企业如何应对《通用数据保护条例》

本篇文章1086字，读完约3分钟

2018年5月25日，欧盟正式实施了《通用数据保护条例》(gdpr)。gdpr的目的是让个人有权控制自己的数据。在此基础上，与个人数据相关的业务可以在公平透明的环境中发展。gdpr共有11章99条条款，其严格性主要体现在高达2000万欧元的罚款或企业全球年营业额的4%(以较高者为准)，对用户行为的直接权利的规定，域外管辖权的增加，以及数据定义的扩展。总的来说，从现有的空网络规则来看，欧盟的价值取向更注重将隐私权保护作为人权的一部分，体现了“人权第一”的原则。

随着gdpr的实施，任何在欧盟设立机构或向欧盟提供产品和服务的企业在欧盟处理个人数据时，都应受到gdpr的约束。对于在欧盟设立机构或在欧盟范围内提供产品和服务的中国企业，至少应在以下几个方面遵守gdpr。

首先，中国企业需要注意的是，gdpr是一般化和枚举的形式，所有的数据处理行为都明确包含在数据处理的范围内，这比中国网络安全法的一般描述要大。因此，企业在经营欧盟业务和数据处理时，应注意gdpr的适用范围。

其次，在跨境电子商务的运营环节中，电子商务的数据合规性将成为企业在本地和海外运营中面临的关键问题。无论是欧盟、中国还是美国，随着数字经济成为各国新经济的驱动力，立法的首要目的是制定消费者保护和隐私保护。随着gdpr的实施，中国电子商务企业需要采用更高的合规标准。

第三，参与欧盟业务的中国互联网公司，包括跨境电子商务公司，应改变营销习惯，严格按照gdpr要求使用个人数据进行直接营销。当涉及到用个人数据营销时，他们应该设置选项，个人可以表达他们的拒绝和撤回他们的同意权。此外，如果在欧盟有分支机构，应根据情况决定是否设置应付账款周转天数(dpo)，以检查和督促企业履行其保护数据主体权利的义务，如知情权、访问权、异议权、拒绝权、撤回同意权、限制处理权等。，以避免因未能及时保护数据主体的权利而受到投诉和处罚。在具体过程中，以上内容被视为下一步技术手段的必要环节。如果未被批准，则不能进入下一步，而不能像以前一样设置选项包；如果个人数据的后续应用超出上述范围，应单独获得个人数据主体的同意。此外，必须告知个人资料当事人撤回同意的方式和方法。

最后，应该指出的是，gdpr还具有域外效力，这不仅适用于在欧盟设立的机构，也适用于非欧盟设立的机构，只要它们提供的产品或服务涉及欧盟的个人数据。为避免潜在的诉讼风险，中国互联网企业应及时改进用户数据管理，特别是更新网络系统，向符合gdpr要求的网络用户发布新的用户协议。

(作者是上海对外经济贸易大学国际经济贸易治理与中国改革开放联合研究中心的研究员)