第1个回答 2024-05-31
2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式生效。这一条例序言共173条,正文分为11章99条,历经多年讨论。GDPR的实施将使欧盟的数据保护水平达到前所未有的高度,对全球数字经济产生深远影响。中国也于2018年5月1日发布了《信息安全技术 个人信息安全规范》(下称《信息规范》)。然而,一些长期缺乏规则意识的企业可能并未尝到应有的苦果。由于多种因素导致的执法不严、违法不究的情况,一旦在国外可能就不再灵验。企业的不合规经营行为,一旦被其他国家政府发现并追究,可能面临巨额罚款或业务禁止,后果严重。特别是在全球贸易保护主义抬头的背景下,企业不合规经营,可能产生长期难以消化的“恶果”。
面对GDPR的挑战,全球数字经济企业需要积极应对,努力减少合规风险,防止被“罪”被“罚”。各国政府也需要积极担当作为,为本国数字经济企业的海外发展提供保障。GDPR的一大“杀手锏”是重罚,另一大“杀手锏”是“长臂”管辖原则。重罚机制,加上“长臂”管辖原则,使GDPR威力无比。“罪”与“罚”都是明确的。GDPR带给数字经济企业的是实实在在的法律风险。GDPR已经为数字经济企业画出一张数据保护的操作红图。与其担惊受怕抱有欧盟“执法不严、违法不究”的侥幸心理,不如早日“退而结网”完善数据保护合规制度建设。
中国数字经济企业可以从以下几个方面尽快完善数据保护制度:第一,高度重视个人数据保护。企业高管团队应当对GDPR有清醒的认识和准确的预判,尽早制定周密的战略计划,加强人员管理与培训。第二,完善数据主体的权利设置与行使操作规程。GDPR赋予了数据主体一系列强大的权利,对于这些权利的保护不足和侵犯属于严重违法行为,欧盟监管机构可处以最高额度的罚款。第三,完善数据处理机制。运用适当的组织措施与技术措施,确保数据处理符合GDPR的基本原则与合法性条件。第四,必要时任命数据保护官。GDPR要求相关企业以透明的方式,任命具有专门数据保护知识的数据保护官(DPO)。DPO可以确保数据控制者和处理者遵从GDPR的相关规定,同时也扮演着与监管机构之间的联系人和合作者的角色。第五,完善数据泄密报告与处理机制。GDPR要求原则上自知道个人数据泄露72小时内,向监管机构报告,并将可能产生高风险的泄露信息通知受到影响的个人。
政府也应为数字经济发展保驾护航。发展数字经济,建设数字中国,不仅需要靠企业不断提升数据治理水平,还需要靠政府主动采取措施,解决企业无法克服的实际困难。首先,政府应当高度重视GDPR给数字经济带来的挑战。严格的个人数据保护,带来高额合规成本。由于信息资产管理的运营成本会显著增加,而且担心被重罚,一些企业已经暂停欧盟的相关业务。其次,与欧盟积极沟通,完善对话协商机制。再次,完善数据保护执法合作机制。除了作为重罚的依据,欧盟还可能将GDPR作为新的技术壁垒,阻碍全球数字经济企业在欧盟的发展扩张。在我国正在推行“一带一路”倡议的大背景下,GDPR也可能成为阻挡我国数字经济企业“走出去”的障碍。