刘春泉律师，上海段和段律师事务所知识产权部合伙人，中国电子商务协会政策法律委员会副主任。

在GDPR生效之后，欧盟的执法机构可以直接对中国企业罚款吗？如何操作？

刘春泉律师：这个问题的关键在于欧盟能不能够建立合法的管辖连接点，如果建立了合法管辖连接点后，就拥有了管辖的权利，那么一旦中国企业的业务在欧盟有所延伸，欧盟是可以直接对中国企业的行为进行远程取证，再通过法律程序来执行。

同时这里要注意的一点是，并不是在欧盟只拥有少量的业务就可以降低重视，GDPR里明确规定将按全球收入来进行处罚，而据了解全球级大公司的平均年利润也不过5%左右，所以GDPR的处罚力度是极其大的。

怎样的企业或者业务才将受到GDPR的管辖？

刘春泉律师：传统观念的理解是，企业不到欧盟做生意，GDPR便无法直接管辖。但问题在于，互联网时代，企业的业务和产品，尤以APP为例，通常都是被直接上传到应用商店里的，这时企业是无法限制全球范围内用户在应用商店里对APP的下载，那这当中就一定会包含部分欧盟的用户，与此同时也一定会产生对欧盟用户信息的收集。这样即使企业并没有在欧盟产生直接的业务往来，但却在欧洲具有了业务存在，GDPR就可以进行管辖。

国内目前对于GDPR应对现状是怎么样的？

刘春泉律师：目前关于GDPR，国内的大型企业其实在应对上还是比较充分的，像BATJ，基本设置了数百人的法务部门，来保证法律层面对GDPR的合规。但并不是说有了充分的准备就可以确保万无一失，像谷歌、苹果的甚至都已具备了上千人规模的法务部门，但是依然无法避免产品中可能存在的问题。

这主要是两个方面：一是没有及时做到产品的审核，另外一个是业务部可能会因为KPI的考核而忽略规则。在这个问题上我们同时要重点关注中小企业，他们首先法律力量不足，二来认识程度不够，要让中小企业从负责人层面关注并理解GDPR与他们之间的关系，在未来可能造成的影响。

国内的法律方向在未来会越来越接近GDPR吗？

刘春泉律师：目前国际上在网路运行安全和信息保护等方面，中国、欧盟和美国的法律现在大方向上基本一致，区别在于具体的法律责任等。我认为国内法律向GDPR方向接近的概率比较大，因为GDPR侧重对消费者和公民的保护，符合国内环境的诉求。

GDPR中提出了DPO（数据保护官）职位的概念，那么对于设立在欧洲的企业和机构，是否必须拥有DPO？

刘春泉律师：关于DPO，GDPR是非常明确的规定的。根据企业的情况，如果和GDPR信息相关的话，就必须要设置DPO职位，因为没有这个职位本身就是违规。

GDPR的生效对于企业在对于用户信息和隐私的态度上来说，其实是起到了约束的作用，那么这种约束能否推动信息安全的良性发展呢？

刘春泉律师：这个问题可以从来两个角度来考虑，一是这种约束势必可以让企业对信息安全以及安全的合规引起足够的重视，这样对用户来说是有好处的；二是据统计，目前欧盟对于网路安全的采购，规模大概在15%-30%之间，而国内企业可能不足3%，如果企业加注了对安全合规和能力的重视，将会是安全企业很好的机遇，也会带动安全产业的进步，带动安全行业的发展。

正文

01

应对GDPR与中国网路安全法之人间百态

在5月25日GDPR正式生效之前，已经有多家企业为应对GDPR作出了相应的调整。

4月25日，Twitter、instagram和域名注册商godaddy分别向用户发送邮件，表示将更新旗下产品服务条款和隐私政策。同时带起谣言，QQ国际版被传停止服务，腾讯最终对此事作出了辟谣。

YouTube则表示从5月21日开始将不再支持欧洲预定购买的第三方广告服务，并且也有可能将会这项政策推广到全球。

微软于5月更新了关于隐私声明，加入了GDPR要求的文字（如用户权利及法源），说明微软搜集用户资料种类、用途及举例。同时微软在5月22日宣布将把GDPR隐私保护的权利扩大至全球用户。

从YouTube关于第三方广告服务的调整来看，GDPR对数字广告业已经产生了巨大的影响。互联网很大一部分收入的来源是数字广告，通过数字广告平台，大数据的精准推荐广告，本身都是合法的。但是这一定程度上却又和用户的隐私保护之间产生了矛盾，所以GDPR的生效对广告也有了很大的影响。

