劉春泉律師，上海段和段律師事務所知識產權部合伙人，中國電子商務協會政策法律委員會副主任。

在GDPR生效之後，歐盟的執法機構可以直接對中國企業罰款嗎？如何操作？

劉春泉律師：這個問題的關鍵在於歐盟能不能夠建立合法的管轄連接點，如果建立了合法管轄連接點後，就擁有了管轄的權利，那麼一旦中國企業的業務在歐盟有所延伸，歐盟是可以直接對中國企業的行為進行遠程取證，再通過法律程序來執行。

同時這裡要注意的一點是，並不是在歐盟只擁有少量的業務就可以降低重視，GDPR里明確規定將按全球收入來進行處罰，而據了解全球級大公司的平均年利潤也不過5%左右，所以GDPR的處罰力度是極其大的。

怎樣的企業或者業務才將受到GDPR的管轄？

劉春泉律師：傳統觀念的理解是，企業不到歐盟做生意，GDPR便無法直接管轄。但問題在於，互聯網時代，企業的業務和產品，尤以APP為例，通常都是被直接上傳到應用商店裡的，這時企業是無法限制全球範圍內用戶在應用商店裡對APP的下載，那這當中就一定會包含部分歐盟的用戶，與此同時也一定會產生對歐盟用戶信息的收集。這樣即使企業並沒有在歐盟產生直接的業務往來，但卻在歐洲具有了業務存在，GDPR就可以進行管轄。

國內目前對於GDPR應對現狀是怎麼樣的？

劉春泉律師：目前關於GDPR，國內的大型企業其實在應對上還是比較充分的，像BATJ，基本設置了數百人的法務部門，來保證法律層面對GDPR的合規。但並不是說有了充分的準備就可以確保萬無一失，像谷歌、蘋果的甚至都已具備了上千人規模的法務部門，但是依然無法避免產品中可能存在的問題。

這主要是兩個方面：一是沒有及時做到產品的審核，另外一個是業務部可能會因為KPI的考核而忽略規則。在這個問題上我們同時要重點關注中小企業，他們首先法律力量不足，二來認識程度不夠，要讓中小企業從負責人層面關注並理解GDPR與他們之間的關係，在未來可能造成的影響。

國內的法律方向在未來會越來越接近GDPR嗎？

劉春泉律師：目前國際上在網路運行安全和信息保護等方面，中國、歐盟和美國的法律現在大方向上基本一致，區別在於具體的法律責任等。我認為國內法律向GDPR方向接近的概率比較大，因為GDPR側重對消費者和公民的保護，符合國內環境的訴求。

GDPR中提出了DPO（數據保護官）職位的概念，那麼對於設立在歐洲的企業和機構，是否必須擁有DPO？

劉春泉律師：關於DPO，GDPR是非常明確的規定的。根據企業的情況，如果和GDPR信息相關的話，就必須要設置DPO職位，因為沒有這個職位本身就是違規。

GDPR的生效對於企業在對於用戶信息和隱私的態度上來說，其實是起到了約束的作用，那麼這種約束能否推動信息安全的良性發展呢？

劉春泉律師：這個問題可以從來兩個角度來考慮，一是這種約束勢必可以讓企業對信息安全以及安全的合規引起足夠的重視，這樣對用戶來說是有好處的；二是據統計，目前歐盟對於網路安全的採購，規模大概在15%-30%之間，而國內企業可能不足3%，如果企業加註了對安全合規和能力的重視，將會是安全企業很好的機遇，也會帶動安全產業的進步，帶動安全行業的發展。

正文

01

應對GDPR與中國網路安全法之人間百態

在5月25日GDPR正式生效之前，已經有多家企業為應對GDPR作出了相應的調整。

4月25日，Twitter、instagram和域名註冊商godaddy分別向用戶發送郵件，表示將更新旗下產品服務條款和隱私政策。同時帶起謠言，QQ國際版被傳停止服務，騰訊最終對此事作出了闢謠。

YouTube則表示從5月21日開始將不再支持歐洲預定購買的第三方廣告服務，並且也有可能將會這項政策推廣到全球。

微軟於5月更新了關於隱私聲明，加入了GDPR要求的文字（如用戶權利及法源），說明微軟搜集用戶資料種類、用途及舉例。同時微軟在5月22日宣布將把GDPR隱私保護的權利擴大至全球用戶。

從YouTube關於第三方廣告服務的調整來看，GDPR對數字廣告業已經產生了巨大的影響。互聯網很大一部分收入的來源是數字廣告，通過數字廣告平台，大數據的精準推薦廣告，本身都是合法的。但是這一定程度上卻又和用戶的隱私保護之間產生了矛盾，所以GDPR的生效對廣告也有了很大的影響。

