GDPR终于在全世界的目光焦聚与紧张期待中，于2018年5月25日正式生效了！这份紧张来自于根据这部规定个人数据与信息保护目前最严格的法律，企业是否已经准备好接受验收了。

本文从企业的个人信息保护及数据合规建设方面展开论述，主要涵盖四大方面内容：第一、基于国内的法律，企业如何去建立一个合规路径？笔者个人观点是，首先要对政策法规十分的熟悉；其次，监管的动向，包括监管机关对某些案件的态度，都需要十分的了解。最后，对于公司的高管和相关部门，要时刻提醒他们明白合规的重要性，对于做好的合规思路及流程怎么推行下去，后文会讲到。第二，根据欧盟的GDPR，如何去做好企业合规？在合规路径上，GDPR和国内法是会有重合的，在条件不允许或没有时间和金钱成本做出两套合规体系的情况下，如何去综合国内外路径，就是第三点要讲的内容。第三，企业如何把双路径设成单路径加特色路径的走法形式。第四，在前三点都没做或者都没有做好的情况下，在真有危机发生时应该如何进行处理和应对，有哪些措施需要事前想到。

一、依据国内法律建立企业合规路径。主要分为四个维度介绍，即法律法规、监管要求、案件走势和企业内部去做合规的路径。

1.法律/标准要求

个人信息保护的法律法规和国家标准其实已经有一定数量了，但企业目前合规主要参照的是《网络安全法》和《个人信息安全规范》（以下简称“标准”），后者虽然是个推荐性标准，但是已经得到了舆论媒体及监管机关的高度认可，也是他们去评价各公司隐私政策好坏的衡量尺标。网安法涉及到个人信息保护方面的，比较重要的是个人信息和重要数据的保护制度，主要分为两大维度，第一个是数据信息安全，包括重要数据保护和个人信息保护，当然可能还有传统数据安全。第二个是运营安全，主要是等级保护和关键信息基础设施保护。这两块内容是紧密相关的。后面在监管动态中也会具体再展开说到。

标准涉及的内容，主要将其概括为三个层次，第一个层次就是一些基本原则，这些原则是要在隐私政策中做具体体现的。第二个层次，对用户的个人数据进行收集、处理、转让、分享等，其实就是数据整个生命周期的流转。第三个层次是如何做组织建设和安全事件的处理。基本原则中要重点说明的选择同意原则，这点和GDPR是有比较大的区别的，我国基本都是以同意为主导的，而GDPR除了同意以外还有其他的合法性标准。最少收集原则，企业收集的数据量需要符合业务需求实际够用就可以，后文会以南京消协对百度提起的公益诉讼这个案例来具体说明。公开透明原则，企业收集处理的信息至少要在隐私政策中说明范围和目的，将规则展现给用户，做合规要注意两方面，第一，要真正站在消费者角度或者说从用户权益的角度更好的去落实规范要求。第二，企业要准备一套资料，在监管机关审查的时候，企业要能展示出来已经做了合规，比如说隐私政策等。

    第二个层次，先重点说一下同意，我国现在个人信息安全规范的指引其实就是以“用户同意”为中心，比如说在隐私政策中要说清收集数据的目的、范围、用途等，一定要用户明示同意，在产品中要设置按键让用户去按而不能直接帮助用户默认勾选。对于要收集的信息一定要突出显示出来，每一个业务模块中的核心信息和附加信息要标明出来，对于敏感信息要进行增强性告知。存储时要约定存储时在境内还是境外，标出存储时间，以及在违法违约等情况下，用户向你发出删除或更改其个人信息要求时，企业要设置这一功能进行及时的处理。在GDPR中，风险控制取代了同意成为了核心，为何我国没有仿照GDPR规定除同意外其他的合法路径呢？个人理解，中国在个人隐私保护的起步阶段尚晚，欧美已经经历了从工业革命（安全与价值），信息革命（隐私）到现在智能革命的（公平）的路程，而我们现在是同时启动这三个过程，企业目前还不具备如何去主动证明对风险已经进行控制并达到合规的这种能力，除了同意以外，其他那些合法性要求，企业可能都不知道应该怎么去证明。那么就干脆只要求用户选择同意，对于企业提供证据证明合规的难度其实是降低了的。