国际上这些大型企业为应对GDPR的手段和态度其实是非常值得国内企业学习的，与之对比也反映出国内企业从整体上无论是GDPR还是《网路安全法》都还处于一个并不重视的现状。

普华永道调查，68%的美国公司预计将花费100万到1000万美元投入来满足GDPR，还有9%的企业预计投入将超过1000万。

反观国内，很多企业依然还自以为与《网路安全法》和GDPR无关，认为仅有例如通信或互联网公司才会受其制约。但事实上，一旦企业使用了微博、微信与互联网相关，或是产品服务当中涉及到用户的隐私，都会受到监管。

02

GDPR与中国《网路安全法》异同以及对中国企业的影响

对于GDPR和《网路安全法》，主要有以下相同之处：

1.立法定位都是从消费者角度出发保护个人信息和网路隐私。任何的立法都要有权益基础，发生了什么问题就要解决问题。

2.注重通过责任人的法律风险落实企业责任。GDPR中强调了DPO（数据保护官）的角色，而在《网路安全法》中也有网路安全负责人的概念，公司必须要设立这样的岗位，来落实相关企业的制度安排。

3.在对于大数据应用上都留有余地，没有绝对禁止。

4.企业违法的法律责任大幅度提高，法律实施的操作性都得到了不同程度的增强。

而在个人信息定义、适用范围、处理个人信息的原则、用户同意、个人信息主体的权利、个人信息控制者的安全保护义务等角度，《网路安全法》和GDPR之间还存在一定的差异。

那么在GDPR生效后，将会对欧盟企业或是业务涉及欧盟的企业带来怎样的影响？这一点可以参照国内。在《网路安全法》颁布之前，企业发生个人违法事件，会被判定为个人行为。但有了《网路安全法》之后，除了个人要承担刑事责任外，企业也需要承担相应的责任。

所以《网路安全法》增加了企业的责任，这也会是GDPR将会带来的最大影响。

那么企业的责任具体体现在什么地方？

首先，必须设置GDPR的规定动作，比如说网路安全负责人，通常被称为首席隐私官或者首席安全官，对GDPR更明确了DPO这个专职的岗位；其次必须要有规章制度，对企业整体进行定期培训；最后，也对关键性信息基础设施有了更高的要求。

关于GDPR，我们还需要特别注意里面提出的一个概念，叫默认隐私保护（privacy by design，privacy by default），很多互联网公司还没有对这个概念理解和执行。

首先，privacy by design指的是一个产品在设计的时候，应当把隐私保护体现在产品涉及当中；而通常企业在设计产品与业务的时候，一定会具有一个预设设置，就是用户在不做任何调试之前的默认设置，privacy by default就要求了在设计预设设置的时候，要保护用户的个人隐私。

03

企业合规的路径

企业想要在GDPR上做到合规，首先要明确责任人，就以《网路安全法》要求为例，普通企业必须要设置安全负责的岗位，而对于关键性信息基础设施，就必须要设立专门的部门，包括管理部门和信息部门。

如果企业对于合规的预算有限的话，可以尝试使用3K工作法：

认识企业自己（Know yourself），很多大企业往往因为产品种类繁多，业务流程繁杂，使得自我认知不够清晰，因此清楚地认识自己非常重要。

认识你的客户和用户（know your customer or user），要对客户和用户做到准确的定位。

认知风险与合规投资收益（Know your risk and return of compliance investment），网路安全法的合规其实是一种投资，因为这些合规的投入相比罚款其实都是九牛一毛。但是现在很多企业都辜负了监管的友好的态度，因为国内没有大额罚款的案例，导致很多企业都还处于松懈不重视的状态。

帮助企业合规，最后也有几点有效的建议：

1.定期培训。很多公司，虽然制度上墙，但是并没有起到真正的约束作用。虽然目前监管并不严格，但实际上《网路安全法》是提出了明确要求的，所以为了企业今后业务的开展，更好地迎合GDPR，定期培训是必不可少的。

2.修订用户协议、隐私政策。虽然很多企业已经开始进行，但是大部分在对照GDPR的时候，还会存在漏洞，这个漏洞在于并没有提供消费者撤回许可的路径。

3.企业内部隐私数据合规制度，在内部一定要有可操作性。

4.产品和流程设计的法律支持。对于大公司来说，基本都有法务来跟随业务进行。但这不只是法务的问题，也需要外部律师的支持，一个是专业性，第二个更重要是视角问题，外部的视角更多可以从用户角度出发来思考问题。

5.采购流程审核。在关键性信息基础设施上需要特别注意，《网路安全法》规定设备采购环节如果违法，将罚款采购金额的一倍到十倍，通常产品的采购金额都很高，一旦罚款，损失较大。

推荐阅读：