GDPR-《通用数据保护条例》研究报告.pptx

,GDPR-通用数据保护条例研究报告,目录,01,背景介绍,主要内容,影响力,展望,两个变化,背景介绍, 个人数据应用和保护环境发生变化网络的开放性和包容性使得个人数据变得更加公开化和全球化，数据收集和共享的规模也随之增长，同时个人数据滥用与隐私侵害的风险也大大增加。1995年制定指令时，互联网仍然停留在信息发布和传输阶段，互联网商务应用还没有真正出现，因此指令仍是立足于计算机自动处理个人数据背景下的个人数据保护规则，而非立足于互联网背景与之后出现的大数据背景。伴随着信息和通信技术的发展以及对商务活动应用的加深，企业对个人数据的收集与利用的能力不断强化，而个人对个人数据的把控能力则愈来愈弱。制定GDPR不仅在形式和效力上有所改变，在内容和制度规则上也进行了完善，能够更好地实现欧盟的既定目标。 个人数据保护认知的变化国际社会普遍认可个人隐私是公民基本人权的一部分。联合国1948年发布的世界人权宣言第 12条规定：“任何人的隐私、家庭、住宅和通信不受任意干涉，对他的荣誉和名誉不得加以攻击。人人有权享受法律保护，以免受这种干涉或攻击。” 1953年欧洲人权公约第8条“私人和家庭生活获得尊重的权利” 也移植了第12条的内容。1981年欧洲委员会制定数据保护公约也是希望通过保护数据主体对个人数据及其处理的控制权来保护数据主体的基本人权和自由。而欧盟基本人权宪章则明确地将个人数据保护权作一项独立的人权加以保护,其在第8条明确规定：“人人有权保护涉及他或她的个人数据。”2009年里斯本条约的签署使得宪章的规定具有了法律效力。这不仅体现在欧洲联盟条约第6条，还体现于建立欧洲联盟条约第16条，该条重申了个人数据保护权，为对各个领域的个人数据进行全面保护提供了坚实的法律基础。这意味着1995年指令的主要内容从此升级为欧盟基本法律。这进一步推动了欧盟制定普遍适用于公共领域和私人领域的统一数据保护法，以表现欧盟在保护基本人权问题上的态度和决心。GDPR所要保护的对象是个人数据处理和流通过程中所涉及到的自然人的基本权利与自由，尤其保护其个人数据保护权。这正是GDPR制定的目的之一。, 单一市场建设，需要更加统一的法律欧盟1995年指令本身不具有直接法律效力，需要通过成员国立法转化为国内法律才能得到实施。虽然制定指令的目的是统一欧盟的个人数据保护规则和保护水平、降低个人数据保护执法摩擦，但是通过各国立法转化的方式，仍然是各国在立法和实施上存在许多差异。差异化和不协调的法律实施机制和执法机构不仅影响到欧盟公民基本权利保护的效果和个人数据在欧盟内的自由流通，而且使企业在开拓商业市场时面临极大的法律不确定性，增加企业守法成本和合规风险。数据保护立法不统一逐渐成为建立欧盟单一市场的首要障碍。消除“商品、人员、服务和资本”自由流动的障碍，建立单一市场（The Single Market）是伴随欧洲联盟一起成长的伟大理想。02, 统一立法,2015,2016,2017,2018,2015年欧洲议会一致同意制定新的欧盟数据,保护法规,4月，欧洲议会通过通用数据保护条例5月，有关在执法过程中公民享有数据保护权的欧盟指令生效，GDPR启用。欧盟成员国将于2018年5月全面实施8月，欧盟网络与信息安全指令生效。12月，致信微软（Microsoft）对Windows10收集的个人数据表示担忧,2017年2月，截止对主导监管机构指南提出意见4月，预实施最终指南进行评估、认证和处罚,2018年GDPR将于2018年5月25日全面施行,背景介绍发展历程2016年,主要内容,01 地域适用范围02“同意”概念03 个人敏感数据04 问责机制,05 数据主体的权利06 数据泄露和通知07 数据保护官（DPO）,01 地域适用范围,对于在欧盟境内设有业务机构的组织只要这些组织在业务机构在欧盟境内的活动中处理个人数据（而不论此类处理行为是否实际发生在欧盟境内）对于不在欧盟境内设立业务机构的组织如某一组织虽不在欧盟境内设立业务机构，但却处理欧盟境内个人的个人数据，并且此类处理行为与向欧盟境内个人提供商品或服务相关，无论该等商品或服务是否收费，则也应当适用GDPR对于非欧盟组织处理欧盟境内个人的个人数据只要此类处理行为涉及对这些个人的行为进行监控，且该处理行为发生在欧盟。