信息控制者的主要义务就是收集、保存、使用及对外提供，对于收集有个例外，比如是为了刑事侦查、国家/公共利益、新闻报导等，就是说如果不走同意这个路径就必须要证明符合这些例外。在保存和使用中，要和企业的IT 部门及运维部门说明，对外展示时要进行匿名化、脱敏等处理，否则风险太大，同时把可能接触到数据的人员列个单子，要和他们签特定项目的保密协议，确保出现问题时能够及时能找到相关人员和进行追责。另外，操作审批流程中，安全管理人员与数据操作人员以及审计人员的角色是要进行分离的，不能既做运动员又做裁判员。对于保存方面，要和技术人员说明白要将敏感信息和普通信息贴不同标签并做分类处理，因为设计敏感信息的更改是需要进行增强性告知的。对外提供比如涉及企业合并收购等情况时，也一定要对用户进行增强性告知，同时也要在用户同意的基础上才可以进行，并且由变更后的信息控制者继续履行原有义务并重新获得用户的明示同意。委托处理是指个人信息控制者做出委托行为，不得超出已征得个人信息主体授权同意的范围，并且对委托行为要进行安全影响评估。我国标准上只有Controller这个概念，而GDPR中既有Controller又有Processor，其实也是Controller将相关的义务委托特定对象予以处理，而控制权未转移。对于共享和转让是不一样的，共享是两公司都变成数据控制者了，他们同时拥有数据控制权，两者都要符合标准要求；而转让是A公司将数据全部转给B公司，之后B公司替代A公司成为新的数据控制者了，转移时还是需要增强性告知及用户明示同意的。而公开披露，原则上是不提倡的，除非是有一些法定事由或者属于正当目的不得不披露，这也是要增强式告知和获得用户同意的。

  第三个层次，对于安全事故的处理，在安全事故发生时企业不仅要向用户告知，同时还要向监管机关作报告。但我国与GDPR的规定是不一样的，GDPR是有72小时的规定的，中国相对宽松一点，只要满足《国家网络安全事件应急预案》中网络安全事件不同level的不同要求就行。组织内部的安全管理要求来讲，要确立责任人员及机构、建立个人信息清单、要展开数据安全能力建设、人员管理培训、安全审计等。要注意的是，上面提到的做网络技术支持的人、与安全信息管理的人和做审计的人不能是同一拨人。

2.监管要求洞察

  我国，信息安全的监管部门主要包括：网信部门、公安部门及工信部门。

企业要主动去和监管部门多交流，要摸清各个部门负责的各个方面，现在的政府还是乐于去和企业交流的，也很愿意分享给企业如何去做才符合要求的建议。网信部门分为国家网信办和地方网信办，互联网信息内部的管理涉及的会比较多，也会协调制定互联网安全方面包括关键信息基础建设保护和跨境数据传输这些方面的法规和办法。工信部门主要负责信息通信领域网络与信息安全保障体系建设，电信网、互联网和工业控制系统网络与信息安全的规划、政策和标准的制定以及互联网新业务的评估等。公安部门主要涉及计算机、网络犯罪方面，还承担了联网备案及登记保护备案两项职能。

从监管趋势分析，目前网信办主要查处信息安全方面的问题，比如用户在新浪微博或腾讯微信上发布一些色情暴力等信息，而平台又没有进行实时的监督处理。查处方式主要包括约谈、罚款、警告、整改。

公安部门和通信管理部门主要查处运营安全方面的问题，包括：未履行网络安全保护义务（淮南职校案）未履行身份验证义务 （BOSS直聘案） 网络产品、服务未符合相关国家标准的强制性要求 （广东动景案） 以及从事或支持危害网络安全的活动等。

3.案件走势分析

回顾一下2017年发生的几个经典案例（本文总结时为节省篇幅，案件事实部分不再描述），企业可以从中学习和总结出什么。

第一，数据收集、共享、信用评级、信用报告授权等只能通过用户明示同意的方式进行，不得以默示勾选方式进行。(支付宝年度账单案)

第二，当数据合法存在的原因消失或者数据信息不再被需要时，或者数据主体不再同意使用自己的数据时，主据控制者需要对其进行删除。(支付宝年度账单案)

第三，法院已经向公民提供了个人信息方面自主维权的法律通道。并且举证责任分配发生了改变，数据控制方将承担更多的举证义务(庞先生v.s“去哪儿”、“东航”案)

