所有企业要注意了，你随时可能掉进GDPR这个坑里！

本篇文章2272字，读完约6分钟

《通用数据保护条例》(General Data Protection Regulations，gdpr)为期两年的过渡期结束了，这项在普通人眼中令人厌烦的欧盟法案于2018年5月25日生效。然而，这一法案将逐渐从互联网企业影响整个全球行业的变化。

为什么欧盟法案会影响整个世界？该条例对收集、存储或处理任何欧盟居民个人数据的所有组织和企业开放，无论该企业是否位于欧盟成员国。换句话说，在今天高度发达的移动互联网、物联网和云计算，以及今天高度融合的实体经济和互联网中，世界上任何企业都可以与欧盟成员打交道，也就是说，世界上任何企业都必须认真考虑应对这种监管的机制。

因为如果你不小心或不小心违反了gdpr，高达2000万欧元或总年收入4%的巨额罚款估计会让你的肌肉酸痛。

以下是对中国企业的一些建议。

首先，不要掉以轻心，这不关你的事。这不仅是阿里巴巴、华为等全球高科技企业需要关注的问题，也是企业在安全、无人机、共享汽车、共享经济、无人驾驶汽车等领域需要关注的条款。，因为随着中国智能制造2025战略的提出和人工智能的迅速发展。目前，大型制造设备和小型儿童玩具都与智能相关，嵌入各种芯片和软件，不可避免地会产生数据和数据处理。如果你不小心，你可能会误入gdpr的深渊。毫无疑问，gdpr规定在未来也将适用于所有企业。

其次，无论是非常传统的手工作坊还是传统的制造业，我们都应该对数据隐私的概念有一个新的理解。我以前认为这无关紧要，但现在我认为我们应该考虑一下。我们对数据保护、数据安全和数据隐私有了全新的理解。任何企业在经营过程中都要考虑到这一点。它会碰到gdpr吗？

第三，快速获取数据专家。更不用说传统企业了，他们将不可避免地聘请了解数据安全和数据隐私的专家，以确保企业满足gdpr合规性要求并提供支持。同时，这些专家可以为企业提供有关数据备份和使用相关工具的专业建议，减少数据攻击造成的不必要损失。

当然，现在肯定有很多企业进入了gdpr的深渊，成为了不好的教材。因为在全球范围内，许多企业还没有为gdpr做好准备。

根据veritas对gdpr的研究，许多企业在遵守gdpr方面还有很长的路要走。veritas发布的2017年gdpr报告显示:

18%的企业担心不符合合规要求最终会导致破产

32%的企业认为他们没有合适的技术来满足gdpr的要求

约40%的企业无法准确识别和定位相关数据，而这正是gdpr法规要求企业具备的能力

平均而言，企业将在2018年投资130万欧元，以改善gdpr合规性

gdpr需要企业关注哪些关键因素？

数据领域的专业人士威亚姆中国总经理秦时给出了一些建议。首先，所有企业都应该充分警惕。即使没有任命数据保护专家的计划，企业也应该让所有员工意识到gdpr法规的实施关系到每个人。换句话说，企业或组织中的所有关键利益相关者都应该清楚地了解新法规的要求和有效性，以及gdpr将对企业组织的运作产生的影响。

其次，对自己存储和处理的数据了解不多的企业应该尽快做好准备。所有企业都应清楚地了解这些数据的内容、地点、方式、来源、存储原因以及获取数据的方式。因为这些可能是当地gdpr执行机构所关心的。

对于那些违反规定或未能备份托管数据以确保数据安全的企业，政府绝不会手软。高额罚款不是闹着玩的。很快，就会有违反规定的企业，这将成为其他企业的榜样。

第三，公民将拥有更大的个人数据权利。随着gdpr的实施，人们将更加了解自己的数据权利。并且有权获得个人数据，或者要求企业向他们提供个人数据(以他们能够理解的格式)。另一方面，为了不在满足人们的数据需求上花费太多的精力，并在必要时找到所需的数据，企业应该确保使用合理的方法来定位每个数据点。

第四，严格防范数据泄露。根据gdpr的数据泄露通知要求，企业必须在发现数据泄露后72小时内通知相关部门。然而，在数据泄露后，企业往往难以配合各种调查并采取补救措施。

数据领域专业人士维尔软件大中华区总裁陈阳认为，gdpr合规不再仅仅是cio对企业的责任，而是需要各部门的共同努力。许多企业并不完全了解内部数据管理权的归属。高管们通常认为首席信息官是负责gdpr的关键人物，首席信息官认为这是高管们的责任。公平地说，这需要多个职能部门的合作。这种跨职能的性质意味着企业在创建法规遵从性和数据治理的文化时需要彻底改变他们的思维模式。

陈阳的建议是，满足gdpr要求的关键第一步是充分了解公司所有个人数据的位置。制作一张关于信息存储位置、数据访问权限所有者、数据保存时间和数据传输位置的数据地图，对于了解企业如何处理和管理个人数据非常重要。因此，企业应该定位所有数据。

其次，企业应该部署相关技术，为所有使用的数据建立实时查看能力，并通过基于自动化策略的方法发现、分类和管理信息。满足欧盟居民申请查看相关公司持有的所有个人数据。他们有权要求企业更正(如果有错误)、导出(以适当的导出格式)或删除其数据。

第三，企业应该部署和实施能够随着时间的推移自动使数据失效的数据保存策略。同时，它确保企业存储的个人数据最小化，数据最小化是gdpr的主要原则之一。

第四，数据保护。根据gdpr规定，企业有责任实施技术和企业相关措施，以表明他们已将数据保护纳入所有数据收集和处理活动。

第五，为防止数据泄露，gdpr规定，所有企业都有责任向相关监管机构报告具体类型的数据泄露，并在某些情况下通知受影响的个人。企业应确保能够监控可能的泄漏事件(如意外或异常的文件访问模式)，并快速启动报告流程。

来源：搜狐微门户