如果（尤其是）为了作出与这些个人有关的决定或者为了分析或预测其个人喜好、行为和态度，而在互联网上追踪这些个人，且在此过程中使用了处理技术来形成画像等，则构成监控行为,c,针对儿童的同意只有在儿童年满16周岁时，基于同意的数据处理才是合法的。如果儿童未满该年龄，则只有在有监护权的父母同意（或授权）的情况下，数据处理才是合法的。对于缺乏法律行为能力的其他数据主体，GDPR荷兰实施法案（“实施法案”）规定，被接管（curatele）或置于保护令（mentorschap）之下的数据主体，也需要其法定代表人的同意（同意也可由法定代表人撤回）。,定义：GDPR第4条第11款将“同意”定义为：“数据主体的同意是指，数据主体依照其意愿自由作出的、特定的、知情的、明确的指示。通过以声明或清晰肯定的行为作出的该等指示，数据主体表明其同意处理与其相关的个人数据。”有效同意的标准：GDPR第7条规定了有效同意的要件，有效同意的要件之一是，数据控制者必须能够证明，数据主体确实同意处理其个人数据。书面声明不是必须的，但推荐使用，因为证明责任在数据控制者这边。网上作出同意的充分记录（例如，通过在网站上的联系方式）应当作为标准。如果数据主体通过书面声明的方式作出同意，且书面声明涉及其他事项，那么同意应以易于理解且与其他事项显著区别的形式呈现。如果信息的提供不符合本规定，同意将可能无效。GDPR的新规定为，数据主体必须在作出同意前被告知其撤回权。此外，数据主体还必须被告知撤回不影响在撤回前基于同意对其个人数据的处理。这不仅需要隐私政策的修订，也可能需要相关组织内部流程的改变，以确保撤回同意与给出同意同样容易。,02 “同意”概念GDPR下同意的法律框架,03 个人敏感数据-类别,特定自然人时，照片才被认为是生物识别数据。,个人敏感数据的类别,原则上，GDPR禁止处理个人敏感数据，涉及以下一种或一种以上类别的个人数据视为敏感数据：1.种族或民族出身2.政治观点,3.宗教/哲学信仰4.工会成员身份,5.涉及健康、性生活或性取向的数据6.基因数据,7.经处理可识别特定个人的生物识别数据*,*根据GDPR，处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理，使其能够识别或认证,涉及已由数据主体公开的个人数据的处理。在劳动法、社会保障法或社会保护法领域，雇主对此类数据的处理必须在欧盟或成员国法律或集体协议授权的范围内进行。在数据主体因为身体上或法律上的原因（紧急情况）不能作出同意时，为保护数据主体或他人的重大利益之目的所必需的处理。处理是由具有政治、哲学、宗教或工会目的的非营利团体进行的，并且该等处理仅涉及团体成员或前成员，同时，相关数据在未经数据主体同意的情况下不会向第三方披露。数据主体明示同意。该等同意应当是自由作出的，特定的，知情的且明确的（参见2017年2月的业务通讯）。需要注意的是，雇主对员工医疗数据的处理（包括药物或酒精测试）不能以员工的同意为依据。,为合法诉求的成立、行使或抗辩或法院行使其司法职能之目的所必需的处理。根据欧盟或成员国的法律，为重大公共利益所必需的处理。该处理所追求的目的应当是适当的，且包含合理的数据保护措施。根据欧盟或成员国的法律或与医疗专业人士的合同，为预防医学或职业医学，为评估雇员的工作能力，医疗诊断，提供卫生或社会保健或治疗或卫生社会保健系统和服务管理之目的所必需的处理。