摘 要：2018年5月25日歐盟GDPR正式在歐盟各成員國間實(shí)施。由于GDPR對個(gè)人信息的保護(hù)處于領(lǐng)先地位，適用范圍廣，并且懲罰措施嚴(yán)厲，該條例的實(shí)施必然會(huì)影響我國涉歐企業(yè)的發(fā)展。在闡述GDPR設(shè)立背景和主要內(nèi)容的基礎(chǔ)上，進(jìn)一步分析GDPR對我國涉歐企業(yè)的影響：我國涉歐企業(yè)將面臨嚴(yán)格的管轄、加重隱私安全、成本提高、獲取個(gè)人數(shù)據(jù)難度大等一系列問題。在此基礎(chǔ)上，通過提出相應(yīng)措施以促進(jìn)我國企業(yè)合規(guī)及個(gè)人信息保護(hù)制度的建立。

關(guān)鍵詞：GDPR;被遺忘權(quán);企業(yè)合規(guī)

2012年11月，歐盟委員會(huì)制定了《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation， 以下簡稱GDPR）。2016年4月14日，歐盟通過GDPR。2018年5月25日，GDPR法規(guī)在歐盟28個(gè)成員國間強(qiáng)制實(shí)施。GDPR確保歐盟公民、居民在對其個(gè)人數(shù)據(jù)享有充分自決權(quán)的基礎(chǔ)上，建立了一個(gè)統(tǒng)一的、高水平的個(gè)人數(shù)據(jù)保護(hù)體系。

由于GDPR具有直接適用的效力，無需進(jìn)行國內(nèi)法的轉(zhuǎn)化，消除了不同成員國間因不同解釋而造成的分歧，企業(yè)不再需要與多國數(shù)據(jù)主管機(jī)構(gòu)進(jìn)行交涉，只需與其主營業(yè)地所在國的數(shù)據(jù)保護(hù)主管機(jī)構(gòu)溝通即可，避免了因數(shù)據(jù)保護(hù)執(zhí)法上的混亂而造成的成本提高。在挑戰(zhàn)與機(jī)遇并存的基礎(chǔ)上，必將對未合規(guī)經(jīng)營的企業(yè)帶來不利影響。因此，中國涉歐企業(yè)需要在熟悉GDPR的基礎(chǔ)上，主動(dòng)采取有效措施以做到企業(yè)合規(guī)，減少風(fēng)險(xiǎn)。

一、歐盟GDPR的設(shè)立背景

1993年11月1日，隨著《馬斯特里赫特條約》正式生效，歐盟正式成立。在1995年10月24日，歐盟通過《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的95/46/EC指令》（以下簡稱《95指令》）。《95指令》是歐盟成員國保護(hù)個(gè)人數(shù)據(jù)的最低標(biāo)準(zhǔn)，規(guī)定了對個(gè)人數(shù)據(jù)保護(hù)的一般原則、各方主體的權(quán)利與義務(wù)，規(guī)定了法律責(zé)任，規(guī)定了跨境數(shù)據(jù)傳輸制度。但根據(jù)歐盟法律規(guī)定，該指令無法直接適用于歐盟成員國，需要轉(zhuǎn)化為國內(nèi)法才可以適用。各成員國將該指令轉(zhuǎn)化為國內(nèi)法時(shí)，所做出的解釋不同，由此造成對個(gè)人數(shù)據(jù)保護(hù)的復(fù)雜性、不確定性以及成本的增加。

由于《95指令》的條文需要成員國轉(zhuǎn)化為國內(nèi)法，成員國在立法、執(zhí)法過程中存在較大的解釋空間，以及隨著信息技術(shù)發(fā)展迅速，《95指令》對個(gè)人信息保護(hù)出現(xiàn)了挑戰(zhàn)，不同成員國對個(gè)人數(shù)據(jù)保護(hù)存在分歧。此時(shí)，歐盟為了建立統(tǒng)一數(shù)據(jù)市場，加強(qiáng)對個(gè)人數(shù)據(jù)的保護(hù)以及數(shù)據(jù)的自由流通。2012年1月25日，歐洲議會(huì)公布了《通用數(shù)據(jù)保護(hù)條例》草案，旨在歐盟成員國內(nèi)建立統(tǒng)一的個(gè)人信息保護(hù)立法，2018年5月25日GDPR正式實(shí)施。

