欧盟新规重建数据保护新秩序对我国企业影响

2015年12月15日，欧委会发布消息称，欧委会与欧洲议会，欧盟理事会三方机构在立法进程的最后阶段就欧盟数据保护改革达成一致。这意味着，在接近四年的协商谈判之后，核心改革成果——欧盟数据保护总规（general data protection regulation，GDPR）即将正式颁布。

草案带来的重大变革

（一）“统一法规，统一标准”

（二）跨境提供服务同样适用欧盟法规

（三）外围IT厂商也将受到新规影响

（四）全面引入新型权利，增强用户对个人数据“控制力”

（五）“数据保护官”为法定标配

（六）“同意”必须是明示的，且用户可撤销

（七）违法处罚额度以企业的全球营业总额为基准

欧盟对大数据带来的个人数据保护风险做出了全面深入分析，对大数据数据画像（profiling）、数据分析活动做出了更为系统严密的规范。

新规能否重建数据保护新秩序

欧盟新规将直接适用于欧盟28个成员国，覆盖全球第一经济总量地区。此外，欧盟新规对适用范围的大大延展，也将对全球产生直接深远影响，新规能否像1995年指令，对全球产生示范效应，重建大数据时代下数据保护新秩序，我们拭目以待。

对我国企业的相关影响及合规清单

合规清单至少应包括以下内容：

设立数据保护官。如果企业员工超过250人，且核心业务涉及到对欧盟居民的数据处理，则应当设立这一岗位；

修改隐私条款、业务协议。特别是“知情同意”条款，适用明示同意原则；

为用户提供访问、获取其个人数据的通道；

为用户实现“数据可携权”，“被遗忘权”建立相关配套机制；

.如果利用数据分析对用户进行画像（对其个人特定方面进行评估，如目前的互联网信用评分业务），则需要：

确定是否是禁止画像的特定领域。如涉及歧视，识别儿童，对用户的评价导致法律上的效果或者对用户个人有重大影响，则应当停止。

他合法的数据分析，是否取得用户的明确同意。

简而言之，相比国内的商业实践，国内企业要满足欧盟新规要求，要准备好为欧盟居民提供“超国民待遇”的数据保护。

 

同花顺 2015.12.22