据合规工作的技术管理人员担任DPO；

   二是高度重视个人敏感数据特别保护， GDPR 明确提到个人敏感数据应受到高度的保护，这些数据包含：个人的种族和族裔出身、政治观点、宗教和哲学信仰、工会成员、基因数据、生物识别数据、健康数据、性生活或性取向信息以及犯罪记录信息；

    三是在信息的获取上，一定要充分告知信息的被获取者，采集信息的目的以及应用范围等信息。根据GDPR的第15条（Right of access by the data subject）的规定，信息被获取者有权知道其个人信息被采集。目前，很多国际大公司的网络界面，已经充分向消费者提示“我阅读并同意隐私政策这样的说明”，以使消费者能够了解自己的信息将被如何采集，并应用于何处，这点国内企业应当尽快完善；

    四是要保证信息被获取者有退订的权利，根据GDPR的第17条（Right to erasure）的规定，被获取者有权让自己的信息从信息获取者的数据库中消失。因此，如果欧盟居民提出有这样的要求，千万要满足其要求，立即删除，而且以后绝也对不能再使用其个人信息；

     五是建立数据审计及记录制度，鉴于GDPR给予消费者极大地便利去查阅并要求企业删除其数据，因此，我国企业应当建立个人信息数据审计制度，清楚地了解自己拥有哪些个人数据、其储存位置、来源、持有的原因及方式，并标记每个数据点的位置，以便在必要时及时查阅和处理。