通過法律層級的轉(zhuǎn)變，由“指令”轉(zhuǎn)變?yōu)椤皸l例”， GDPR的法律效力不需要在成員國進(jìn)行轉(zhuǎn)化，具有直接適用的法律約束力，統(tǒng)一了成員國之間的數(shù)據(jù)保護(hù)規(guī)定。

二、歐盟GDPR的內(nèi)容概述

GDPR統(tǒng)一了歐盟范圍內(nèi)個(gè)人數(shù)據(jù)保護(hù)立法的統(tǒng)一，以維護(hù)數(shù)據(jù)流動(dòng)的安全與高效為目的，與《95指令》相比，GDPR的內(nèi)容主要體現(xiàn)在以下幾個(gè)方面：

（一）GDPR擴(kuò)大了個(gè)人數(shù)據(jù)的范圍和原則

根據(jù)GDPR定義，個(gè)人數(shù)據(jù)是指已識別的或可識別的自然人（數(shù)據(jù)主體）的信息。數(shù)據(jù)主體是指：可以通過信息直接或間接確認(rèn)的自然人，可以通過姓名、身份證號碼、定位數(shù)據(jù)、在線身份等識別數(shù)據(jù)，或是通過參照該自然人的一個(gè)或多個(gè)如物理、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份的要素予以識別。

GDPR明確提出對個(gè)人敏感數(shù)據(jù)的高度保護(hù)，專門提出了“特殊類型個(gè)人數(shù)據(jù)”。該條例對個(gè)人數(shù)據(jù)進(jìn)行了更寬泛的解釋，如：網(wǎng)絡(luò)數(shù)據(jù)包括IP地址和Cookie，生物識別數(shù)據(jù)包括指紋等。同時(shí)，在判定某一數(shù)據(jù)能否識別自然人，要將合理范圍內(nèi)的技術(shù)、非技術(shù)手段，以及其他信息之間的關(guān)系等因素都考慮進(jìn)去。

（二）擴(kuò)大了適用范圍

GDPR為加強(qiáng)對歐盟公民數(shù)據(jù)的保護(hù)，將適用范圍擴(kuò)大。一方面，數(shù)據(jù)控制者和處理者在歐盟設(shè)立機(jī)構(gòu)，無論數(shù)據(jù)處理的行為是否發(fā)生在歐盟;另一方面，數(shù)據(jù)控制者和處理者沒有在歐盟設(shè)立機(jī)構(gòu)，但涉及以下處理行為：向歐盟的數(shù)據(jù)主體提供商品或服務(wù)，或?qū)W盟數(shù)據(jù)主體在歐盟發(fā)生的行為進(jìn)行監(jiān)控都要受到GDPR的管制。其中“向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)”包括使用歐盟語言、貨幣、產(chǎn)品的定制;“對數(shù)據(jù)主體發(fā)生在歐盟的行為進(jìn)行監(jiān)控”包括分析個(gè)人偏好、行為模式、監(jiān)控?cái)?shù)據(jù)主體在線創(chuàng)建的資料。

（三）數(shù)據(jù)主體權(quán)利擴(kuò)大

GDPR在《95指令》的基礎(chǔ)上，規(guī)定了數(shù)據(jù)主體的權(quán)利主要包括知情權(quán)、訪問權(quán)、反對權(quán)、限制處理權(quán)、反自動(dòng)化決策（包括畫像）權(quán)、數(shù)據(jù)被遺忘權(quán)（刪除權(quán)）、數(shù)據(jù)可攜帶權(quán)。

（1）新增“被遺忘權(quán)”（刪除權(quán)）

GDPR在《95指令》的基礎(chǔ)上增加了被遺忘權(quán)。被遺忘權(quán)是指：當(dāng)個(gè)人數(shù)據(jù)不再基于合法目的被使用，個(gè)人有權(quán)要求永久刪除這些數(shù)據(jù)[2]?？梢栽跀?shù)據(jù)主體撤回同意、數(shù)據(jù)控制者非法處理數(shù)據(jù)的情形下使用被遺忘權(quán)。并且在數(shù)據(jù)控制者公開個(gè)人數(shù)據(jù)的情況下，要求控制者對公開傳播的數(shù)據(jù)負(fù)責(zé)，以及數(shù)據(jù)控制者有通知其他第三方停止使用、刪除數(shù)據(jù)的義務(wù)。

（2）新增“數(shù)據(jù)可攜帶權(quán)”