根据欧盟或成员国法律规定以适当的、特定的措施保障数据主体的权利和自由，在公共健康领域中为公共利益之目的所必需的处理。例如抵御严重的跨境卫生威胁，或确保医疗保健和医药产品或医疗器械的高标准。根据欧盟或成员国法律，为公共利益，统计，科学或历史研究之目的所必需的处理。该处理所追求的目的应当是适当的，尊重数据保护的基本权利，并采取了适当的、特定的措施以保障数据主体的基本权利和利益。,03 个人敏感数据处理-例外根据GDPR，个人敏感数据的处理仅在下列例外情况下才被允许：,24,问责原则GDPR第5（2）条规定了问责原则：“控制者有义务遵守并应能够证明其遵守第1款（“问责原则”）的规定。”“第1款”是指GDPR第5（1）条，该条款规定：以合法、公正、透明的方式处理（对数据主体而言）；出于指定、明确、合法的目的而收集，不以不符合这些目的的方式进一步予以处理；充分、相关并以该等个人数据处理目的所需要的为限；准确以及（必要时）保持最新；以下列方式保存：允许识别数据主体的期限不超过该等个人数据处理目的所需要的时间；以确保个人数据相对安全的方式进行处理。处理个人数据的组织机构有义务遵守并且必须能够证明其遵守了上述所有原则。此外，他们必须能够提供其就上述原则作出决定的依据并且还必须能够提供相关证明。GDPR第24条列举了问责原则落地的一个示例。要求控制者：“采取适当的技术性和组织性措施确保并能够证明按照GDPR的规定进行处理活动。必要时应对这些措施进行审查和更新。”,落实方法GDPR第30条详述了贯彻落实问责机制理念的具体方法，该条款要求大多数数据控制者和数据处理者保存就其职责范围内的处理活动的书面（包括电子）记录。该等书面或电子记录应至少包含：1. 控制者的名称/姓名和联系方式，以及在适用的情况下，共同控制者、控制者代表和数据保护官的名称/姓名和联系方式；2. 处理的目的；3. 对数据主体类别和个人数据类别的描述；4. 已经或将要接收个人数据的接收者（包括第三国的接收者或国际组织）之类别；5. 在适用的情况下，将个人数据传输给第三国或国际组织的情况，包括该第三国或国际组织的身份，以及，在适用的情况下适当保障措施的文件；6. 在可行的情况下，删除不同类别数据的预期时限；7. 在可行的情况下，对技术性和组织性安全措施的概述。同时，处理者也必须保存代表其数据控制者进行的所有类别处理活动的记录。该等电子或书面记录应至少包含：1. 处理者以及处理者代表其行事的每个控制者的名称和联系方式；在适用的情况下，也应包括控制者或处理者的代表以及数据保护官的名称/姓名和联系方式；2. 代表每个控制者进行的处理活动之类别；3. 在适用的情况下，将个人数据传输给第三国或国际组织的情况，以及（在适用的情况下）适当保障措施的文件；4. 在可行的情况下，对技术性和组织性安全措施的概述。,04 问责机制,05 数据主体的权利（知情权）,GDPR的核心原则之一就是，控制者必须以透明的方式如实告知数据主体收集、使用、查阅或以其他方式处理与其有关的个人数据以及处理或将处理该等个人数据的程度。,非直接从数据主体处收集个人数据的控制者还需补充提供下列信息：1. 相关个人数据类别；2. 个人数据来源，以及个人数据是否来自可公开访问的来源（如适用）。并且应该在以下时间内完成：1. 获得个人数据后的合理期限内（最长期限为一个月）；2. 如果数据将被用于与数据主体进行通信，则最迟在第一次通信发生时；3. 如果预期向其他接收者披露个人数据，则最迟在该等披露之前。相应的，如果控制者预期将出于收集个人数据的初始目的以外的其他目的进一步处理个人数据，在进行此类进一步处理之前，控制者必须向数据主体提供该等目的有关的信息，及其他有关信息。例外情形：如果个人数据不是直接从数据主体处收集，则在_下列情况下，不适用信息告知义务：1. 数据主体已拥有该等信息；2. 