德勤谈GDPR：三项特殊权利将使国内企业国际化面临巨大难题

GDPR区别于以往的法律提出了哪些特殊的要求？

德勤中国风险咨询合伙人 施建俊：GDPR提出了八项要求来强调欧盟公民隐私方面的权利，这其中与国内《网络安全法》区别最大的有三项权利，分别是“可遗忘权”、“数据的可携带性”以及“针对算法的自动决策”。

首先，关于个人信息的可遗忘权，要求企业在系统或组织内，根据欧洲公民的需求，把个人信息通过技术手段来实现“忘掉”。这个“忘掉”不一定是物理上删除，也可以通过去标识化、去匿名化等手段，保证用户在行使权力的时候，感受到自己隐私的痕迹不会被使用和暴露。《网络安全法》在过去没有明确提出遗忘权的概念，这对企业内部的信息系统和数据管理等方面提出了巨大的挑战。

其次，数据的可携带性要求企业必须把其平台上和用户个人信息相关的所有数据打包，按照可读的方式提供给用户，通过这种方式告诉用户企业在平台上搜集和存储了用户的哪些个人信息。数据的可携带性和可遗忘权是相互关联的，因为这两种权利都要求了企业要非常完整地了解自己掌握了哪些用户个人信息，包括信息的数量、类型、存储位置、应用的场景等，在用户提出索求时能够准确、及时地提供。

最后，针对所谓的利用算法来进行自动决策，其实是赋予了欧洲公民可以拒绝企业利用搜集到的个人信息来进行自动判断和决策的权利。这种拒绝权利可能会导致企业不能利用个性化的个人信息和行为来进行客户画像和自动推荐等。最近还有相关新闻报道未来可能会出台更加严厉的法规来规定这方面的行为，这给很多强调用户体验和个性化服务的大数据企业和互联网企业带来了商业模式上的冲击。

这三项权利是GDPR关于用于隐私保护八项权利中与《网络安全法》区别最大，也是对现有企业系统架构、作业流程和业务模式都会产生巨大影响的核心难题。

德勤中国风险咨询合伙人 施建俊：围绕这三项关于用户隐私保护的特殊权利，要求企业必须对其所搜集和掌握的个人信息有一个清晰的脉络图。企业必须花力气盘点清楚自己到底搜集了哪些信息，有什么样的应用场景，信息会被存放在哪里，有谁能够接触到，并有可能进行怎样的分析处理，会不会存在数据跨境传输等问题，并且及时维护好该信息清册。这是GDPR里明确要求的，而且维护成本远比想象中要高得多。

再有一个难点就是，GDPR要求企业在发现个人信息泄露问题后，必须要在规定时间内（根据问题性质不同有不同时限要求，一般不超过72时）上报监管机构。这意味着企业在发现问题后，要在的时间内很短内完成安全事件的调查，并向所归属的监管机构报告。这对企业的安全事件管理流程，包括事件侦测、损害评估、应急响应、内外部沟通机制等，都是非常高的要求，也是过去所没有提出的。

德勤中国风险咨询合伙人 施建俊：GDPR的生效对互联网企业的运营模式是一个巨大的考验，尤其以国内互联网企业的实际情况来看，在掌握大量用户的个人信息之后，通过对用户行为的分析产生直接（如精准广告投放）或间接（如根据行为进行画像来提供一些更精准、个性化的服务）的收益，这是目前很多互联网企业的盈利模式。但是GDPR的生效，导致这个模式在面向欧盟市场时可能不再行得通。

从德勤的角度来看，由于GDPR的巨额罚款，大大提高了企业的违规成本，提高了企业合规的红线，以往那种简单的通过获取用户个人信息并进行直接利用的模式将面临极大的合规风险。但是企业仍然可以在对个人信息去连接和匿名化之后，通过大数据分析和建模，得出关于市场需求、行业趋势等方面有价值的信息，为商业决策提供依据。这要求企业要有更高的数据分析、建模能力以及对行业更深入的理解，而不是在低水平上重复。

这是一个去劣存良的过程，低水平的、不尊重用户隐私的互联网企业会被逐步淘汰，而那些确实有数据分析能力、对行业有独到研究，并充分尊重用户隐私权利的企业，将会被更加认可。所以GDPR的合规也是很多互联网企业转型升级的机遇，会带来对互联网经济的新理解。

