01採取數據保護措施兩大原則

GDPR規定，數據控制者有義務採取適當的技術和組織措施來保護數據主體權利，確保數據處理原則得到貫徹執行，這也是控制者的核心義務。GDPR並沒有要求企業必須實行某項具體的「技術和組織措施」，而是要求這些措施必須是根據數據保護原則而制定，即數據保護設計（data protection by design）和默認數據保護（data protection by default）。

原則一：數據保護設計

GDPR第25（1）條規定，「考慮到國家的技術發展水平、實施成本和處理行為的性質、範圍、環境和目的，以及處理可能給自然人的權利和自由帶來的風險和損害，控制者在決定和實施數據處理的方法時，應當以一種有效的方法實施適當的技術、組織措施，例如設計以實施數據保護原則的匿名機制和數據最小化機制，並且將必要的保障措施融入處理中，以使數據處理既符合本條例的要求又保護數據主體的權利。」

簡單來說，數據保護設計原則即為「事前提早設計，事中隨時調整」。企業在決定數據處理目的時就應考慮如何設計數據保護措施，它不僅對於系統保障用戶權利至關重要，也能有效幫助企業降低數據保護成本。數據保護理念要貫穿在數據全生命周期內，要能確保企業在決定數據處理目的時就應考慮如何設計數據保護措施，它不僅對於系統保障用戶權利至關重要，也能有效幫助企業降低數據保護成本。數據保護理念要貫穿在數據全生命周期內，要能確保

除了最開始就要做好頂層設計外，「事中隨時調整」也極為重要。由於技術水平、風險、數據處理活動的範圍、性質、情境都在不斷變化，因此在數據處理活動開始後，企業有必要隨時關注最新進展，調整自己的數據保障措施。這也意味著，企業在最初制定保護措施時應注重靈活，以便在遇到更大的風險時能彈性處理。

原則二：默認數據保護

GDPR第25（2）條規定，「數據控制者應當實施相應的技術和組織措施，以確保在默認情形下，被處理的個人數據對於每個特定處理目的都是必要的。該最小必要義務適用於被收集的個人數據的數量、處理規模、存儲期限與其可訪問性。尤其是這些措施應當確保在默認情形下，個人數據在缺乏個人介入時無法被不特定數量的自然人所訪問。」

默認數據保護（或基於默認的數據保護）要求開展任何數據處理活動都應自動採取最有利於隱私的設置，在默認條件下，僅處理目的所需的個人數據。默認數據保護與數據最小化要求息息相關，都要求收集的數據數量、處理程度、存儲時間和訪問權限必須滿足最小必要原則。

此外，企業應當對其數據處理活動做好記錄，應包括：

（1）數據控制者及其歐盟代表、數據保護官的姓名、聯繫方式；

（2）數據處理目的；

（3）對數據主體類型以及個人數據類型的描述；

（4）數據接收方的類別；

（5）跨境傳輸記錄，包括第三國或國際組織的確認以及保障措施記錄；

（6）刪除不同數據類型的預計期限；

（7）對技術和組織安全措施的一般描述。

02 保障個人數據安全

保障個人數據安全也是GDPR規定數據控制者應盡的義務之一。GDPR第32條規定，控制者可採取以下措施保障個人數據安全：

（1）個人數據假名化及加密；

（2）確保數據處理系統及服務可持續保持機密性、完整性、可用性及恢復能力；

（3）在發生物理事故或技術事故時，可及時恢復使用、訪問個人數據；

（4）定期測試、評估並衡量數據保護技術和組織措施的有效性。

具體來說，企業內部應當建立一套完整的數據泄露處理機制，做到事前規劃、提前準備、人員培訓、應急處理、事後追責等。

一旦發生個人數據泄露事件，企業應在72小時內向數據監管機構報告，並對泄露實際情況、影響以及採取的補救措施進行記錄，以供監管機構查詢。如果數據泄露事件有可能對數據主體的權利和自由帶來高度威脅，控制者也應及時以清晰平時的語言告知數據主體相關情況。

03 開展數據保護影響評估

GDPR第35條規定，「為了確保安全，避免處理行為違反GDPR，控制者或處理者應評估處理過程中的固有風險，並採取措施減輕這些風險，例如加密。在評估數據安全風險時，應考慮處理個人數據所帶來的風險，例如被傳輸、儲存的個人數據遭受意外或非法毀壞、遺失、更改、未經授權披露或接觸，或以可能導致生理、物質或非物質傷害的其他方式處理。」

數據保護影響評估，簡稱DPIA，是數據保護設計和默認數據保護的一個關鍵部分。DPIA是企業在開始數據處理活動前就應開始的一項程序，藉助它，企業可對處理過程中可能出現的風險進行識別和評估，並採取措施減輕這些風險。DPIA應至少每三年進行一次。違反規定的，最高可罰1000萬歐元或高達2%的全球年營業額。

什麼樣的企業需要進行DPIA？一般來說，當一種數據處理方式特別是使用新技術時，如果它可能給數據主體的權利和自由帶來高度危險的，數據處理者就應進行DPIA。尤其當一項數據處理行為涉及以下三種風險因素時，DPIA就是必不可少的程序：

（1）基於自動化處理的系統而廣泛的數據評估；

（2）大規模地處理特殊類別的數據（可識別某個自然人的數據），或與刑事犯罪和違法行為相關的個人數據；

（3）大規模地系統監視公開區域。

04 設立數據保護官

在GDPR中，數據保護官（DPO）被認為是數據保護制度中的重要一環。一個組織是否要設立DPO，應考慮以下三個因素：

（1）由公共機關執行處理，但以司法身份行事的法院除外；

（2）控制者或處理者的核心工作因其性質、範圍和/或目的需要對數據主體進行大規模的、定期及有系統的監察的處理；

（3）控制者或處理者的核心活動包括大規模處理特殊類別的數據以及與刑事定罪和犯罪有關的個人數據。

在上述定義中，有兩個概念需要著重釐清：「大規模」和「定期及系統的監測」。

GDPR並未對「大規模」這一概念有著明確的區間範圍，這需要企業結合用戶數量、數據量、數據範圍、處理時間、地理範圍等因素綜合判斷。而像電子郵件營銷、位置跟蹤這類有預先安排、為企業後續戰略執行服務的數據處理活動會被歸類為「定期及系統的監測」，這類企業就需要設立DPO。 對於出海歐洲的中國企業來說，如果在歐洲有穩定的經營實體，DPO應設立在歐盟境內，以便直接處理GDPR合規事宜。

05 合規建議

GDPR的主要目的是保護數據主體權利及自由，這也是企業在開展一切安全措施的重要出發點。企業的數據保護義務與之前的解讀文章中所提到的數據主體權利、數據處理原則息息相關，所有這些構成了一個龐大而精密的合規體系。

但同時，由於GDPR採用的是以風險為基本的制定方針，為了能更大範圍地保護數據主體權益免受侵犯，GDPR更多提出的是原則性的指導，而非具體的實施手段。這樣做的目的是以便企業根據複雜的實際情況靈活處理，從而為用戶提供最恰當的保護水平，避免底線思維的存在。但畢竟將原則落實到實踐層面還面臨不小的困難，近幾年不斷開出的GDPR罰單便能說明問題，這也對企業的合規水平提出了更高的要求。