數(shù)據(jù)可攜帶權(quán)是一種數(shù)據(jù)轉(zhuǎn)移權(quán)，GDPR規(guī)定數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者保障數(shù)據(jù)的系統(tǒng)性，并以機(jī)器可讀的形式向數(shù)據(jù)主體提供個(gè)人數(shù)據(jù)，或者向其他相同或類似服務(wù)商提供數(shù)據(jù)。該權(quán)利使個(gè)人數(shù)據(jù)在不同數(shù)據(jù)控制者之間更容易轉(zhuǎn)移，體現(xiàn)公民信息的自決權(quán)。例如，房東可以將其房屋信息導(dǎo)出給保險(xiǎn)公司，從而為房屋投保。

（3）延展“知情權(quán)”及“訪問權(quán)”

GDPR擴(kuò)大了數(shù)據(jù)主體對于數(shù)據(jù)控制者處理其個(gè)人數(shù)據(jù)的知情權(quán)及訪問權(quán)。數(shù)據(jù)主體有權(quán)在數(shù)據(jù)控制者獲取其個(gè)人數(shù)據(jù)時(shí)或者數(shù)據(jù)控制者從第三方獲取其個(gè)人數(shù)據(jù)時(shí)，從數(shù)據(jù)控制者獲得包括個(gè)人數(shù)據(jù)來源、處理的目的、控制者身份等相關(guān)信息，以及有權(quán)糾正及限制數(shù)據(jù)的處理行為。同時(shí)，在其請求不過量的情況下，有權(quán)免費(fèi)獲得其個(gè)人數(shù)據(jù)的副本，以及訪問個(gè)人數(shù)據(jù)的權(quán)利。

（4）擴(kuò)大對個(gè)人數(shù)據(jù)的同意要件

數(shù)據(jù)主體的同意是指數(shù)據(jù)主體自愿表達(dá)出在對其個(gè)人數(shù)據(jù)處理時(shí)明確的、具體的同意。GDPR在此基礎(chǔ)上要求同意必須以易于理解且與其他事項(xiàng)顯著區(qū)分的形式做出，數(shù)據(jù)主體也享有隨時(shí)撤回的權(quán)利。敏感數(shù)據(jù)的處理必須要有明確的同意，同意表示模糊或一次同意多次使用被視為無效。并且，企業(yè)需要以通俗易懂的語言表達(dá)，讓對方選擇是否同意處理其個(gè)人數(shù)據(jù)。

（四）加重?cái)?shù)據(jù)控制者和處理者的責(zé)任

GDPR對于數(shù)據(jù)控制者及處理者的責(zé)任有所加重，明確規(guī)定了企業(yè)的數(shù)據(jù)保護(hù)義務(wù)，主要通過進(jìn)行數(shù)據(jù)保護(hù)影響評估、數(shù)據(jù)泄露報(bào)告及通知、設(shè)立數(shù)據(jù)保護(hù)官（Data Protection Officer，簡稱DPO）來降低風(fēng)險(xiǎn)，以督促企業(yè)合規(guī)。

（五）完善跨境數(shù)據(jù)傳輸規(guī)則

GDPR在保護(hù)自然人權(quán)利的總體原則基礎(chǔ)上，設(shè)置了跨境流動(dòng)的條件，主要包括以下三方面：（1）在對第三國數(shù)據(jù)保護(hù)水平“充分認(rèn)定”的基礎(chǔ)上進(jìn)行傳輸，并對各國是否滿足要求進(jìn)行監(jiān)督，也就是說歐盟公民的個(gè)人數(shù)據(jù)不得轉(zhuǎn)移至低于歐盟保護(hù)水平的國家;（2）GDPR明確指出在受到適當(dāng)保障的情況下個(gè)人數(shù)據(jù)可向第三國或國際組織傳輸;（3）以國際條約為基礎(chǔ)的法院判決或行政機(jī)構(gòu)決定所涉及個(gè)人數(shù)據(jù)傳輸，以及允許傳輸?shù)奶厥饫馇闆r。

三、GDPR對我國涉歐企業(yè)帶來的風(fēng)險(xiǎn)與挑戰(zhàn)

GDPR對企業(yè)收集、使用數(shù)據(jù)全過程進(jìn)行了全方位規(guī)定，增加企業(yè)合規(guī)的難度，給我國涉歐企業(yè)帶來了風(fēng)險(xiǎn)與挑戰(zhàn)。