德勤中国风险咨询合伙人 施建俊：目前就公开报道来看， Google和Facebook已经在欧洲被起诉。该诉讼主要针对两家公司获得隐私政策同意的方式，即要求用户选择“同意”选项以获取服务，否则就不能使用服务。对于很多在线服务来说这是一种普遍的做法，但是律师认为它迫使用户进行“要么全赢，要么全输”的选择，“不同意就拉倒”，这违反了GDPR关于获取同意的规定。事实上在我国颁布不久的《个人信息安全规范》中就要求企业明确区分其提供的核心业务功能和附件业务功能，基于用户充分的知情权和选择权。

从这两起起诉案例可以看出，不仅是监管机构，每一个欧盟公民都有会关注自己的隐私权，并拿起法律的武器。

德勤中国风险咨询合伙人 施建俊：关于GDPR的合规工作，需要从两个部分来进行，一个是法律层面的工作，另一个是个人信息保护体系建设的工作，两者同等重要。

法律层面主要是通过律师来帮助企业进行法律方面的分析和诊断，并进行隐私政策、合同条款等方面的重新拟定（大家最近一定收到了很多网站发来的隐私政策更新通知邮件）。但是隐私政策合法的前提是其中的内容是准确和完整的，这依赖于企业所建立的个人信息清册的完整性、准确性和及时性，以及各项配套的内部管理流程的完善情况和落实程度。

这就需要我们来帮助企业来进行个人信息数据流的梳理，了解企业本身的业务流程，搜集个人信息的原因、范围，以及商业目的。如果确实有收集信息的需要，则进一步厘清到底通过何种渠道收集了哪些信息，储存的位置、应用场景、涉及的第三方、以及现有的安全管控手段，在此基础上识别各个环节是否有潜在不合规或管控薄弱的事项。

德勤中国风险咨询合伙人 施建俊：目前我们正在帮助一些知名的跨境电商、云服务厂商和家电企业实施GDPR合规项目，他们都在欧洲有广泛的业务在开展。

我们首先帮助企业完整、准确地识别其搜集的个人信息和应用场景，厘清个人信息数据流、建立个人信息清册和识别各个环节的潜在风险；其次和企业的法务部门和外部律师一起完善企业的隐私政策、声明和合同条款等；最后帮助企业建立个人信息管理体系，落实GDPR所要求的“Privacy by Design”要求。

事实上，随着GDPR的正式生效，还有很多环节需要企业逐步完善，如客服的流程，安全事件响应的流程，第三方管理流程等都需要来进行进一步的增强和完善。尤其是第三方管理，除了要在合同上约定双方的权利义务之外，企业也有义务对第三方实际的有效性管控做进一步的监督。个人信息的保护是整个生态都负起责任，而不仅仅是某个企业问题。

德勤中国风险咨询合伙人 施建俊：国内目前有很多企业都在积极地关注并了解GDPR，但GDPR毕竟只是欧盟的法律，如果国内企业不予理睬，欧盟也没有执法权的，后果就是企业会进入欧盟的黑名单，在未来无法涉足欧盟市场。

从这个角度来看，对于在欧盟有很大业务体量，并且在世界上有一定品牌声誉的企业，在合规GDPR的工作上投入是很大的，因为这里面不仅包括的业务上的考量，同时也要考虑中国企业形象的问题。有些企业也许在欧盟利润并不高，但是如果因为GDPR就退出了欧盟市场，对中国企业的整体形象是会造成负面影响的。

但对于部分中小企业而言，可能会出现合规成本过高的情况。所以据悉已经有一些企业计划针对欧盟公民推出差别化的服务，或干脆不再为欧盟公民提供服务。

总体上来说，国内企业对于GDPR的重视可以说是空前的，当然这个也得益于国内近几年，尤其是去年网信办依据《网络安全法》对很多互联网企业的个人信息做出了相应的处罚和约谈，以及媒体的宣传，使得企业开始逐步自律。所以在GDPR生效后，国内个人隐私的保护，应该是近几年安全界和法律界最热的课题之一了。

在这种情况下，有很多企业在法规面前退缩了，也有很多企业迎难而上了，市场必定会回报给那些更守法的企业。

附文

一直以来，德勤都是隐私保护及网络安全管理领域的佼佼者，德勤在世界各地拥有12000名IT风险咨询专业人员、3000名信息安全专家，同时设立了专门研究欧盟隐私保护的德勤欧洲隐私保护学院，共有500名国际隐私专家协会（IAPP）注册人员组成。

德勤中国致力于帮助企业解决数据保护方面的挑战难题，我们组建了一只精专团队，为大型企业的隐私管理项目提供专业服务。

最近，德勤成功助力一家电子商务企业及几家在欧洲开展业务的制造企业建立并完善隐私保护体系，为其全球业务保驾护航。

声明：本文来自安在，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。