第四，APP安装前需要告知用户使用权限、目的，并经用户明示同意，收集信息不得超权限和范围。（江苏消保委VS百度案）

第六，消费者保护组织可代表不特定公众对存在损害消费者权益的企业提起公益诉讼（江苏消保委VS百度案）。通过技术手段损害消费者权益，限制消费者自主选择权、知情权和隐私权是不可取的。(新浪微博vs.脉脉案)

第七，对投入努力和资源进行数据收集的公司，享有竞争法意义上的保护。即使在技术可行的情况下，他人也不得未经许可和授权随意进行抓取和利用。(新浪微博vs.脉脉案/华为vs.腾讯微信案)

第八，合作双方就用户的个人数据进行共享和授权使用，也需要获得用户的事先明示同意和授权，即三重授权原则(用户授权+平台授权+用户授权)。(新浪微博vs.脉脉案)

在总结已有判例的同时，也需要去探究其中暗含的问题，做到预知和预防：

第一，新的商业模式创建的一方（行为实施方）在创新商业模式时，是否会涉嫌通过搭便车而获得不正当利益？权利损害方是否因此受到了竞争利益损害，比如流量损耗？（大众点评vs.百度案）

第二，法律是否允许从公开市场爬取信息？爬取的信息是纯公开市场信息还是受Robert协议规制的范畴？当抓取的某类公开信息积累到一定量时，是否有达到市场支配地位之嫌？（HIQ vs.Linkedin案）

第三，平台数据一站式打通，企业建立自身生态时是否对用户做了充分的保护？企业在自身发生利益纠纷时是否可以随意的关闭互通数据接口，是否需要考虑损害消费者利益？（顺丰vs.菜鸟裹裹案）

第四，当硬软件厂商在协同工作的生态圈中，发现了数据的价值，但所有数据及软件都在自己的硬件上运行时，数据绝对权没有明确界定，为避免数据占有权之争，硬件或APP对第三方软件数据的获取需要通过协议约定+用户同意？（华为vs.腾讯微信案）

从近期案件走势，可以得出：各类数据争议已经愈演愈烈，数据争议中所涉及的形态也越来越新。民事、刑事诉讼与行政执法再加上政府协调，形成了几方共同管理的局面。在我国数据保护法尚未出台前，网络安全法、个人信息保护法已经开始和反不正当竞争法、知识产权法等相结合审理案件，企业去做合规时需要考虑综合因素。个人数据主体（用户）、数据采集利用方（企业和其他组织）与政府及监管部门（消协等公益组织）三者之间也形成了一种角力平衡的关系。

4.合规路径设计

合规对于企业的影响涵盖了诸多方面，比如监管处罚、流失用户，公司文化、员工价值观和积极性受损、品牌形象和商业名誉受损，甚至还会影响公司上市与并购重组等。如何去做好合规，首先，要得到高层的支持，不时向管理层展示合规的重要性，法务可以每半个月将近期发生的案例做成一个小简讯，将处罚原因、结果以及对企业的implication写明白，容易会引起管理层的重视。其次，建立数据合规工作小组，做好职责划分及工作计划，与标准的要求进行对标，根据差距分析和改进现有状况，制定员工培训计划，完善对外合同协议等。这样在监管机关审查时，可以提交出已经进行合规的证据，即使出现一些小纰漏，也能从已经做到的合规措施部分减轻处罚的后果。再次，要建立信息清单、实施影响评估及发布隐私政策，这些都是法务部门自身可以完成的。最后，涉及到需要技术部门支持的比如去标识化和个人信息安全工程等，就要和其他技术部门沟通好，让他们配合你去做，并且要时常进行审查确认。对于已经经过各方确认好Action Plan和完成时间点的项目执行上，不但要对进度和Owner进行明确描述，还需要项目组在推进的过程中，每天review完成情况，设立邮件组或者微信群等每天同步当天完成情况，抄送大小老板，360度追击没有完成当天任务的执行人。在做合规的过程中，也要学会变通及不断调整，比如：对确实无法推进的事项重新进行评估与修正、出错环节进行调整、借鉴其他企业更好合规经验等。