（一）我國涉歐企業(yè)面臨更廣泛的管轄

根據(jù)GDPR的管轄范圍，任何收集、傳輸、存儲(chǔ)或處理涉及歐盟成員國個(gè)人信息的機(jī)構(gòu)、組織都要受GDPR的約束。我國企業(yè)即使沒有在歐盟境內(nèi)設(shè)立任何機(jī)構(gòu)，但只要涉及歐盟成員國的語言、貨幣、域名以及向歐盟境內(nèi)投放廣告、向歐盟境內(nèi)遞送貨物，都必須受到其監(jiān)管，GDPR的適用范圍形成了長臂管轄。因此，對我國企業(yè)而言，不論銀行、保險(xiǎn)、金融、快遞等傳統(tǒng)行業(yè)，還是電子商務(wù)、云服務(wù)等新型領(lǐng)域，只要涉及歐盟境內(nèi)個(gè)人數(shù)據(jù)，都必須要遵守GDPR的規(guī)定。我國的涉歐企業(yè)，如：阿里巴巴、騰訊、小米必定被納入GDPR的適用范圍[3]。同時(shí)，不合規(guī)的涉歐企業(yè)將面臨巨大的處罰力度，我國涉歐企業(yè)只要接觸歐盟成員國的個(gè)人數(shù)據(jù)，都要受到相應(yīng)監(jiān)管，面臨巨大挑戰(zhàn)。

（二）加重中國涉歐企業(yè)的隱私安全

GDPR為所有企業(yè)制定了更高的隱私保護(hù)標(biāo)準(zhǔn)，引入了從設(shè)計(jì)著手保護(hù)隱私和默認(rèn)保護(hù)隱私兩項(xiàng)原則，要求建立數(shù)據(jù)從收集到使用的“全程隱私” 制度，要求企業(yè)在產(chǎn)品和服務(wù)的設(shè)計(jì)過程中就要考慮數(shù)據(jù)與隱私的保護(hù)。對于我國涉歐企業(yè)而言，需要進(jìn)一步審視我國企業(yè)現(xiàn)存的隱私保護(hù)政策，以做到企業(yè)合規(guī)。2018年5月25日，微信海外版、新浪微博國際版以及阿里巴巴全球速賣通紛紛向歐洲用戶更新隱私政策，請求重新授權(quán)，騰訊QQ也于2018年5月23日更新隱私政策，海爾、華為在歐洲有較大市場份額的企業(yè)也早已雇傭?qū)ｉT團(tuán)隊(duì)?wèi)?yīng)對GDPR[4]。

（三）GDPR將導(dǎo)致我國互聯(lián)網(wǎng)及新興產(chǎn)業(yè)在歐盟發(fā)展速度減緩

由于GDPR強(qiáng)調(diào)個(gè)人信息自決權(quán)，強(qiáng)調(diào)數(shù)據(jù)主體自我決定個(gè)人數(shù)據(jù)的收集、儲(chǔ)存、處理以及使用。雖然我國《憲法》未明確規(guī)定信息自決權(quán)，但根據(jù)《憲法》第37條對人生自由的規(guī)定和第38條人格尊嚴(yán)條款可以解釋信息自決權(quán)作為公民的一項(xiàng)基本權(quán)利而存在。第39條住宅不受侵犯以及第40條保護(hù)通信自由和通信秘密可以作為憲法保護(hù)的間接性依據(jù)。作為網(wǎng)絡(luò)時(shí)代企業(yè)核心內(nèi)容的個(gè)人信息，在數(shù)據(jù)主體擁有信息自決權(quán)的基礎(chǔ)上，必然會(huì)導(dǎo)致企業(yè)收集、使用、處理個(gè)人信息的難度增加，導(dǎo)致我國涉歐企業(yè)發(fā)展減緩。

（1）合規(guī)成本的提高減緩我國涉歐企業(yè)進(jìn)入歐盟市場的步伐。GDPR法律體系龐雜，涉及范圍較廣，企業(yè)合規(guī)難度加大，高強(qiáng)度的個(gè)人數(shù)據(jù)保護(hù)規(guī)則必然會(huì)給企業(yè)造成負(fù)擔(dān)。由此可見，GDPR的實(shí)施造成了我國企業(yè)進(jìn)入歐盟市場的法律壁壘。Veritas指出平均每家企業(yè)在GDPR合規(guī)上所付出的成本達(dá)到130萬歐元，約1000萬人民幣，巨大的成本會(huì)迫使企業(yè)做出放棄歐盟市場的可能。如小米生態(tài)鏈企業(yè)的YeeLight智能燈泡產(chǎn)品，因無法趕在GDPR生效前滿足合規(guī)需求，暫停其服務(wù)。

