欧盟颁布数据保护新法规 跨国企业受影响

《数据保护通用法规》如今已正式生效。企业将有700多天的时间来进行运营合规。如果认为该法规仅仅关乎欧洲的话，那么你就大错特错了，实际上它影响着全球所有持有或使用欧洲个人数据的每个企业。

4月14日，欧洲委员会宣布称，“欧洲委员会欢迎欧洲议会继上周五欧洲理事会之后，最终采取了新的欧盟数据保护法规。”起草该法规的欧洲议会成员Jan Philip Albrecht评论称“新法规将会把决定隐私数据用途的权利交还给用户。因某种原因具有访问用户数据权限的企业不再被允许未经用户同意的情况下收集数据。用户必须为数据使用提供明确的同意意见。更重要的是，如果企业违反了这些法规将会面临全球年收益4%的罚款，对于大型全球网络企业来说这可能意味着数十亿欧元的罚款。”

这部新法规的根本目的有三方面：一是给予所有欧洲企业一个公平的竞争环境；二是强制企业为欧洲个人信息提供更好的安全保护措施；三是为公民提供保护个人隐私数据更大的控制权。虽然这部法规是为了加强对欧洲境内个人数据的保护，但它同时也聚焦在从欧洲出口到其它国家服务器中的数据。

这部新法规不仅会影响到大型互联网公司如谷歌、Facebook、微软等。例如，一家不论规模大小的公司在美国的服务器使用了接收欧洲数据的互联网网站就会自动出口欧洲数据。然而，实际上如果这家公司并没有在欧洲有实体的话，这部法规是不适用的。对违反该规定的企业的罚款确保大型企业无法将数据保护当做是不方便但成本很小的考虑。在该法规之前，欧洲立法者们开出的最大罚款是针对英国信息委员会50万英镑的罚款。而在多数国家，罚款数额要小得多。

关于是否而且何时应当披露数据泄露事件的疑虑未出现在该法规中。该法规第31条规定，“如果发生了个人数据泄露事件……不得晚于72小时”披露给相关立法人员。而披露会给公众带来风险的数据泄露事件不得“延迟”（第32条）。这实际上是存在漏洞的。如果数据泄露事件“不可能带来风险”的话披露就没有必要了，也就是说对丢失数据的加密是否满意。

关于如何判定企业是否违反了法规的规定也不是十分明确。一名数据隐私和保护专家指出，“如果一家数据控制企业遵守该法案，那么所有违法行为都应当受到制裁。但是如果没有人知道这种违法行为，那么相关机构就不会发现。”

实际上，如果没有发生数据泄露事件而且没有用户抱怨对自己数据的滥用，那么就不会出现任何问题。不过这种模糊的风险安全概念表明遵守该法规所带来的成本要比不合规的风险大。这是一种非常危险的道路。实际上所有的企业都会在某个时候发生泄漏数据的行为，而罚款的基础将会取决于承认问题的意愿上，以及丢失的数据量以及控制管理数据安全的到位系统。