从信息获取方式来讲，分为四个来源。第一类,用户主动提供的数据。收集用户信息的目的、种类、用途以及保护义务详细完整的告知用户同时还要遵守最少收集原则-不收集不必要信息 ，需要用户明示同意+ 授权，对于敏感信息要进行增强式告知。第二类，自动采集获取数据。首先要确认公开渠道的真实性、合法性即确认公开爬取数据不涉及违反Robert协议和其他限制性约定，还要确定硬件厂商对in-app信息的提取是否有获得授权（信息控制方+用户）。第三类，间接获取数据，企业要进行安全评估+确定第三方的真实目的，设置数据流通壁垒，并以用户本身的选择为通过要件之后要对共享部分和非共享部分的数据进行分类处理和管理，定期审计与监管，通知第三方删除用户信息并且采取有效的保护措施中断第三方对数据的控制。第四类，加工处理后获取的数据，企业要进行去标识化处理/ 匿名化处理，采取安全技术措施比如对数据进行标签化管理，对数据进行分级分类管理等。

从数据安全评估来讲，分为整体与局部合规差距性评估，以及典型评估以及可能产生高风险场景的场景评估。具体举几个例子来说明：比如要做好产品或服务年度整体评估；法律法规、政策标准、外部环境等出现重大变化时重新评估；业务模式、信息系统、运行环境等发生重大变化时重新评估；新产品或服务（不限技术平台）设计阶段评估或初次上线评估；个人信息出境前，个人信息委托处理、转让、共享或公开披露前或范围发生变化时；对去标识化后的数据重新标识使用时都要做评估。另外，还在一些可能产生高风险的场景，比如涉及对个人信息主体评价、打分等直接画像；对数据处理规模较大的（涉及50万人以上、持续时间久、地理区域广泛）或涉及集中数据处理或涉及弱势群体的需要对数据安全进行评估。

企业发布隐私政策可以参考与借鉴标准中的附录性资料，同时也可以借鉴互联网大公司里面已经比较成熟的隐私政策，但切记不得照搬照抄，需要符合本公司的业务及产品场景，进行定制化设计，即Privacy by Design。对于敏感性信息的，需要特别提示或者以单独告知的形式进行提示。

在接下去介绍技术保护措施之前，这里做一个小总结，笔者认为，企业的数据合规工作的实践标准实质是在以个人信息安全保护为核心，通过外部契约（隐私政策）、内部契约（企业制度）和第三方契约（对外法律文件）共同来进行建设的。具体可参考笔者之前写过的一篇小文章《在<个人信息安全规范>指引下—初探AI企业数据合规的good practice》。

提升数据安全合规能力，是一个大的工程体系，会贯穿从终端用户到应用服务器，再到应用数据库和大数据中心的整条线路上的合规化措施与技术方案，比如说对数据进行来源打标，数据流动进行跟踪管理，对数据的细粒度进行权限控制，建立隐私数据与数据驻留合规，重要数据分级分类管理，数据存储保护合规以及数据共享交换、转输合规等不同技术手段的运用。最后建立一套个人信息安全工程。

还需要介绍一下去标识化与匿名化的区别：去标识化，是指通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。但是如果通过其他技术手段，可能还可以还原信息主体的原貌，保留了个体颗粒度。匿名化是指通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息也不能再被复原的过程。

    数据出境方面：我国《网安法》第37条规定：我国境内 CII 经营者收集和生成的个人信息和重要数据, 应存放在中国。但是按照目前《个人信息和重要数据出境安全评估办法（草案）》，已经将网安法中的关键信息基础设施建设经营者的范围扩大到了所有网络运营商。重要数据的范围其实已有日渐清晰的趋势了。评估数据出境风险的主体思路个人认为要从三个层次去考虑，第一，数据的重要程度即受影响的等级，具体考量敏感程度、数量、范围及技术处理情况。第二，数据出境安全风险，企业自己要做好评估，如果评估结果为风险高就要增加安全措施以降低风险；如果风险低，就可以正常出境。第三，安全事件发生的可能性，在确保发送方有足够的数据安全控制能力的同时还要确保接受方有安全保障能力及其所在国家或地区的政治法律环境。合规方面对于重要数据出境与个人信息出境也是有区别的。

二、依据欧盟GDPR建立企业合规路径。本章分为三个维度进行讨论，即法律规定、监管要求、监管路径。

1.法律要求

这里先说一个题外话，欧美对于数据/隐私保护与科技发展的思维是不一样的，以人工智能为例，全球都处于发展人工智能的浪潮中，欧洲人工智能法律&伦理规则先行，已经试图用正确的价值观来约束技术开发与应用。而美国仅在人工智能有法律提案时，更多涉及如何促进技术创新应用，进行事后监管+自律，以最佳实践来回应各种挑战，最后立法。另外，欧盟是以1950年《人权公约》为基石的。在《欧洲一般隐私指令》颁布的20年后，《一般数据保护条例》予以制定。