（2）企業(yè)組織結(jié)構(gòu)變化。GDPR要求數(shù)據(jù)控制者、數(shù)據(jù)處理者設(shè)立數(shù)據(jù)保護(hù)官（Data Protection Officer， DPO），只要企業(yè)的核心業(yè)務(wù)涉及處理大規(guī)模的歐盟公民數(shù)據(jù)、處理特殊類別的數(shù)據(jù)或犯罪記錄都要設(shè)立DPO，其中核心業(yè)務(wù)可以參考企業(yè)的性質(zhì)、營業(yè)范圍、商業(yè)目的等因素來確定。DPO需要具備專門的數(shù)據(jù)保護(hù)知識，需要向監(jiān)管機(jī)構(gòu)報(bào)備，并有權(quán)監(jiān)視組織的數(shù)據(jù)處理。當(dāng)數(shù)據(jù)泄漏侵害自然人權(quán)益，應(yīng)通知數(shù)據(jù)保護(hù)監(jiān)管部門;當(dāng)數(shù)據(jù)泄漏會(huì)導(dǎo)致數(shù)據(jù)主體權(quán)益處于高風(fēng)險(xiǎn)，應(yīng)當(dāng)通知數(shù)據(jù)主體，改變企業(yè)的組織形式，這無疑會(huì)增加企業(yè)的管理成本。

（四）企業(yè)獲取個(gè)人數(shù)據(jù)難度增加

GDPR賦予數(shù)據(jù)主體充分的“限制處理權(quán)限”的同時(shí)，弱化了企業(yè)對個(gè)人數(shù)據(jù)的控制能力。GDPR強(qiáng)化個(gè)人信息自決權(quán)，增加企業(yè)獲取個(gè)人信息的難度，企業(yè)控制個(gè)人數(shù)據(jù)的能力降低，處理數(shù)據(jù)所需要的成本增加。

主體“同意規(guī)則”使獲取個(gè)人數(shù)據(jù)的難度增加，一般情況下處理數(shù)據(jù)需要征得用戶同意，且同意必須以自由意愿作出，并作出明確的指示，同意范圍包括基于同一目的或同一類目的。當(dāng)數(shù)據(jù)處理活動(dòng)存在不同目的時(shí)，每個(gè)目的都必須征得同意，禁止通過一項(xiàng)協(xié)議獲取用戶的所有同意，增加企業(yè)獲取信息的難度。同時(shí)GDPR的同意規(guī)則在企業(yè)與第三方共享數(shù)據(jù)時(shí)，要征得數(shù)據(jù)主體的同意，除非基于合同履行之必要或?yàn)榱吮Ｗo(hù)高于用戶隱私權(quán)的公共利益和合法利益。

（五）規(guī)范沖突導(dǎo)致企業(yè)合規(guī)困難

2017年6月1日，我國首部網(wǎng)絡(luò)安全綜合性立法《網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)安法”）實(shí)施。其中，個(gè)人數(shù)據(jù)保護(hù)作為《網(wǎng)安法》的重要內(nèi)容，標(biāo)志著個(gè)人數(shù)據(jù)保護(hù)制度不斷完善，確立了我國網(wǎng)絡(luò)安全法律制度的基本框架。同時(shí)鑒于GDPR所確定的域外效力，如果一個(gè)企業(yè)既在我國境內(nèi)有著數(shù)據(jù)處理行為，同時(shí)也向歐盟境內(nèi)提供商品或服務(wù)，則需同時(shí)遵守《網(wǎng)安法》和GDPR。

我國《網(wǎng)安法》以屬地管轄為基本原則，相比之下，GDPR采用了屬地、屬人、保護(hù)的長臂管轄原則，管轄的依據(jù)不限于業(yè)務(wù)機(jī)構(gòu)所在地或數(shù)據(jù)處理行為發(fā)生地，而是以數(shù)據(jù)是否來源于歐盟境內(nèi)作為管轄權(quán)的重要依據(jù)。同時(shí)對于受GDPR管轄的在我國境內(nèi)的企業(yè)，歐盟的數(shù)據(jù)監(jiān)管機(jī)構(gòu)擁有調(diào)查權(quán)，可以要求企業(yè)提供其履行職責(zé)所需要的信息，而這與我國《網(wǎng)安法》第37條個(gè)人數(shù)據(jù)和重要數(shù)據(jù)出境制度的實(shí)施，以及數(shù)據(jù)主權(quán)相沖突。在此背景下，相關(guān)企業(yè)將面臨合規(guī)困境。涉歐企業(yè)需要同時(shí)滿足GDPR與《網(wǎng)安法》兩部法律的合規(guī)要求，避免重復(fù)投入、降低合規(guī)成本成為涉歐企業(yè)亟需應(yīng)對的問題。

