GDPR来了，你准备好了吗？

2018-05-03 12:29:40 埃森哲中國

2018年5月25日起，欧盟通用数据保护条例（ GDPR）将强制执行。长期以来，许多企业疏于对用户数据进行有效追踪和采取相应的保护措施。埃森哲的调研发现，83%的受访者坚信，信任是数字化经济的基石。达到GDPR所要求的数据隐私和安全要求，是维系消费者信任和保护企业品牌的根本。企业必须敲响警钟，即刻加强对数据安全和隐私保护，并采取有效举措将其提上企业日程。

何为GDPR?

欧盟通用数据保护条例（GDPR）是二十年来数据隐私规则领域发生的最重要变化，给欧盟、乃至全世界的企业都将带来重大影响。无论企业是否在欧盟境内，只要与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民的数据，都必须严格遵守该条例。

与以往的隐私规则相比，GDPR的影响更为深远。在数据保护上，数据供应链自上而下的各方（包括数据的拥有者和使用者）都会被问责；在获取和管理个人信息上，GDPR提出了新的、更严格的要求，并赋予个人明确的权利，为企业通过人工、流程和技术进行客户数据管理都带来了一定的冲击；而且，GDPR还大大增加了数据保护的强制性和责任性，对违规的处罚提高到了2000万欧元或企业全球年营业额的4%（二者取较高值）。

企业是否已做好准备？

如何判断企业是否已经准备好迎接GDPR了呢？我们在这里列出了10个关键问题，帮助您的企业进行诊断。

1、企业是否了解客户数据的存储位置？

要想全面落实GDPR，企业必须掌握所存储和处理数据的特征，从而可以全面保护数据。

2、企业能否明确证实已获得客户同意？

GDPR要求企业向用户提供简明易懂的数据收集和处理相关的知情通知，确保在获得用户同意后方可继续使用这些数据。例如，未经用户明确同意，企业不得将个人信息用于营销目的，甚至不得用作客户群的背景说明。

3、企业的内部隐私管控机制是否健全，相关产品和服务是否符合隐私策略？

GDPR要求企业将隐私管控机制全面集成到需要使用个人数据的各个系统和流程中，从而确保为客户提供可自动应用隐私保护设置的产品和服务。

4、企业存储的数据是否支持移植和传输？

企业必须满足用户将个人信息向自己或其他组织传输的要求，并采取可机读格式。这就要求企业具备多项能力，包括对数据结构化处理，使其成为可移植的数据，以及管理多个平台或供应商之间共享的数据。高科技企业还需着力构建数据安全解决方案，提高消费者的数据可视化程度，和筛选哪些数据需要传输的能力。

5、企业能否在必要时彻底清除个人数据？

GDPR规定，用户有权“被遗忘”，这就意味着企业必须删除不必要的或用户不再允许使用的个人数据。因此，企业必须具备相应的技术和流程，在整个企业中查找相应的数据，将其从系统中删除，同时将用户的数据清除请求告知第三方处理机构。

6、企业能否快速识别并报告数据泄露事件？

GDPR规定，如果数据遭到泄露，用户有权快速获取相关信息，这就要求企业必须在72小时内向数据保护机构报告数据泄露事件。目前，只有1%的云服务供应商能够在24小时内向客户发出数据安全事故通知。

7、企业能否确保所使用的第三方供应商符合GDPR标准？

GDPR明确规定了整个数据供应链上的企业各自的数据保护职责。企业必须明确划分各利益相关方的角色、责任和义务，同时具备卓越的履约能力、供应商管理和风险管理知识，从而打造各平台合作伙伴间紧密合作的全新架构。

8、企业是否拥有经验丰富的隐私保护工作人员？

要想全面落实GDPR，企业必须加大对个人和员工隐私保护的培训力度，建立相应的工作流程，促进不同业务部门之间的协作。企业必须及时填补隐私保护方面的关键职位空缺，安排相应的员工培训，以满足GDPR的合规要求。对于需要处理大量敏感数据的企业，可能还需聘请专职的数据保护官。

9、是否合规？

目前，企业正在全力提升个性化的客户体验水平。在数字化时代，高科技企业收集用户个人信息并据此为客户提供最佳产品或服务已成为常态。我们不妨向前快进到2018年6月，罗莉•史密斯（Lori Smith）要求ABC公司删除其个人数据。ABC公司随即从系统中删除了罗莉•史密斯的个人数据。但该公司之前已将罗莉的个人数据用于角色开发，并参考这些数据为特定客户群提供适用的数字广告。ABC公司目前未对角色做出任何修改，以体现其已删除了罗莉的个人数据。ABC公司这样做是否符合GDPR的数据删除要求呢？

10、是否需要负责？

某零售商使用云端ERP系统。该ERP供应商采用云端平台托管其应用程序，其解决方案还包含用于电子商务支付处理的第三方插件。2018年9月，该零售商遭遇数据泄露。根据GDPR规定，该ERP供应商是否应当对此次数据泄露事件负责？云基础架构供应商和电子商务插件供应商是否也要承担相应责任？