國際上這些大型企業為應對GDPR的手段和態度其實是非常值得國內企業學習的，與之對比也反映出國內企業從整體上無論是GDPR還是《網路安全法》都還處於一個並不重視的現狀。

普華永道調查，68%的美國公司預計將花費100萬到1000萬美元投入來滿足GDPR，還有9%的企業預計投入將超過1000萬。

反觀國內，很多企業依然還自以為與《網路安全法》和GDPR無關，認為僅有例如通信或互聯網公司才會受其制約。但事實上，一旦企業使用了微博、微信與互聯網相關，或是產品服務當中涉及到用戶的隱私，都會受到監管。

02

GDPR與中國《網路安全法》異同以及對中國企業的影響

對於GDPR和《網路安全法》，主要有以下相同之處：

1.立法定位都是從消費者角度出發保護個人信息和網路隱私。任何的立法都要有權益基礎，發生了什麼問題就要解決問題。

2.注重通過責任人的法律風險落實企業責任。GDPR中強調了DPO（數據保護官）的角色，而在《網路安全法》中也有網路安全負責人的概念，公司必須要設立這樣的崗位，來落實相關企業的制度安排。

3.在對於大數據應用上都留有餘地，沒有絕對禁止。

4.企業違法的法律責任大幅度提高，法律實施的操作性都得到了不同程度的增強。

而在個人信息定義、適用範圍、處理個人信息的原則、用戶同意、個人信息主體的權利、個人信息控制者的安全保護義務等角度，《網路安全法》和GDPR之間還存在一定的差異。

那麼在GDPR生效後，將會對歐盟企業或是業務涉及歐盟的企業帶來怎樣的影響？這一點可以參照國內。在《網路安全法》頒布之前，企業發生個人違法事件，會被判定為個人行為。但有了《網路安全法》之後，除了個人要承擔刑事責任外，企業也需要承擔相應的責任。

所以《網路安全法》增加了企業的責任，這也會是GDPR將會帶來的最大影響。

那麼企業的責任具體體現在什麼地方？

首先，必須設置GDPR的規定動作，比如說網路安全負責人，通常被稱為首席隱私官或者首席安全官，對GDPR更明確了DPO這個專職的崗位；其次必須要有規章制度，對企業整體進行定期培訓；最後，也對關鍵性信息基礎設施有了更高的要求。

關於GDPR，我們還需要特別注意裡面提出的一個概念，叫默認隱私保護（privacy by design，privacy by default），很多互聯網公司還沒有對這個概念理解和執行。

首先，privacy by design指的是一個產品在設計的時候，應當把隱私保護體現在產品涉及當中；而通常企業在設計產品與業務的時候，一定會具有一個預設設置，就是用戶在不做任何調試之前的默認設置，privacy by default就要求了在設計預設設置的時候，要保護用戶的個人隱私。

03

企業合規的路徑

企業想要在GDPR上做到合規，首先要明確責任人，就以《網路安全法》要求為例，普通企業必須要設置安全負責的崗位，而對於關鍵性信息基礎設施，就必須要設立專門的部門，包括管理部門和信息部門。

如果企業對於合規的預算有限的話，可以嘗試使用3K工作法：

認識企業自己（Know yourself），很多大企業往往因為產品種類繁多，業務流程繁雜，使得自我認知不夠清晰，因此清楚地認識自己非常重要。

認識你的客戶和用戶（know your customer or user），要對客戶和用戶做到準確的定位。

認知風險與合規投資收益（Know your risk and return of compliance investment），網路安全法的合規其實是一種投資，因為這些合規的投入相比罰款其實都是九牛一毛。但是現在很多企業都辜負了監管的友好的態度，因為國內沒有大額罰款的案例，導致很多企業都還處於鬆懈不重視的狀態。

幫助企業合規，最後也有幾點有效的建議：

1.定期培訓。很多公司，雖然制度上牆，但是並沒有起到真正的約束作用。雖然目前監管並不嚴格，但實際上《網路安全法》是提出了明確要求的，所以為了企業今後業務的開展，更好地迎合GDPR，定期培訓是必不可少的。

2.修訂用戶協議、隱私政策。雖然很多企業已經開始進行，但是大部分在對照GDPR的時候，還會存在漏洞，這個漏洞在於並沒有提供消費者撤回許可的路徑。

3.企業內部隱私數據合規制度，在內部一定要有可操作性。

4.產品和流程設計的法律支持。對於大公司來說，基本都有法務來跟隨業務進行。但這不只是法務的問題，也需要外部律師的支持，一個是專業性，第二個更重要是視角問題，外部的視角更多可以從用戶角度出發來思考問題。

5.採購流程審核。在關鍵性信息基礎設施上需要特別注意，《網路安全法》規定設備採購環節如果違法，將罰款採購金額的一倍到十倍，通常產品的採購金額都很高，一旦罰款，損失較大。

推薦閱讀：