四、為我國企業(yè)合規(guī)提供建議

GDPR生效后可能成為未來主導(dǎo)世界數(shù)據(jù)保護(hù)的國際治理模式之一，因此，我國有必要針對其規(guī)定采取一系列措施。一方面我國涉歐企業(yè)應(yīng)當(dāng)做好合規(guī)審查，以符合GDPR的要求;另一方面，我國相關(guān)政府部門應(yīng)加強(qiáng)管理，制定個(gè)人信息保護(hù)相關(guān)法律法規(guī)。

（一）界定企業(yè)在GDPR中的法律地位

中國涉歐企業(yè)在充分了解自身所儲(chǔ)存數(shù)據(jù)的基礎(chǔ)上，做到認(rèn)真管理，并對相關(guān)數(shù)據(jù)進(jìn)行安全保護(hù)。企業(yè)首先要認(rèn)清自己的法律地位，認(rèn)清自己是數(shù)據(jù)處理方還是數(shù)據(jù)控制方。GDPR的最重要的變化之一，便是對數(shù)據(jù)處理方賦予了新的合規(guī)要求，數(shù)據(jù)處理方在超出被允許的范圍內(nèi)處理數(shù)據(jù)，會(huì)被認(rèn)定為數(shù)據(jù)控制方，履行與數(shù)據(jù)控制方相同的責(zé)任。因此，企業(yè)弄清自己是數(shù)據(jù)處理方或者數(shù)據(jù)控制方也有一定的必要性。

（二）通過第三方機(jī)構(gòu)評估公司的隱私保護(hù)合規(guī)現(xiàn)狀

在企業(yè)不具備開展GDPR合規(guī)測評能力的時(shí)候，可以通過第三方專業(yè)安全機(jī)構(gòu)進(jìn)行合規(guī)分析，分析企業(yè)在GDPR要求方面處于什么位置，了解企業(yè)擁有的數(shù)據(jù)資產(chǎn)，找出企業(yè)的漏洞加以改進(jìn)，以及提出保護(hù)數(shù)據(jù)安全的措施。以及風(fēng)險(xiǎn)評估系統(tǒng)在我國對外交易中非常重要，可以通過風(fēng)險(xiǎn)評估，對企業(yè)進(jìn)行有效控制，減少資金的損失。因此，我國企業(yè)可加大建立健全的風(fēng)險(xiǎn)評估系統(tǒng)的支持力度，保障中國企業(yè)利益。

（三）推動(dòng)涉歐企業(yè)建立合規(guī)制度

中國企業(yè)涉及歐盟業(yè)務(wù)，應(yīng)提升企業(yè)總體對合規(guī)的重視程度。

（1）企業(yè)調(diào)整自身業(yè)務(wù)狀況

一方面，對于員工而言，加大對內(nèi)部員工的培訓(xùn)，確保相關(guān)人員嚴(yán)格執(zhí)行隱私保護(hù)制度中的規(guī)定。另一方面，企業(yè)需要對已經(jīng)收集到的數(shù)據(jù)進(jìn)一步處理，刪除不合規(guī)的數(shù)據(jù)，避免數(shù)據(jù)的泄露。了解企業(yè)所擁有的個(gè)人數(shù)據(jù)，保護(hù)當(dāng)事人隱私，完善對已儲(chǔ)存?zhèn)€人資料的保護(hù)，降低因個(gè)人資料不當(dāng)處理所引發(fā)的巨額罰款。

（2）完善數(shù)據(jù)主體的權(quán)利

GDPR賦予數(shù)據(jù)主體一系列權(quán)利，如果存在對這些權(quán)利保護(hù)不足或侵犯會(huì)造成違法，可能會(huì)面臨歐盟監(jiān)管機(jī)構(gòu)巨額的罰款，在賦予數(shù)據(jù)主體同意權(quán)、訪問權(quán)、可攜帶權(quán)、被遺忘權(quán)、更正權(quán)等重要權(quán)利的同時(shí)，還需符合GDPR的要求。