提供该等信息不可行或者需要付出的努力超出了合理的比例，但前提是控制者采取适当措施保护数据主体的权利、自由和合法利益，包括公开提供该等信息；3. 欧盟或成员国的法律规定有义务获取/披露个人数据并规定有适当措施保护数据主体的合法利益；4. 根据欧盟或成员国法律规定的职业保密义务,直接从数据主体处收集个人数据的控制者在收集时必须向数据主体提供下列信息：1. 其自身以及其代表（如适用）的身份和联系方式；2. 如适用，数据保护官的联系方式；3. 个人数据处理的目的和法律依据，包括在处理是基于“为了控制者所追求的合法利益目的所需”这一法律依据的情况下控制者所追求的合法利益；4. 接收者或接收者类别；5. 欧盟境外数据传输详情，包括将如何保护数据（例如，采用欧盟标准条款EU Model Clauses或企业约束规则Binding Corporate Rules）以及数据主体如何获得所实施的保障措施之副本；6. 个人数据保存期限，或在明确保存期限不可行的情况下，用于确定保存期限的标准（例如合同关系结束后一年）；7. 数据主体有权查阅及更正其个人数据，反对或要求删除数据或限制数据处理，以及数据可携带性；8. 如果该等处理是基于同意，数据主体有权随时撤回其就该等处理给予的同意；9. 数据主体可向监管机构提起投诉；10. 提供数据是法律要求还是合同要求，或提供数据是否为订约所需，或数据主体有无义务提供数据，以及不提供数据的后果；11. 是否会作出任何自动化决策、决策的逻辑，以及对数据主体的意义和后果。例外情形：如果个人数据是直接从数据主体处收集的，且数据主体已拥有该等信息（信息只须提供一次即可），不适用信息告知义务。,05 数据主体的权利（访问权、更正权和可携权）,访问权GDPR中，控制者必须应请求向数据主体提供以下方面的信息：1.处理目的；2.相关个人数据类别；3.已经或将要接收个人数据的接收者或接收者之类别，尤其是第三国或国际组织的接收者；4.（在可确定的情况下）个人数据的预期存储期限或者（在不可确定的情况下）用于确定该等期限的标准；5.存在以下权利：要求控制者更正或删除与数据主体有关的个人数据或者限制处理与数据主体有关的个人数据，或者反对此类处理；6.向监管机构提起投诉的权利；7.（在个人数据不是从数据主体处收集的情况下）可获得的有关个人数据来源的任何信息；8.自动化决策（包括画像）的存在以及（至少在这些情况下）与相关逻辑有关的有意义的信息，以及此类处理对数据主体的重要性和预期后果。,更正权根据GDPR的规定，更正权是指数据主体有权要求更正与其有关的不准确个人数据。同时，数据主体有权要求对其不完整的个人数据进行补充，包括通过提供补充声明要求补充。可携权GDPR中新增了数据可携权条款。为了进一步加强数据主体对其自身数据的控制，在以下情况下，数据主体有权从控制者处接收回其提供给控制者的个人数据：1.处理系基于同意（也适用于特殊类别个人数据）或合同；2.处理是以自动方式进行的。,05 数据主体的权利（删除权、限制处理权、反对权）,删除权删除权也称“被遗忘权”。删除权并不是给予数据主体要求删除数据的绝对权利。通用数据保护条例（General Data Protection Regulation, the “GDPR”）规定，数据主体有权在以下情况下要求删除其数据：1.个人数据对最初收集该等个人数据的目的而言不再是必需的；2.数据处理系基于同意且该等同意被撤回（且数据处理无其他法律依据）；3.数据主体反对处理，且数据处理无令人信服的正当处理理由；4.个人数据系非法收集；5.为了遵守法定义务，必须删除个人数据；6.个人数据处理涉及向儿童提供信息社会服务（特别是在其未充分意识到处理风险的情况下，以儿童的身份作出的同意，尤应删除其在互联网上的个人数据）。