应对全球数据保护条例GDPR，最全解决方案抢鲜看！

还记得2017年支付宝年度账单风波吗？支付宝年账单首页入口处，有一行特别不起眼的小字：“我同意《芝麻服务协议》”，不但字特别小，而且已经帮你选好了“同意”，同样，近期脸书面临的信息泄露问题，使企业陷入自建立以来的最大危机。个人信息安全是个老话题，在GDPR的影响下，数据关系着一个企业的生死存亡，那么企业该如何更有责任的保护会员以及用户数据安全？

什么是GDPR？

通用数据保护条例GDPR (General Data Protection Regulation)是一项新的欧盟条例，它将取代1995年颁布的《数据保护指令》(Data Protection Directive 95/46/EC)。该条例将于5月25日正式生效。条例的主要内容可概括为增强数据监管力度，提高对欧盟公民的隐私保护，最大限度的降低企业滥用数据的问题。

GDPR的四大转变

1.全球适用，一站式监管

GDPR要求在多个欧盟国家设有办事处的组织将有一个“核心的监督机构”作为执行的中心点，以一个点作为最高的监督执行机构，确保不会因地域不同引起纷争。同时GDPR还包含了一个新的要求，即在正式生效后，企业必须在得知个人数据泄露的72小时内通知其国家的监管当局，除非数据是匿名的或加密的。可能对个人造成伤害的违规行为，如身份盗窃或违反保密性，也必须向有关人员报告。也就是说全世界的公司，无论数据存储和处理地点在哪儿，即便业务范围不在欧盟境内，但只要公司有任何来自欧盟成员国的用户，就必须遵守GDPR。并且企业主成立地所在国家的监管机构将作为主导监管机构对企业的所有数据活动负有监管权力，其效力辐射于全欧境内。

2.数据保护，用户权利

企业在收集用户提交的注册、报名、下载、参与活动等个人信息时，必须确保用户已经同意企业行为。GDPR在要求获得同意时，提高了公式的标准，遵循用户“自由地给予、明确、知情”，企业需要使用“清晰易懂”的法律语言来进行用户权益阐述，不可以通过其他国家语言或其他方式来模糊权益说明。同时企业还必须能够提供证明，用户的同意行为是自愿的，而非强制同意，同时也必须通知他们有权撤回该同意。

3.内部程序

对于处理个人数据，有若干新的原则，包括在开发系统时在数据隐私的设计构建要求，企业有义务在使用“新技术”或以风控方式处理数据隐私影响评估。数据隐私影响评估是一个系统地考虑项目可能对个人隐私造成潜在影响的过程，从而最大限度减少触碰数据隐私红线的风险。

在安全方面，GDPR将要求许多企业拥有数据隐私官（DPO）来监督他们的遵守情况。需要DPO的组织包括公共机构，其活动涉及大规模的数据主体的定期和系统监控，或组织（如医院，保险公司和银行）大规模处理当前已知的敏感个人数据。

4.责任与处罚

GDPR将要求企业在运营过程中，进行数据的授权记录、授权实施过程等，能够在地方监督当局证明他们符合GDP要求。同时应培训员工，并采取适当的技术和组织措施确保和证明符合性。GDPR的重要性可以从惩罚措施中得以重，违规企业将被处罚以1000万欧元或全球营收入的2%（两者取其高），严重者处罚以2000万欧元或全球营收入的4%（两者取其高）（折合约1.5亿元人民币）。

以上为Focussend总结GDPR部分观点，在GDPR的影响下，绝大多数以互联网作为业务开展的公司都会在某些环节产生困扰。

在GDPR下企业该怎么办?

以下为Focussend针对企业应对GDPR规范，应做的调整进行详细梳理。

1.内容准备：企业GDPR说明文本清晰明确

• 企业内部的“服务协议”和“隐私条款”需要针对 GDPR 做相应调整，制定适合企业自身情况的规则说明文档。

• 清晰明确表明企业将收集的数据、使用及用户享有的许可或撤销许可权益。

• 保证多语言版本，不可利用语言不同等，模糊规定而获取用户的许可。

2.新用户：表单入口明确权益告知