01采取数据保护措施两大原则

GDPR规定，数据控制者有义务采取适当的技术和组织措施来保护数据主体权利，确保数据处理原则得到贯彻执行，这也是控制者的核心义务。GDPR并没有要求企业必须实行某项具体的“技术和组织措施”，而是要求这些措施必须是根据数据保护原则而制定，即数据保护设计（data protection by design）和默认数据保护（data protection by default）。

原则一：数据保护设计

GDPR第25（1）条规定，“考虑到国家的技术发展水平、实施成本和处理行为的性质、范围、环境和目的，以及处理可能给自然人的权利和自由带来的风险和损害，控制者在决定和实施数据处理的方法时，应当以一种有效的方法实施适当的技术、组织措施，例如设计以实施数据保护原则的匿名机制和数据最小化机制，并且将必要的保障措施融入处理中，以使数据处理既符合本条例的要求又保护数据主体的权利。”

简单来说，数据保护设计原则即为“事前提早设计，事中随时调整”。企业在决定数据处理目的时就应考虑如何设计数据保护措施，它不仅对于系统保障用户权利至关重要，也能有效帮助企业降低数据保护成本。数据保护理念要贯穿在数据全生命周期内，要能确保企业在决定数据处理目的时就应考虑如何设计数据保护措施，它不仅对于系统保障用户权利至关重要，也能有效帮助企业降低数据保护成本。数据保护理念要贯穿在数据全生命周期内，要能确保

除了最开始就要做好顶层设计外，“事中随时调整”也极为重要。由于技术水平、风险、数据处理活动的范围、性质、情境都在不断变化，因此在数据处理活动开始后，企业有必要随时关注最新进展，调整自己的数据保障措施。这也意味着，企业在最初制定保护措施时应注重灵活，以便在遇到更大的风险时能弹性处理。

原则二：默认数据保护

GDPR第25（2）条规定，“数据控制者应当实施相应的技术和组织措施，以确保在默认情形下，被处理的个人数据对于每个特定处理目的都是必要的。该最小必要义务适用于被收集的个人数据的数量、处理规模、存储期限与其可访问性。尤其是这些措施应当确保在默认情形下，个人数据在缺乏个人介入时无法被不特定数量的自然人所访问。”

默认数据保护（或基于默认的数据保护）要求开展任何数据处理活动都应自动采取最有利于隐私的设置，在默认条件下，仅处理目的所需的个人数据。默认数据保护与数据最小化要求息息相关，都要求收集的数据数量、处理程度、存储时间和访问权限必须满足最小必要原则。

此外，企业应当对其数据处理活动做好记录，应包括：

（1）数据控制者及其欧盟代表、数据保护官的姓名、联系方式；

（2）数据处理目的；

（3）对数据主体类型以及个人数据类型的描述；

（4）数据接收方的类别；

（5）跨境传输记录，包括第三国或国际组织的确认以及保障措施记录；

（6）删除不同数据类型的预计期限；

（7）对技术和组织安全措施的一般描述。

02 保障个人数据安全

保障个人数据安全也是GDPR规定数据控制者应尽的义务之一。GDPR第32条规定，控制者可采取以下措施保障个人数据安全：

（1）个人数据假名化及加密；

（2）确保数据处理系统及服务可持续保持机密性、完整性、可用性及恢复能力；

（3）在发生物理事故或技术事故时，可及时恢复使用、访问个人数据；

（4）定期测试、评估并衡量数据保护技术和组织措施的有效性。

具体来说，企业内部应当建立一套完整的数据泄露处理机制，做到事前规划、提前准备、人员培训、应急处理、事后追责等。

一旦发生个人数据泄露事件，企业应在72小时内向数据监管机构报告，并对泄露实际情况、影响以及采取的补救措施进行记录，以供监管机构查询。如果数据泄露事件有可能对数据主体的权利和自由带来高度威胁，控制者也应及时以清晰平时的语言告知数据主体相关情况。

03 开展数据保护影响评估

GDPR第35条规定，“为了确保安全，避免处理行为违反GDPR，控制者或处理者应评估处理过程中的固有风险，并采取措施减轻这些风险，例如加密。在评估数据安全风险时，应考虑处理个人数据所带来的风险，例如被传输、储存的个人数据遭受意外或非法毁坏、遗失、更改、未经授权披露或接触，或以可能导致生理、物质或非物质伤害的其他方式处理。”

数据保护影响评估，简称DPIA，是数据保护设计和默认数据保护的一个关键部分。DPIA是企业在开始数据处理活动前就应开始的一项程序，借助它，企业可对处理过程中可能出现的风险进行识别和评估，并采取措施减轻这些风险。DPIA应至少每三年进行一次。违反规定的，最高可罚1000万欧元或高达2%的全球年营业额。

什么样的企业需要进行DPIA？一般来说，当一种数据处理方式特别是使用新技术时，如果它可能给数据主体的权利和自由带来高度危险的，数据处理者就应进行DPIA。尤其当一项数据处理行为涉及以下三种风险因素时，DPIA就是必不可少的程序：

（1）基于自动化处理的系统而广泛的数据评估；

（2）大规模地处理特殊类别的数据（可识别某个自然人的数据），或与刑事犯罪和违法行为相关的个人数据；

（3）大规模地系统监视公开区域。

04 设立数据保护官

在GDPR中，数据保护官（DPO）被认为是数据保护制度中的重要一环。一个组织是否要设立DPO，应考虑以下三个因素：

（1）由公共机关执行处理，但以司法身份行事的法院除外；

（2）控制者或处理者的核心工作因其性质、范围和/或目的需要对数据主体进行大规模的、定期及有系统的监察的处理；

（3）控制者或处理者的核心活动包括大规模处理特殊类别的数据以及与刑事定罪和犯罪有关的个人数据。

在上述定义中，有两个概念需要着重厘清：“大规模”和“定期及系统的监测”。

GDPR并未对“大规模”这一概念有着明确的区间范围，这需要企业结合用户数量、数据量、数据范围、处理时间、地理范围等因素综合判断。而像电子邮件营销、位置跟踪这类有预先安排、为企业后续战略执行服务的数据处理活动会被归类为“定期及系统的监测”，这类企业就需要设立DPO。 对于出海欧洲的中国企业来说，如果在欧洲有稳定的经营实体，DPO应设立在欧盟境内，以便直接处理GDPR合规事宜。

05 合规建议

GDPR的主要目的是保护数据主体权利及自由，这也是企业在开展一切安全措施的重要出发点。企业的数据保护义务与之前的解读文章中所提到的数据主体权利、数据处理原则息息相关，所有这些构成了一个庞大而精密的合规体系。

但同时，由于GDPR采用的是以风险为基本的制定方针，为了能更大范围地保护数据主体权益免受侵犯，GDPR更多提出的是原则性的指导，而非具体的实施手段。这样做的目的是以便企业根据复杂的实际情况灵活处理，从而为用户提供最恰当的保护水平，避免底线思维的存在。但毕竟将原则落实到实践层面还面临不小的困难，近几年不断开出的GDPR罚单便能说明问题，这也对企业的合规水平提出了更高的要求。