限制处理权根据GDPR的规定，数据主体在以下情况下有权要求（暂时）限制处理其个人数据：1数据主体正在对正被处理的个人数据的准确性提出质疑，但限制处理须以控制者核实个人数据准确性所需的时间为限；2处理是非法的，但数据主体反对删除其个人数据，而要求限制处理；3.数据控制者不再为处理目的而需要个人数据，但数据主体因建立、行使或辩护法律请求之目的而需要个人数据；4.在核实控制者的正当理由是否优先于数据主体的正当理由之前，数据主体反对处理。反对权根据GDPR规定，数据主体有权在以下三种情况下反对处理其个人数据：1.个人数据处理是基于“维护公共利益所必需”或“维护控制者所追求的合法利益所必需”这两个理由；2.个人数据处理是出于直接营销目的；3.个人数据处理是出于科学、历史研究或统计目的。.,罚款：不遵守上述通知义务可能面临高达一千万欧元或相当于全球年营业总额百分之二的罚款（以其中较高者为准）。不遵守监管机构的命令可能会面临高达两千万欧元或相当于全球年营业总额百分之四的罚款（以较高者为准）。,06 数据泄露和通知数据泄露的定义：在GDPR中，数据泄露的定义较为宽泛，包括“违反安全规定导致所传输、存储或以其他方式处理的个人数据遭受意外或非法毁坏、丢失、篡改、未经授权披露或访问”。,通知监管机构发生数据泄露，数据控制者应通知主管监管机构，不得无故拖延。在可行的情况下，不得迟于发现数据泄露后的72小时，以便主管机构评估泄露情况并决定是否需要采取后续行动。在对数据主体的权利和自由不可能构成危险的情况下，则无需通知。,通知数据主体除了通知监管机构外，数据控制者还有义务通知受影响的数据主体有关数据泄露的情况，不得无故拖延，除非存在以下例外情形：1.根据数据泄露性质或因为数据控制者随后采取了适当的措施，数据泄露不太可能对受影响数据主体的权利和自由构成重大危险；2.适当的技术性和组织性措施已经实施且适用于受影响的个人数据；3.通知耗费过于巨大。在这种情况下，数据控制者有义务通过大众传媒或类似渠道通知数据主体。,数据泄露内部记录数据控制者有义务记录包括与数据泄露相关的事实、数据泄露的影响以及所采取的任何补救措施等的所有有关数据泄露的情况。依照GDPR规定，数据处理者在知悉发生数据泄露后有义务向数据控制者报告数据泄露，不得无故拖延，以便数据控制者及时采取必要的行动。,07 数据保护官（DPO）,DPO的定义,DPO是指监督组织机构内部个人数据处理的自然人。DPO也因此可以被视为“内部监督员”。,根据GDPR规定，如存在以下情况，相关组织机构有义务设立DPO：1.数据处理是由以司法身份行事的法院以外的公共机构或机关主导的；,2.根据其性质、营业范围或目的，数据控制者或数据处理者的核心业务，需要对数据主体定期进行大规模系统监控的处理操作；3.控制者或处理者的核心业务包括对诸如与健康有关的个人数据的特殊类别数据或与刑事定罪和犯罪有关的个人数据进行大规模处理的部分。,告知组织机构及其员工在GDPR和其他相关数据保护法规下的各项义务；,监督组织机构是否遵守GDPR及其他相关数据保护法规的规定，是否符合组织机构内部与个人数据保护相关的政策，具体包括与责任分配，针对参与数据处理活动人员进行的培训以及提高相关人员合规意识的政策；,就是否进行隐私影响评估及监督隐私影响评估执行情况提供意见；,与主管监管机构合作并作为其组织机构内部联络人。,除了上述职责以外，相关组织机构还可为DPO增设包括执行和定期更新处理活动的法定记录制度等职责。,DPO的职责,76%,GDPR涉及每个处理和控制欧盟居民个人数据的企业，也有着较高的处罚标准，GDPR实施初期势必对企业经营产生一定影响，尤其对日常处理和保存客户数据较多的金融行业来说。全球市场研究机构VansonBourne对500家企业进行了调查，其中76%的金融企业认为GDPR实施将会对企业带来巨大的挑战。