这个保护条例是强制要求各个成员国必须遵守的，也适用于世界范围内所有在欧盟有业务和收集处理欧盟公民的个人数据。GDPR 是否对某个组织适用，不是看数据储存的位置，而是收集、处理与欧盟公民有关的数据事实。即使是设立在欧盟境外的公司只要向欧盟用户提供商品或服务比如APP海外版、选择欧洲语言为网站官方语言等，或对欧盟用户的在欧盟境内行为进行监控比如GPS、cookie等都要遵守GDPR的相关规定。

GDPR主要包括六大方面内容，（1）基本原则（2）合法基础，这里重点说明一下，GDPR规定了除同意外的另外五大合法途径。（3）数据控制者+数据处理者的义务（问责制）比如设置DPO、要有数据安全措施保障等。（4）数据主体（即个人）权利，包括最近讨论的比较热门的被遗忘权、可携带权等。（5）监管者的权限和处罚，GDPR是一站式监管，同时罚款十分高昂，这也是各个企业十分重视的方面。（6）数据出境及跨境流通，通过SCC、BCR等方式去进行流通。

    对GDPR中几个重要术语及其规则分别进行介绍：

个人数据= “与被识别出来的或者可被识别出来的自然人（数据主体）有关的任何信息”包括但不限于：姓名，护照号、社保号，地址，地理位置数据，电话号码，电子邮箱，照片。个人数据中的“特别类别”：种族或民族起源、政治观点、宗教信仰、工会成员项相关数据（在欧洲设立实体的必须特别重视这一点）、基因数据/生物数据和与身体健康或精神健康有关的数据、与个人性生活或性取向有关的数据、刑事定罪记录（即所谓“案底”）。

数据控制者：他们有权“决定个人数据处理的目的和方法”，也即有权决定“为什么处理”和“怎样处理”，并对选择适格处理者一事负责。控制者承担的是一种整体责任，要遵守隐私原则，对数据主体的权利与影响评估负责。

数据处理者： 他们代表数据控制者，在数据控制者的指示之下处理个人数据，他们也对选择适格的数据处理分包商一事负责，以与数据控制者之间的协议履行义务与承担责任。

同意：相较于1995年的指令，GDPR做出了更严格的要求，核心的变化是，数据主体需要做出声明，或者做出清晰的肯定性动作，同意才被认为有效。个人沉默、提前勾选的选项、静止等状态，不足以认定个人表达了同意。GDPR还明确了何种情况下，同意是由数据主体自由地做出的。数据控制方还应当告知数据主体（即个人）有收回同意的权利。

    所谓告知性同意（informed consent），需要从以下四个方面去看：

1.一对一：在书面文件中，对数据处理的同意的要求必须“明显区别”（clearly distinguishable）于其他问题，而且必须使用“以清晰明了的语言，使该要求易于理解和用易于理解的形式”提供。

2.肯定性同意：获得同意可能包括在网站上勾选一个方框，“对提供信息服务选择技术设置”，或用“另一个声明或行为”，明确表示同意处理。“沉默、预先勾选或不进行勾选，”都不得推定是对同意的充分授权。

3. “特殊类别的个人信息”处理需要“明确同意”。“特别是针对基本权利和自由权”，因此“应该得到具体的保护”，包括为识别一个自然人的“种族或原属族裔、政治观点、宗教或哲学信仰，或工会会员身份和基因处理数据，以及健康数据和有关一个自然人的性生活或性取向的有关数据”。

4.敏感数据处理的例外。GDPR禁止处理个人敏感数据，除非得到数据主体的同意，或者数据主体已将该等信息公开；为建立、履行或者保护合法的诉求必须处理上述敏感信息；为了公共利益的需要或与公共利益相关的存档、进行科学研究、历史研究、统计等事宜。

