李律师漫话GDPR（三） | 欧盟数据保护新规...

（一）用户的权利

GDPR中规定，当企业收集用户的个人数据时，用户有知情权，即企业应明确告诉用户：企业处理了哪些个人数据，处理特定个人数据的目的、类别及其法定依据，数据将被保存的期限（如无具体期限，则需告知决定保存期限的标准）等等。此外，用户还有如下等权利：

企业可以通过隐私条款将上文知情权中所述信息以及用户的要求更正权和要求删除权等内容传递给用户，这也是众多企业纷纷为了满足GDPR的要求而修改其隐私条款的原因。

（二）委任欧盟代表

GDPR规定，如企业不在欧盟境内，但在向欧盟境内用户提供商品或服务的过程中涉及处理欧盟境内用户的个人数据，企业应在欧盟境内书面委任一名代表，并授权该欧盟代表负责GDPR项下应对监管机构和用户的相关问题。但是，如果企业仅偶尔处理用户的个人数据，不作大规模的个人数据处理，也不处理特殊类型个人数据和有关刑事犯罪的个人数据，并且考虑到其性质、背景、范围和目的，该数据处理对自然人的权利和自由产生风险的可能性很小，则企业无需在欧盟委派代表。

王总公司在欧盟没有分支机构，但其销售到欧盟市场的智能手环和体重计所配套使用的App会经常性地处理欧盟境内用户的个人数据。因此，谨慎起见，李律师建议王总公司在欧盟委任一名代表，当欧盟境内用户或监管机构对王总公司产品处理用户个人数据产生相关问题或疑问时，该欧盟代表可以接收相关信息并及时将情况反馈给公司。李律师也答应为王总提供这方面服务机构的相关信息。

（三） 数据收集的目的、数据保护和安全措施

GDPR规定，个人数据的收集应当具有具体、清晰和正当的目的，且对数据的处理不应与此目的不符。企业应采取适当的措施确保只处理每个特定处理目的所必需的个人数据，该要求适用于收集个人数据的数量、处理的程度、保存期限以及访问权限等各方面。

根据GDPR的要求，企业在决定处理个人数据的方式以及处理个人数据时，应当采取合适的技术与组织措施来保护数据主体的权利。在选择技术和组织措施时，企业应考虑下列四方面的因素：(1)现有技术水平；(2)实施成本；(3)数据处理的性质、范围、环境以及目的；和(4)数据处理给自然人的权利与自由造成的各种风险及其严重性。企业应当在考虑以上四方面因素的基础上，采取适当措施以保证与风险相符的安全水平。GDPR特别列举了以下这些方面的措施：

GDPR要求企业在进行安全评估时，应当特别考虑处理个人数据所带来的风险，特别是在个人数据传输、存储或处理过程中的意外或非法销毁、丢失、篡改、未经授权的披露或访问。此外，企业应当采取措施确保，除非接到企业的指示或者根据法律要求，任何拥有数据访问权限的人都不会对个人数据进行处理。

GDPR刚刚生效，其中对数据保护和安全的要求又比较原则性，所以企业会需要一段时间逐渐摸索明确应如何在技术和管理上具体实现这些要求。审慎起见，企业在这方面应考虑采取业内主流或惯常的技术和手段。一个投入较低、较易着手的做法是建立一个相关的文档制度，记录企业在数据保护和安全方面采取了哪些措施，考虑了哪些因素，如何在技术水平、风险和成本等因素之间找到平衡点。这样即使出现问题，也能向监管部门解释企业对此的态度和作出的努力。

关于个人数据，许多企业颇为纠结之处是，如果将其匿名化和加密，将大大增加数据分析的难度，减少相关数据的价值。有企业会选择不存储结构化数据，而只存储用户的相关操作，在需要时再还原相关用户信息，希望以此增加第三方非法获取用户信息的难度，降低泄露风险。在系统安全性方面，企业应该至少采用密码保护措施，并建立系统权限管理制度，对内部人员获取或修改个人数据设立限制。如果企业已经在使用第三方云服务，可以考虑选用云服务商提供的安全产品，如反病毒和反黑客、漏洞检测、基线检查、防火墙、防灾备份等等。