,欧盟外国家或地区跨境金融业务经营成本增加欧盟金融科技（FinTech）发展或受到一定制约,跨境运营成本处罚力度合规成本,76%的金融企业认为GDPR实施将会对企业带来巨大的挑战。金融企业合规成本短期内将显著上升发展制约,企业关注焦点,影响力GDPR对金融业的影响,大数据目前金融企业广泛利用大数据技术评估客户需求和信用等级，从而提供有针对性的金融产品和定价安排。而GDPR明确规定，如果为了直接营销的目的而处理个人数据，数据主体有权在任何时候反对，其中包括与此类直接营销相关的概况分析。因此，大数据分析行为面临一定法律风险。人工智能此外，GDPR还要求控制者应当为数据主体提供自动化决策的相关信息。而云计算和人工智能都基于复杂的自动化算法，算法涉及商业秘密和知识产权保护等一系列问题，能否以及如何向数据主体提供，仍需商榷。GDPR 将全面禁止没有人为干预、并会对数据主体产生重大影响的自动化决策。值得注意的是，GDPR 适用于所有使用了欧盟数据的情况，这些数据可能都能够辨识出一个数据主体，而对于使用了大量数据的数据科学计划，这意味着 GDPR 将适用于其所有的活动。GDPR 对于自动化决策的定义是指，在没有人为直接参与的情况下自动作出决策的模型。这包括了对数据主体的自动用户画像分析，例如将用户分类为潜在客户或40-50 岁男性，以确定贷款申请人是否有资格获得贷款。因此，鉴别机器学习模型是否是属于自动化决策，首先是看模型是否是在没有人为干预的情况下自动部署的，如果是，那么这样的模型默认为是被禁止的。而事实上，大量的机器学习模型都是这种情况。区块链区块链技术是一种全新的数据存储与管理范式，本质上是在多点分布存储的去中心化数据库。而GDPR仍是一种中心化的规范方式，重点规范的是中心化的数据控制者和处理者。区块链解决去中心化信任的关键就在于数据的不可篡改性，这与GDPR规定的个人数据更正权、删除权和被遗忘权等基本权利有严重冲突。根据现有的认知，删除区块链上的数据是不可能的，这是否意味着区块链与GDPR难以兼容呢？GDPR是基于数据中心化前提下而对一般数据所采取的严格法律规制措施，从数据技术层面及适用目的层面，GDPR在制定时并没有将区块链技术所带来的分布式应用场景列入考虑范围。GDPR针对的是数据本身，而区块链针对的是技术本身。因此即便是分布式的区块链应用场景，只要涉及到数据信息的内容，就可能被纳入GDPR的适应范围。另一方面，由于区块链应用场景的广泛性特征，相对于GDPR的单一保护性而言，二者在具体的数据应用场景中所体现的适用性还需要具体的案例予以实践和探索。,影响力GDPR对前沿产业的影响,展望-应对措施,判断自身是否适用GDPRGDPR规定的企业应当适用的主要情形包括两类：一是企业在欧盟境内设有营业场所（establishment），且该营业场所进行了数据处理行为（无论该行为发生在欧盟境内或境外）；二是非欧盟境内企业为欧盟境内数据主体提供了商品、服务（无论付费与否）或对数据主体在欧盟的行为进行了监控。因此，境内企业在判断自身是否适用GDPR时，可以从三个方面进行自查：首先，确认本企业在欧盟成员国境内是否拥有营业场所，该营业场所是否收集和处理了欧盟境内的个人数据。需要注意的是，营业场所并不仅限于子公司或分公司，任何形式的附属机构或办事处都会被认定为营业场所。其次，确认本企业是否为欧盟境内个人提供商品或服务，且在该过程中收集和处理了诸如姓名、联系方式、收货地址、行为习惯等个人数据。最后，确认本企业是否直接或间接对欧盟境内个人的上网习惯、地理位置进行了画像与分析行为。1 第一层次：数据风险分析和差距评估识别需要保护的个人数据类型，结合企业业务流程和组织架构，研判合规风险，识别企业需要保护的个人数据类型，是进行数据风险分析评估前的重要步骤，在确保企业需要保护的个人数据清楚明确的基础上，之后的评估工作才能做到范围可控。