跨境数据处理：有几个方式去进行，1.充分性决定可以理解为欧盟的白名单，但是中国是不在其内的。2.BCRs，即有约束力的公司规则，集团内部要有一个统一制度，报给每个成员国的数据保护监管机构（DPAs）让其进行评估，如果批准就可以自由传输，但是评估过程比较长。3.SCC,即标准合同条款，必须经过欧盟委员会的认可，目前可以采用三套标准合同条款。【考虑篇幅限制，关于具体区别，笔者将另以文章进行介绍】。4.经欧盟成员国数据保护监管机构批准的行为准则，数据控制者可以提出遵守GDPR的详细行为准则。5. 经批准的认证机制、加盖European Privacy Seal的方式。主要适用于公共机构之间的数据传输活动。

    本章最后，介绍一下GDPR项下个人数据主体权利与数据控制者和处理者的主要义务。

个人数据主体权利，主要包括知情权、被遗忘权（当用户依法撤回同意，或者数据控制者不再有合法理由继续处理数据时，用户有权要求删除数据）、访问权、个人数据可携权（用户可以不受阻地将其个人数据从一个信息服务提供者处转移至另一信息服务提供者处。这个过程中数据控制者无权干涉，反而还有配合的义务，并且在技术允许的情况下提供特定格式的数据文本）及反对权（一般认为，数据控制者出于营销的目的对个人数据进行使用要符合个人的合法利益，但GDPR同时赋予数据主体对营销活动的绝对反对权。）

数据控制者与处理者的义务（问责制）

1.一个机构的核心业务如果涉及公权力机关处理个人数据；大规模处理特定类别的数据活动，或者要求经常性、系统性、大范围地监测数据主体时，必须设立DPO。核心是指完成组织目标的关键业务。

    DPO的角色定位是风险治理的核心。WP29建议所有组织都任命DPO，并认为DPO会是企业的核心竞争力；DPO具备法定定义，伴随着确定的权利和义务，企业不得随意使用该名称。他/她是联系各方（监管机构、数据主体、组织内部的各业务部门、媒体、社会监督组织等）的枢纽，以合适的方式及时参与到涉及个人数据处理的所有事项中（包括提供建议、培训、审计、建议与监控数据保护影响评估等）；应具备履行职责所必需的资源，并具备资源保持其专业水准（如培训、参加会议等等），并在行使职责时保持中立，不受数据控制者和数据处理者意见的影响，不得因其行使职责而对其开除或处罚。DPO直接向最高管理层汇报。但承担责任者仍然是数据控制者或者处理者，并非DPO本人。

2.对GDPR合规动作进行文档化管理：目的在于企业关于GDPR合规的任何举措都有据可查。数据控制者必须全面的记载其数据处理活动（目的、类型、数据接收者、数据保存时间、采取的数据保护措施、与数据处理有关的合同）

3．DPIA：对于高风险（特别是新技术带来的高风险）的数据处理活动，要事先进行数据保护影响评估但GDPR并未对所谓“高风险”进行定义。

4.事前咨询机制：DPIA结果如为高风险，则数据控制者应当向当地数据监管机构进行事先咨询，就监管机构提出的处理意见采取纠正措施。

5.报告数据泄露事件：对于发生的数据泄露事件必须即时向监管机构报告，不得延宕且必须在72小时内。超过72小时的，需要向数据监管机构说明合理事由。

6.设计、提供安全保障措施：对数据进行匿名化和假名化处理；确保可持续地保障数据的机密性、完整性、可用性、系统可恢复性；在物理或者技术事故发生时，有能力及时恢复数据的可用性、可访问性；建立定期测试、评估保障技术、保障管理措施等。

2.监管思路

欧盟通过一部单行法（GDPR）来覆盖各行各业的个人信息处理行为，相较于保护个人数据更为重要的是昭显保护基本人权的理念。其中详细规定了个人信息处理的基本原则，如最少够用、目的限定、存储期限最小化等。赋予了个人对其信息非常广泛的控制权利，如数据可携带权、被遗忘权、反对自动化决策机制权利等。还规定了一些特殊要求，比如上文中提到的DPO及DPIA 等，体现了以风险为核心的规范体系，要求产品和服务应实现Privacy by Design and by Default。管理和处罚方面也有严格的规定，各个成员国均设有独立的个人数据保护专职部门，实时监控企业的行为，流转出欧盟的数据要求接收方有足够的保护水平。处罚额度方面可高达2000万欧元或全球年收入4%，两者取其高。

