■ 賽迪智庫

GDPR被稱為史上最嚴(yán)格的數(shù)據(jù)保護(hù)立法。GDPR的嚴(yán)格主要體現(xiàn)在對個(gè)人權(quán)利的細(xì)致保護(hù)，以及對違法行為的高昂處罰。如此嚴(yán)苛的隱私保護(hù)條例和高額的罰款會(huì)讓部分企業(yè)直接退出歐洲市場，但是退出歐洲市場并不是長久之計(jì)，同時(shí)也違背了個(gè)人信息保護(hù)的原則。

我國企業(yè)應(yīng)如何應(yīng)對GDPR，提出以下幾點(diǎn)建議。

1.培養(yǎng)個(gè)人信息安全保護(hù)的戰(zhàn)略意識。積極組織專題宣傳培訓(xùn)和研討交流活動(dòng)，在執(zhí)法檢查過程中加強(qiáng)監(jiān)督引導(dǎo)，將個(gè)人信息安全保護(hù)作為占有市場和增強(qiáng)用戶黏性的戰(zhàn)略舉措。采取閉環(huán)管理的理念，在設(shè)計(jì)系統(tǒng)架構(gòu)之初就應(yīng)該把安全因素納入架構(gòu)設(shè)計(jì)范圍，變被動(dòng)為主動(dòng)，逐步培養(yǎng)起安全與發(fā)展并重的良性大數(shù)據(jù)產(chǎn)業(yè)生態(tài)環(huán)境。鼓勵(lì)企業(yè)與監(jiān)管認(rèn)證機(jī)構(gòu)建立長期合作伙伴關(guān)系，為其信息安全管理提供全方位的咨詢和服務(wù)，尤其加強(qiáng)對企業(yè)技術(shù)負(fù)責(zé)人、重點(diǎn)崗位員工的個(gè)人信息保護(hù)培訓(xùn)。

2.建立健全的個(gè)人信息保護(hù)制度。更新隱私聲明，確保企業(yè)的隱私聲明符合GDPR的所有規(guī)定。尤其是與相關(guān)供應(yīng)商和合作伙伴方面涉及到個(gè)人隱私方面的隱私聲明不僅要與合作伙伴進(jìn)行及時(shí)溝通，而且還要符合條例的相關(guān)約束；建立數(shù)據(jù)保護(hù)官制度，GDPR規(guī)定擁有250名或以上員工處理敏感數(shù)據(jù)或犯罪記錄的組織必須指定數(shù)據(jù)保護(hù)官（DPO）。這根據(jù)他們是否處理敏感數(shù)據(jù)的情況而定，擁有少于250名員工的組織可能也需要指定DPO；理清義務(wù)責(zé)任和違規(guī)風(fēng)險(xiǎn)點(diǎn)，加強(qiáng)數(shù)據(jù)安全監(jiān)管，參照《個(gè)人信息保護(hù)規(guī)范》等國家標(biāo)準(zhǔn)完善數(shù)據(jù)監(jiān)管制度措施，其中包括數(shù)據(jù)收集、使用和監(jiān)管等，并在此基礎(chǔ)上按照GDPR要求補(bǔ)齊短板。

3.建立合理的個(gè)人信息保護(hù)應(yīng)急機(jī)制。設(shè)立安全檢查專員，對安全事件進(jìn)行應(yīng)急處理、分析、調(diào)查、跟蹤、總結(jié)和事后教育，進(jìn)行安全事件的分析調(diào)查與數(shù)據(jù)提供，制定信息安全日常工作匯報(bào)等相關(guān)文檔；建立風(fēng)險(xiǎn)管理制度，結(jié)合實(shí)際工作，總結(jié)個(gè)人信息保護(hù)風(fēng)險(xiǎn)，并定期進(jìn)行應(yīng)急預(yù)案演練；時(shí)刻關(guān)注有關(guān)國家的最新動(dòng)態(tài)，做好對歐貿(mào)易政策的跟蹤和分析，及時(shí)將重要信息反饋給有關(guān)部門。

4.加快創(chuàng)新服務(wù)模式和安全技術(shù)。創(chuàng)新服務(wù)模式，規(guī)避法律風(fēng)險(xiǎn)，改變簡單依靠搜集個(gè)人信息并不加處理直接利用的商業(yè)模式，圍繞數(shù)據(jù)全生命周期各階段需求，發(fā)展數(shù)據(jù)采集、清洗、分析、交易、安全防護(hù)等技術(shù)服務(wù)，培育數(shù)據(jù)服務(wù)新模式和新業(yè)態(tài)。加強(qiáng)信息安全技術(shù)產(chǎn)品研發(fā)，重點(diǎn)研究大數(shù)據(jù)環(huán)境下的統(tǒng)一賬號、認(rèn)證、授權(quán)和審計(jì)體系及信息加密和密級管理體系，推廣防泄露、防竊取、匿名化等信息保護(hù)技術(shù)，研發(fā)信息安全保護(hù)產(chǎn)品和解決方案，通過技術(shù)措施降低合規(guī)成本。