在完成对数据类型的识别之后，企业应当深入了解其内部系统、各项业务、产品和服务中个人数据流通链条的实际运行状况，诸如个人数据的收集、存储、使用、共享及披露等。企业可通过访谈调研确保各项业务、各个系统以及跨业务、跨系统的个人数据管理现状逐步明晰。最后，在充分了解自身个人数据的处理现状和业务开展情况的基础上，企业可根据GDPR的要求落实相应的安全保护措施，判断数据流通的整个周期中可能存在的风险和差距。,三层次落实GDPR合规策略2 第二层次：制订合规整改方案并实施从技术、制度、流程三方面进行整改，强化隐私保护能力 ，在完成风险评估和差距分析的基础上，企业可从技术、制度、流程三个方面对其隐私保护能力进行强化提升。在技术方面，企业可根据实际业务需要对个人数据的收集范围与数量进行收敛，优化业务逻辑并去掉冗余的个人数据。此外，企业对于GDPR中规定的敏感个人数据可以实施加密或脱敏处理，同时设置员工访问个人数据系统的权限体系，及时记录数据安全日志，以便日常的监控与之后的审计工作。在制度方面，除GDPR已经规定的数据保护官一职外，企业还需建立专业的数据保护团队并赋予其充分的职权，在配合数据保护官工作的同时，衔接企业内部不同团队（法务、技术、业务）间的沟通，制定内部标准的合规制度、文本、合同等，从而架构起安全高效的企业数据管理制度。在流程方面，企业需确立个人数据工作的具体流程和相关负责人，保证日常经营过程中数据管理工作的顺利开展，同时企业还应制定应急预案以便应对网络安全突发事件。3 第三层次：确立完整的个人数据保护体系根据GDPR的各项具体要求评估合规整改方案，完善个人数据保护规划，持续降低风险，根据GDPR现行的体例，可以将其对企业的要求具体划分为基础管理、用户告知、用户权利履行、数据收集、数据存储、数据处理、分享披露等多个不同领域，企业可根据自身业务现状，对各项业务所涉的上述领域进行检查，完成定期的评估工作。在进一步改进数据管理制度及工作流程的基础上，企业有必要逐步制定短期、中期、长期的个人数据保护规划，以便应用于企业评估出的高风险业务领域中，降低可能产生的风险。,展望-合规整改建议,设置数据保护官在GDPR中，数据保护官作为企业与监管机构的纽带，其行使职责时拥有更多的自主权。根据今年4月13日欧盟“第29条”工作组发布的新修订的GDPR实施指南，若某些公司设置的隐私官或类似岗位无法确保其工作的独立性时，则不能被认为符合GDPR对于DPO的要求4。因此，虽然DPO有义务向企业高层汇报工作并提供建议，但不得被领导，相关企业如需设立GDPR项下的DPO，应尤其注意这一点。,隐私政策的更新根据GDPR第13条规定，若企业收集与数据主体相关的数据时，其应当在隐私政策中列明特定项目，包括但不限于自身及数据保护官的联系方式、数据处理目的及合法基础、数据接收者的类别、数据跨境的安保措施、存储期限、数据主体投诉权等。境内企业在应对GDPR时需核查现有的隐私政策，并依据GDPR上述规定进行更新或修改，例如数据保护官的身份信息和联系方式，删除权、限制处理权、持续控制权等新增权利，以及自动化个人决策的逻辑等。必要时按照GDPR保护水平，调整相应的保护条款，如数据跨境的，需要告知用户获取个人数据或其副本的方式以及相应的安保措施等。保证数据主体权利有效实现数据主体权利的维护和完善是在隐私政策以外最有可能遭受用户投诉或监管机关处罚的项目。根据GDPR，当数据控制者无法实现数据主体权利时，数据主体有权向监管机关投诉，监管机关也可以要求数据控制者实现。若监管机关认为行政处罚既可行又高效，监管机关也可以同时附加罚款或者以罚款代替。因此，企业应当保证数据主体权利的有效实现，具体措施包括：一、建立数据主体权利诉求的收集渠道。二、完善数据主体权利的实现途径。三、建立数据主体权利的实时反馈机制。四、及时通知个人数据流动的下游，包括数据处理者以及数据接收者。,DSPA,谢谢观看,