GDPR实施下的企业合规管理

2019年7月8日，英国信息监管局发表声明表示，英国航空公司因为违反《一般数据保护条例》（General Data Protection Regulation，下称“GDPR”）被罚1.8339亿英镑（约合15.8亿元人民币）。GDPR于2018年5月25日生效，被广泛认为是欧盟有史以来最为严格的网络数据管理法规。其立法的目的，就是最大程度地保护个人信息、数据和隐私。GDPR的管辖范围并不局限在欧盟境内：只要一家企业向欧盟境内的个人提供了商品或服务、并收集或处理了个人数据，不管该企业是否在欧盟境内设有机构，都适用于GDPR。这大大扩展了传统数据保护法案的适用范围。对此，中国企业也要行动起来，了解政策，做好相关的应对。

中企广受GDPR影响

中企是否受GDPR的影响，最重要的是看是否存在相关管辖的连接点。而GDPR可以说是拥有最宽泛地域管辖的一部条例。只要存在下列情况之一的，那么就会落入GDPR的管辖范围：一是中国企业在欧盟境内设有营业场所；二是中国企业虽然没有在欧盟设营业场所，但是存在针对欧盟境内数据主体的个人数据进行数据处理的行为，如收集、处理欧洲境内的个人信息的相关业务；三是推定适用GDPR的情况，如任何网站、手机软件只要能够被欧盟境内的个人所访问和使用，或者产品或服务使用（无论是否是有偿业务）的语言是特定的欧盟成员国语言，再或者使用的货币是欧元或特定欧盟成员国的货币，那么该公司均可以被视为其产品、服务的目标用户包括欧盟境内的用户，从而被推定适用GDPR。

由此可见，GDPR的地域管辖范围完全不受其立法机构所在地域的限制，可以说在上述条件下是覆盖全球的；另一方面，GDPR的适用也不分行业，但对不同行业的企业，其影响存在差异。总得来说，GDPR对于电商公司、互联网保险公司、网络社交平台为代表的互联网行业企业的影响，显得更为直接和重大。因为这些互联网企业的科技使用使其可十分便捷地取得个人数据，而且取得个人数据也是其主要的经营行为。对于银行等金融机构而言，由于网上银行、电子银行等新的经营载体和方式的出现，使个人数据获得范围的广度大大拓展；同时，金融科技的创新本身也以个人数据和数据处理为主要内容，无论是大数据应用、云计算还是区块链，都可能要对现有的技术和经营结合的模式进行重新考虑。所以，涉及到业务跨境的相关金融机构，也需要从GDPR所要求的数据收集和应用规范出发进行调整。

需要注意的是，以线下经营为主的实体化企业也不一定就可以松一口气，以个人客户为主要经营对象的公司，也会获得客户信用卡信息、音像资料、会员卡填写资料等个人数据，一样会受到GDPR的影响。即使不以个人为经营对象的企业，虽然减少了大量来自于外部的个人数据，但还是免不了会取得内部员工个人数据和外部公司员工个人数据的情况，从而同样会受到GDPR的影响。

GDPR法律法规概览

GDPR调整范围——个人数据处理

GDPR的立法目的，是为了最大程度地保护个人信息、数据和隐私，所以被保护的客体是个人数据。个人数据是可以用来识别或可识别的自然人的相关信息，就是借助此种数据，可以对应识别自然人。自然人通常在商业活动中提供的姓名、身份编号、地址、邮箱地址、电话号码等信息，都属于个人信息；个人的生理、身体健康、精神健康以及卫生保健等信息，只要可供识别，也同样构成个人数据；其他如脸部形象、指纹数据，也会构成个人数据。

GDPR调整的行为是处理个人数据的行为，即数据处理行为，包括全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。可见数据处理的含义较为广泛，简而言之，企业对个人数据所做的任何操作，如数据的收集、存储、使用、应用、分析、转移、分享、变更等，就连删除，也属于数据处理行为。与企业合规管理比较紧密的数据处理行为主要包括收集、储存、传播、更正、修改、组合以及使数据被其他人获得、披露等行为。

需要注意的是，下列四种情况不在GDPR的调整范围内：一是个人数据处理发生在欧盟法管辖之外的活动中；二是个人数据处理行为是为了履行《欧盟基本条约》（TEU）第2章第5款所规定的活动；三是纯粹个人或家庭活动中所进行的个人数据处理；四是为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。

司空见惯的大数据分析行为，为什么属于个人数据处理范围呢？因为GDPR的适用范围内有一个数据画像的概念，就是指为了对个人进行特定方面的评估，故采取自动化方式处理个人数据的行为。比如用某个商品的购买记录，来分析个人的经济状况、购买位置、个人偏好等种种行为表现。而大数据分析正好落入这个数据画像的范围内。

处理个人数据的合法性依据

根据GDPR，只有在下述六种情况下处理个人数据，才属于合法情况：第一，取得了个人数据主体的同意；第二，对于双方签订的合同而言，不处理个人数据就无法完成合同的履行，或者在签订合同前，个人数据主体已经要求先进行数据处理；第三，个人数据处理是数据处理人履行其法定义务所必需的条件或内容；第四，个人数据处理行为是保护数据主体的核心利益所必须要完成的内容；第五，为了公共利益、政府主权等需要进行个人数据处理；第六，个人数据处理对于处理者实现合法利益是必要的，但不与其他基本权利（如儿童的优先性利益和基本权利）相冲突。

上述六种情形中，第一种情况即“取得数据主体同意”是目前最大比例的处理个人数据的合法性基础。比如基本所有电商、外卖、保险、商场等等，凡是在经营中会取得个人数据的经营实体，多数采取第一种情况来应对GDPR的要求。但是GDPR对于获取数据主体同意的要求较为严格：根据GDPR第4（11）条，数据主体的同意是指数据主体依据其个人意愿，自由、具体、知情并无歧义地通过陈述或积极行为，表示对其个人数据进行处理的同意。作为数据控制者的企业，负有证明其已经从数据主体取得同意的举证义务。

合规处理数据的原则

要想达到GDPR中关于处理数据的合规标准，必须遵守下属六项处理原则：第一，处理个人数据必须符合合法、公平和透明的原则；第二，收集和处理个人数据的目的必须具体、明确、合法；第三，对于收集和处理的个人数据的范围，应以达成目的所必须的最小范围；第四，数据处理人需保证数据的准确性，并及时清除或更正错误数据；第五，不能永久储存个人数据，特别是可识别数据主体身份的数据，个人数据处理目的完成后即不应储存；第六，数据控制者应对数据合法性依据和上述处理原则的有效实施，承担证明义务和相应责任。

以上述大数据处理原则为出发点，企业数据处理要实现合规，获得用户合法有效的同意，就必须做好以下三项工作：第一，数据控制人必须向数据主体全面告知数据画像处理活动的进行程序、内容、步骤以及方式等；还必须告知数据主体，究竟收集了哪些数据，处理数据时所用的算法的基本原理。如果数据处理后的评