近日，由欧盟会议投票通过的《一般数据保护法案》（简称GDPR）全面实施，这意味着欧盟对于个人信息的保护及监管达到了前所未有的高度，堪称史上最严格的数据保护法案。GDPR对数据隐私的部分保护条款有悖我们的"常理"，所以更需要企业领导以及产品业务的设计者学习了解，哪些行为违规，哪些动作存在风险。

GDPR重要条款解读

1.GDPR规定，企业应以合法、公正、透明的方式处理个人数据，这也是处理个人数据的基本原则。企业处理个人数据必须要征得数据主体（用户）同意，这种“同意”必须是具体的、清晰的，是数据主体在充分知情的前提下自由做出的。

2.对于合法处理数据，GDPR也给出了明确的定义，至少满足以下情况中的某一项，处理数据才算是合法，包括：数据主体同意为了特定目的处理其数据、处理数据是为了签订或履行合同的需要、处理数据是为了遵守法定义务的需要、处理数据是为了保护数据主体或其他自然人至关重要的利益、处理数据是为了公共利益等。

3.GDPR赋予了数据主体删除个人数据的权利。当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时，数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方机构（或网站），数据控制者应通知该第三方删除该数据。

4.对于特殊种类的个人数据处理，GDPR也做了明确的规定。对揭示种族或民族出身，政治观点、宗教或哲学信仰，工会成员的个人数据，以及以唯一识别自然人为目的的基因数据、生物特征数据，健康、自然人的性生活或性取向的数据的处理应当被禁止。但也有例外，如该数据已经获得了数据主体的明确同意，以及数据处理为实现控制者或数据主体在工作、社会保障以及社会保障法的范畴内履行义务、行使权利之目的等。

5.处理未满16周岁的儿童数据，GDPR规定，必须是在征得父母责任的主体同意情形下，或授权儿童同意的范围内才能进行。法案特别提到，考虑到现有技术，企业应当作出合理的努力，去核实在此种情况下，父母责任的主体同意或授权。

6.当出现数据泄漏事件时，企业应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时，企业必须毫不延误的通知数据主体，以便数据主体及时采取措施。

哪些企业将受到GDPR约束？

GDPR具有域外效应，根据法案中的相关规定，以下企业将受到GDPR的法律约束。

1.设立在欧盟境内的企业；

2.未在欧盟境内设立，但向欧盟境内的数据主体（自然人）提供产品和服务的企业；

3.未在欧盟境内设立，但涉及监控欧盟境内数据主体（自然人）行为的企业；

4.未在欧盟境内设立，但在欧洲成员国法律适用的地方设立的企业。

也就是说，GDPR不仅适用于位于欧盟境内的企业组织机构，也适用于位于欧盟以外的企业组织机构，无论机构所在地位于哪里，只要其向欧盟数据主体提供产品、服务或者监控相关行为，或处理和持有居住在欧盟境内的数据主体的个人数据，都将受到GDPR法案的监管。

对于中国企业而言，如果在欧盟境内设立了分支机构，那么该分支机构肯定会被要求执行GDPR法案的相关规定，否则只能停止向欧盟用户提供互联网服务，或缴纳巨额罚单。目前看，有可能涉及到中国企业的更多会是银行、电商、互联网以及IT软硬件企业等。

巨额的处罚

对于在GDPR法案约束范围内的企业，如果其违反相关规定，那么将面临欧盟严厉的制裁和巨额的罚款。具体处罚措施如下：

对于一般性的违法，处以1000万欧元或上一个财政年度全球全年营业收入2%的罚款（两者中取数额大者）。

对于严重的违法，处以2000万欧元或上一个财政年度全球全年营业收入4%的罚款（两者中取数额大者）。

我们可以简单理解为，轻者（违反隐私保护设计和默认隐私保护协议、没有实施充分的IT安全保障措施、违反数据泄露通知要求等），最低处以1000万欧元的罚款；重者（违反数据处理原则，数据处理没有合法基础、违反同意要求，侵害数据主体的合法权利等），最低处以2000万欧元的罚款。之前有媒体分析称，GDPR实施的第一年，欧盟的罚款收入有可能达到60亿美金左右！当然，违反GDPR的代价远不止财务层面，还将给企业声誉带来极大影响，有可能导致企业和消费者之间产生信任危机。