GDPR离金融云有多远y240302.pptx

GDPR离金融云有多远

前言2018年5月25日，全球第一部以法典形式出现的欧盟《通用数据保护条例》（简称GDPR）正式生效。GDPR之所以被称为“史上最严”，主要体现在：一方面，GDPR赋予了数据主体同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的数据权利和自由，同时明确了数据控制者和处理者应尽到采取合法、公平和透明的技术和组织措施的法定义务，并履行对监管部门及数据保护认证组织的法定义务；另一方面，GDPR设定了天价的罚款，起步最高是1000万欧元或企业上一财年全球营业总额2%，并以较高者为准。GDPR试图以这种近似严酷的监管手段来倒逼数据经济企业建立完善的数据合规制度，以最终实现对个人数据权益的保护。同时，GDPR对于欧盟境外的数据治理格局带来了重大变化。GDPR采取了“长臂”管辖原则，只要中国的企业为欧盟境内的数据主体提供了货物或服务，即使其在欧盟境内没有设立任何分支机构，也依然受到GDPR的管辖。这在数字经济日趋多样化的技术背景下，迫使各国主体必须考虑和评估GDPR的实际影响力、适用可能性及应对策略。以上文字为中科院某位教授所写，未联络上本人授权，如有侵权，自当删之。GDPR，遥远，和不遥远……这才2周，素材就多到爆炸，根本来不及写，于是大笔一挥，上篇，看官们见谅。作者仅仅是个GDPR的学习者和搬运工，能找到源头的，尽量已获得原作者的授权。

GDPR是什么欧盟议会于2016年4月通过了GDPR新规，用于取代1995年发布的过时的数据保护指令（DPD）。新的指令完全更新了欧盟成员国以及任何与欧盟各国进行交易或持有公民（欧洲经济区公民）数据的公司必须存储安全和管理个人数据的方式。此外，GDPR新规是在28个欧盟成员国统一实施生效的，这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。但是，GDPR的合规要求是相当高的，需要大多数企业投入大量的人力、财力才能得以实现。根据Ovum公司提供的调查报告显示，52%的受访IT决策者预计GDPR将会“导致他们公司受到罚款”；三分之二的受访者认为这将“迫使他们改变欧洲业务战略”；超过70%的受访者预计会增加开支来满足数据保护要求，同时，超过30%的受访者预计在未来两年预算将会增加超过10%；甚至有高达85%的受访者认为GDPR将使其在与欧盟公司的竞争中处于劣势。

GDPR的影响范围任何存储或处理欧盟国家内有关欧盟公民个人信息的公司，即使在欧盟境内没有业务存在，也必须遵守GDPR。有关必须遵守GDPR新规的公司的具体标准如下所示：?在欧盟境内拥有业务；?在欧盟境内没有业务，但是存储或处理欧盟公民的个人信息；?超过250名员工；?少于250名员工，但是其数据处理方式影响数据主体的权利和隐私，或是包含某些类型的敏感个人数据。这也就意味着，GDPR新规几乎适用于所有的公司。普华永道提供的调查结果显示，92％的美国公司认为GDPR将成为最重要的数据保护措施。

GDPR的企业组织影响GDPR引入了具体术语来定义组织内的角色和责任，包括数据控制员（Datacontroller）、数据处理员（Dataprocessor）以及数据保护员（DataProtectionOfficer，简称DPO）。其中数据控制员（Datacontroller）定义了个人数据的处理方式和目的，此外，控制员还负责确保外部承包商能够遵守相关规定。数据处理员(Dataprocessor)可以是维护和处理个人数据记录的内部团体（如业务分析师或开发商的直接雇员），也可以是执行全部或部分这些活动的任何外部服务提供商（如信用评级机构等）。GDPR新规要求数据处理员为违规和不遵守规定的行为负责。那么也就是说，即便事故责任完全在负责数据处理的合作伙伴一方（如云服务提供商），你的公司和该合作伙伴也可能会同时受到处罚。此外，GDPR还要求控制员和处理员指定一个数据保护员(DPO)来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据（健康记录、犯罪记录）的组织必须指定名DPO。DPO主要负责就GDPR规定提供咨询意见，向最高管理层报告。

GDPR的合规代价根据普华永道的调查数据显示，68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规性要求；另有9%的企业预计将花费超过1000万美元。如果企业没有满足GDPR的合规性要求将导致什么后果？每一单GDPR违规行为将受到高达2000万欧元的严重处罚，或者上一年全球年营业额的4％，以较高者为准。根据Ovum公司提供的调查报告显示，52%的受访IT决策者预计他们会因为违规行为而面临罚款。管理咨询公司奥利弗·怀曼（OliverWyman）预测，欧盟在第一年可能会收到高达60亿美元