点击上方蓝字“赛博星人”,关注我们
文章背景及全文概要:
目前互联网上已经有太多有关欧盟《通用数据保护条例》(General Data Protection Regulation, “GDPR”)要求的介绍,也有太多讲述企业如何合规的文章,但这些文章都流于表面,讲的也是一些大众化的观点或者合规步骤,没有太多实在的内容。因此,本文旨在厘清关于GDPR的以下实务问题:
-
中国的一些代表性企业在过去两年中是如何具体地应对GDPR的?
-
中国的企业做错了什么?
-
那些现在还没有实施GDPR合规的企业应该如何总结前行者的错误经验,以便在“巨人的肩膀”上更高效、更有针对性地完成GDPR合规工作,避免被监管“关注”?
穿过个人信息保护从更高层面看,我们认为GDPR合规及全球个人信息保护即将进入“2.0时代”,这个时代的特点不再是单纯、片面地强调个人信息保护,而是在此基础上的最终实现和推进数据合法共享,从而唤醒数据的价值,为各个行业带来另一次“工业革命”及新的利润增长点。因此,本文还将讨论企业如何从战略高度思考与应对GDPR合规及全球个人信息保护“2.0时代”这个话题。
我们的一点感触:写在GDPR正式实施之日:
对于在过去两年多时间里,协助多家重磅级中国企业实施GDPR合规工作的赛博星人来说,在GDPR正式实施的今天,我们有特别多的感触及感想。在这两年多的时间里,除了协助多家中国“走出去”明星企业完成GDPR的合规实施工作之外,我们也与多家中外监管机构、认证机构、律所、数据保护技术厂商有过许多交流,因此,对企业(特别是中国企业)的GDPR合规发展及目前的现状、监管的关注要点、GDPR的立法精神及原则、提供GDPR合规咨询服务的律所及咨询公司的做法等,我们均深刻地理解及把握;众多感触及感想、这两年间的酸甜苦辣与汗水汇集在一起,浓缩在这一篇文章中,谨呈上予各位朋友惠览。
虽然感慨良多,但为了不让本文流于肤浅,我们将循以下思路与各位分享:
|
(以下图片可点击以查看清晰大图)
1. GDPR简介
2. 在过去两年多时间里,中国企业应对GDPR合规工作的四个发展阶段简述
GDPR最早的草案可以追溯到2012年,但到2016年才正式颁布;而对于中国企业来说,位于深圳的某企业最早于2015年中开始讨论并启动了GDPR的合规准备工作。
3. 企业对GDPR理解存在误区的领域及因此做错的具体问题
由于各种原因,部分中国企业在过去两年多时间里,针对GDPR合规的准备工作,存在若干理解上的误区以及GDPR合规准备工作上的错误,而且这些误区及错误还存在一定的普遍性,谨此做一小结,供大家参考,由于时间的限制,仅能列举部分要点、每一要点也只能做非常简要的描述。
如果要给这些误区或者错误做一句话的总结的话,可以归纳为:
矫枉过正、本末倒置、轻视监管的关注角度、未能采用正确的做法以涵盖及解决过往个人信息重大泄露处罚及和解案例中的根因
有关以上第1点有关“重视欧盟但忽视其它国家及地区”的问题,我们还想借以下图片做进一步的讨论,以下图片是最近这两年间其它国家及地区“响应”GDPR浪潮而采取的个人信息保护立法的情况概要:
4. “2.0时代”的特点是什么,企业要如何应对
后GDPR时代(“2.0时代”),我们建议许多在前两年未采取正确的方式方法进行GDPR合规工作的企业,可以着重在以下领域加强及完善GDPR合规工作:
-
GDPR目前仍停留在书本上的法律,有待执法案例进一步廓清相对模糊的监管要求,因此,应及时解读及分析GDPR执法案例,从而完善企业自身对应的领域;
-
选定DPO并开始与监管进行有效的沟通;
-
关注“the European Data ProtectionBoard”的最新解读及发文;
-
关注之前存在的各项误区并着手解决,譬如轻视应急响应体制、对部分具体控制领域矫枉过正等;
-
同业或者著名企业的DPO进行彼此间的交流,探讨GDPR落地问题,形成行业共识并加强与各成员国监管机构的反馈及沟通;
-
对标GDPR与各欧盟成员国法律间的差异,逐步完善有关差异的整改(若需)。
联系我们
You got our consent to call us
本文始发于微信公众号(赛博星人):应对GDPR,许多中国企业做错了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论