企业可以从上述规范要点中揣测监管机关的思路，同时完善自己的合规体系以及现阶段进行合规措施的要点。

3.合规路径

企业需要做到自证合规，主要通过以下几个主要步骤：

    首先，要注重隐私政策及内部章程的制定，这是社会了解企业的重要途径；其次，合同要求，对于消费者要实时更新服务条款/ 隐私政策，数据控制者与数据处理者之前要签订数据处理协议，若需要将数据传输至第三国，要签订Group Data Transfer Agreement；最后，企业要记录并保留DPIA，在出现泄露等情况是要通知用户及管理部门，即做好数据的管理保护工作，并敢于承担风险。

三、企业如何高效/节约地把双路径变成单路径+特色路径的形式

个人建议，企业建设个人信息保护与数据安全的合规体系，既非走双通道，也非走单通道。而是先建统一路径，再建特色路径。

统一路径包括以下几个方面：1.采用先进的技术措施。如去标识化、数据脱敏、存取控制、数据加密、审计日志、安全协议、数据分类分级、打标、地图、血缘监测、加密、防病毒和网络攻击/侵入、重要系统和数据库容灾备份。2.企业内部人员管理与培训关键岗位签保密协议+定期培训+考核。3.个人信息安全影响评估+定期开展评估、保管、留存评估报告（也可境内外分别做一份）。4.企业内部设立专门机构+负责人/DPO。5.建立个人信息安全事件应急预案文件+定期演练+及时报告。 6.制定内部安全管理制度和操作规程+等级保护制度+SOP+处罚措施+计算机信息系统安全等级保护。7.历史合同审查与新签合同规范条款与数据相关条款的审查/修改/补充+网络产品和服务采购合同。

五大特色路径建立：1.隐私政策（中国版+欧洲版？/还是做全球统一版？哪种合规成本较高）2.合法性基础（以同意为唯一基础？/还是同意+其他正当事由？）3.数据出境（国内标准境内存储加评估/国外数据出境机制选择一种）4.用户权利（有些特殊权利如遗忘权、可携权以及反对自动化决策机制权如何从产品上实现） 5.信息泄露（报告时间不同）

四、数据危机处理及应对措施

如果企业在没有开展上述合规措施，或者合规措施开展得不够到位的情况下，而被黑客攻击导致数据泄露、网络瘫痪；被有关部门约谈、处罚；被新闻媒体曝光、采访；影响企业并购、融资、上市了，那该如何处理？

企业应对危机处理通过四个阶段：

预警：法务应当对相关信息渠道保持密切关注及高度敏锐，对近期发生的约谈事件及新闻报导迅速做出反应，针对执法重点进行重点排除。即，时刻关注最新法律法规动态，搜集相关情报。

评估与决策：先要识别起因及事故类型，是由于遭受攻击而产生的网络安全事件，还是因信息收集而产生的网络安全事件？这有利于判断事件的严重程度，以及为应对紧急措施与对外报道提供合理的依据。其后，需要快速确认应对措施的人员，确定响应小组名单，一定包括不同部门的成员，需要对其安排并分配处理信息安全事件的责任制。为响应小组人员提供处理应急事件的方式与流程，以及对外说话的一致性口径。根据事件的性质与严重性采取不同的手段。

响应：首先企业要先固定证据，之后立即向用户及主管部门通知和报告，最后根据事态的发展进一步去评估决策，以解决事故。但固定证据的过程也要格外留心，不可以因为固定证据反而将没有脱敏的数据再次泄露。

经验总结：在危机事件处理完毕后，需要对整个过程进行总结，比如数据安全保护薄弱环节究竟是在哪儿，今后应如何改进数据安全控制措施，不断升级保护策略。对于事件处理过程，应对的时间节点以及手段是否正确，避损方案是否合理，各个部门是否对处理过程进行记录。对于事件采取的措施，总结哪些措施最为必要，哪些行动最为及时，事先拟定应对措施存在哪些问题，及时升级改进方法。对于经验总结本身，审视是否有遗漏，下次如何可以更好地进行总结和记录。这些经验总结的积累，一定是企业合规建设的宝贵财富。在条件允许的情况下，还可以建立数据库。

结语：GDPR的施行在企业甚至国家之间掀起了巨大浪潮，但其仅仅是起到一种推动的作用，究其根本是人们对于个人信息保护的逐渐重视。数据合规将最终成为企业的核心竞争力。对于企业而言，满足法律要求只是第一步，如何创造一个好的企业合规文化才是最终的目标。无论如何，千里之行，积于跬步。

注：本文首发于威科先行 法律信息库。