（3）完善數(shù)據(jù)處理機(jī)制

確保數(shù)據(jù)處理符合GDPR的基本原則，提高數(shù)據(jù)處理過程中的安全性，并對個(gè)人數(shù)據(jù)處理過程進(jìn)行記錄。必要時(shí)任命數(shù)據(jù)保護(hù)官，同時(shí)在數(shù)據(jù)泄露后，及時(shí)報(bào)告處理，不斷完善現(xiàn)有的數(shù)據(jù)保護(hù)機(jī)制，減少企業(yè)的不合規(guī)風(fēng)險(xiǎn)。

（四）建立個(gè)人信息保護(hù)體系

（1）建立個(gè)人信息保護(hù)法

我國目前還未有專門的個(gè)人信息保護(hù)法，但在《網(wǎng)安法》下規(guī)定了個(gè)人信息保護(hù)。個(gè)人信息泄漏事件頻繁發(fā)生，制定統(tǒng)一的個(gè)人信息保護(hù)法，明確規(guī)范企業(yè)收集和使用個(gè)人數(shù)據(jù)的流程，通過建立明確的個(gè)人信息保護(hù)政策為我國互聯(lián)網(wǎng)等新興產(chǎn)業(yè)指引方向。

（2）在我國國情的基礎(chǔ)上，建立國內(nèi)數(shù)據(jù)分級管理制度

對特定行業(yè)制定不同的規(guī)范，對敏感數(shù)據(jù)設(shè)立相應(yīng)的制度，加強(qiáng)保護(hù)力度。在依賴立法的同時(shí)，還需結(jié)合網(wǎng)絡(luò)用戶、行業(yè)協(xié)會(huì)、網(wǎng)絡(luò)運(yùn)營商來構(gòu)建完整的個(gè)人信息保護(hù)體系。

五、結(jié)語

GDPR對個(gè)人隱私保護(hù)及監(jiān)管達(dá)到了前所未有的高度，對企業(yè)而言既是挑戰(zhàn)也是機(jī)遇，企業(yè)應(yīng)當(dāng)采取合適的防范措施，從制度、流程和技術(shù)要求等方面完善，加強(qiáng)與歐盟執(zhí)法部門的協(xié)調(diào)與交流，做到企業(yè)合規(guī)。同時(shí)，為順應(yīng)國際發(fā)展趨勢，也應(yīng)制定具有中國特色的個(gè)人信息保護(hù)制度，完善我國對個(gè)人信息的保護(hù)立法。

參考文獻(xiàn)

[1] 王融.大數(shù)據(jù)時(shí)代：數(shù)據(jù)保護(hù)與流動(dòng)規(guī)則[M].北京：人民郵電出版社，2017：158.

[2] 連志英.大數(shù)據(jù)時(shí)代的被遺忘權(quán)[J].圖書館建設(shè)，2015（02）：49-53.

[3] 田貴生.解析GDPR及對中國涉歐企業(yè)的影響[J].對外經(jīng)貿(mào)實(shí)務(wù)，2018（07）：46-47.

[4] 王孔祥.GDPR對互聯(lián)網(wǎng)企業(yè)的影響[J].中國信息安全，2018（07）：46.

[5] 郭戎晉.GDPR下互聯(lián)網(wǎng)企業(yè)的機(jī)遇與挑戰(zhàn)[J].信息安全與通信保密，2018（08）：19.

[6] 魯澤霖.歐盟GDPR實(shí)施對我國的影響[J].信息通信技術(shù)與政策，2018（08）：86.

[7] 段利艷，王志輝，周靜麗.歐盟GDPR法規(guī)對企業(yè)的影響及其對策分析[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2018（04）：60.

[8] 胡文華.沖擊與應(yīng)對：GDPR與《網(wǎng)絡(luò)安全法》比較視野下的企業(yè)合規(guī)[J].中國信息安全，2018（07）：78.

[9] 劉權(quán).最嚴(yán)數(shù)據(jù)法律將如何影響數(shù)字經(jīng)濟(jì)企業(yè)[J].中國工程咨詢，2018（07）：110-111.

作者簡介：王蘇丹（1994- ），女，漢族，江蘇人，南京財(cái)經(jīng)大學(xué)在讀研究生，研究方向：國際法。