欧盟GDPR生效

据外媒报道，欧盟“通用数据保护条例”(GDPR)于2018年5月25日生效。也就是说，被视为“史上最严”的数据保护立法，企业在发生数据泄露事故的情况下可能会面临高达年收入4%的罚款。据悉，在安全保障方面，企业不仅被要求要设立专门的数据管理官专职负责数据安全，且一旦出现“数据泄露”事件，必须在72小时内将相关情况事无巨细地通知监管部门，同时在合适的事件通知相关用户。

在实施后，GDPR将覆盖所有28个欧盟成员国，替代各国自己的相关法律。但GDPR的覆盖范围可能不止于此。

GDPR最初于2012年提出，并于2015年12月获得了欧盟理事会的通过。作为统一的数据保护法，GDPR的前身是1995年的《数据保护指令》95/46/EC。

在实施后，GDPR将覆盖所有28个欧盟成员国，替代各国自己的相关法律。但GDPR的覆盖范围可能不止于此。

从原则上说，所有在欧洲大陆开展业务或处理欧盟公民数据的组织，无论这些组织的总部设在哪里，都可能受到GDPR的影响。

普华永道指出：“这将影响在欧洲内外保存或使用欧洲公民个人数据的每个实体。”

对于GDPR未来的影响和意义，各界人士有着不同的看法。以下为国外相关专家观点摘要：

1、安格斯·麦克雷（Angus Macrae），伦敦国王学院信息安全负责人

GDPR的总原则是“统一欧盟范围内的监管，让公民重新掌控自己的个人数据，同时简化国际业务的监管环境”。在大多数人看来，这肯定是件好事。

这套标准如果能得到良好协调，那么从长远来看肯定会对数据保管或处理过程中的每个人都有有利。我们都是“数据主体”，在我们生活的这个世界中，有很多重要方面都在更多地依赖于与我们相关的数据。但这些数据处于风险之中，比以往更容易泄露。

数据主体目前担心的是，由于很多国家和地区在通报数据泄露事件时都不必承担法律责任，因此你甚至可能不知道自己的数据被盗或以其他方式受损。而GDPR实施后，如果发生数据泄露事件，那么数据保管者就必须及时向相应监管机构汇报情况，时限为事故发生的72小时内。

然而，GDPR会带来额外的合规负担，给企业造成额外成本，并导致某些企业处于竞争劣势。2013年，英国信息委员会办公室(ICO)委托伦敦经济学院进行了一项相关调查研究。其中重要发现之一是，大多数企业无法可靠地量化它们在数据保护上的投入。而在GDPR实施后，运营成本可能会出现怎样的增长，也同样难以准确量化。

根据新规定，长期雇员超过250人的组织，或“核心活动”需要对数据主体进行定期和系统性监测的组织，都需要任命数据保护官。尽管这个要求本身不算无理，但对很多中小企业来说，这可能会是一笔切切实实的花费。

最引人关注的行业是云计算，它可能会受到更大的影响，并承担更多成本。有些企业肯定需要投资更好的技术方案才能满足数据删除、保留或可移植性的要求，而这些成本无疑很快就会转嫁到用户处。

此外，GDPR的许多细节在实际操作中如何执行?企业可能会面临哪些不必要的成本，尤其是浪费在误导性的管控措施和咨询意见上的成本?即便是在专家中间，这些问题也存在很多分歧。

另一个风险是，尽管从原则上说，良好的信息安全和数据保护工作应该相互协调，互为补充，但企业可能过分强调其中某个点，把资金和资源放在满足GDPR的合规要求上，导致在信息安全防御的其他领域蒙受损失。

市场研究公司Ovum的报告显示，2015年12月，在调查的366家全球IT公司中，有66%似乎正在审查欧洲的业务战略，这是GDPR草案通过带来的直接反应。更值得关注的是，超过50%的IT公司认为自己不能满足所有新要求。在美国公司中，这个比例为58%，而62%的德国公司认为自己最终可能会被罚款。