出海企业 GDPR 合规的痛点

《通用数据保护条例》（General Data Protection Regulation，简称 GDPR），旨在保护自然人的个人信息安全，已于 2018 年 5 月 25 日生效。在全球现有的数据隐私保护法规中，GDPR 以其标准高、处罚严而闻名。

或许有人这么想，观望似乎是当前更讨巧的做法。如果有人问起，你们怎么看 GDPR 的，也仅是谈谈保护用户个人隐私刻不容缓，说说欧洲隐私保护的历史沿革和新发展这样的大标题。毕竟，很少有人可以说自己对 GDPR 的了解足够专业，足够自信。

假如所有人都选择了“敬而远之”的角色，或“藏着掖着”的态度，那么 GDPR 在国内将会变得越发神秘，GDPR 的规则和理念也似乎会变成只有少数人掌握的“珍稀资源”。出海企业对这样的一部外国法律，更加难以实践和落地。

我们希望用分享，打破这种神秘感，让 GDPR 合规不再是空中楼阁，帮助中国企业出海，共同开拓国际市场。这也一直都是我们的使命。公开对 GDPR 的讨论和理解，或许并不是聪明的做法，但这却契合我们追求的使命和价值。为中国出海企业提供经验、技术和平台，这是我们的使命。抛砖引玉，引出更多对 GDPR，对数据合规，甚至对其他出海问题的关注与讨论，这是我们的价值。

我们计划撰写的文章，将注重实践和操作，目的在于解决出海企业以下的合规难点：

第一、合规成本高

GDPR 合规工作量多，对专业人员需求大。根据法律要求，从产品界面到后端数据库，再到工作流程制度，都需要进行合规风险点的排查和改造，不仅仅是更新用户协议和隐私协议这么简单。这些工作绝不是仅仅依靠企业法务或工程师就能消化，外部专家顾问在合规工作中也扮演者着重要角色。

因此 GDPR 合规成本主要体现在三个方面：

1. 外部顾问的费用。比如律师、安全技术专家和审计师等，这取决于公司合规能力的强弱。

2. 内部员工费用。举个例子，企业对内部进行数据摸底，需要知道自己收集的用户数据字段、需要将字段归类、需要对数据的传输、存储和加工等环节，在企业存续的全周期进行调查，并发现存在的风险点。这绝非个别员工可以完成的任务，而是需要多部门人员的配合。

3. 维护成本。GDPR 合规并非“面子工程”，对用户个人信息的保护，GDPR 要求植入企业的 DNA 和日常工作中。比如对于产品的开发、上线和运营，都需要考虑个人信息的保护。目前有人提出“隐私运营”的概念，就是建立专门的团队和部门去管理用户个人信息的保护工作。

我们希望今后的分享可以帮助出海企业了解 GDPR，一方面减少走弯路的成本，另一方面也避免受到一些所谓“专家”的干扰和欺骗，有效地利用企业内部和外部资源，降低合规成本。

第二、合规标准不明确

我们一直认为 GDPR 是一部尚未完成的法律。它的很多条文都只设定了概括性的要求，而没有明确说明合规的具体标准，比如隐私协议中使用和收集数据的披露标准，再比如同意（consent）和明确同意（explicit consent）的表现形式有什么不同。取得儿童监护人同意或授权的条款就很好说明了这点：

…While the child isbelow the age of 16 years, such processing shall be lawful only if and to theextent that consent is given or authorized by the holder of parentalresponsibility over the child…The controller shall make reasonable effort toverify in such cases that consent is given or authorized by the holder ofparental responsibility over the child, taking into consideration availabletechnology.

Article 8, GDPR

…在儿童未满 16 周岁时，只有取得该儿童监护人同意或授权，以上数据处理才能被视为合法…控制者应当考虑现有技术水平，尽合理的努力以核实上述同意或授权是否由该儿童的监护人做出。

GDPR 第八条

这里有很多操作上的不确定，如何取得，尤其是核实，监护人的授权或者同意？什么是现有技术水平，以及合理努力的标准？当然，这些问题可以探讨，但是 GDRP 没有明确的解释。如果说第一个问题我们可以用成本来衡量，那么完全解决第二个问题，我们只能等待立法的解释和行业范例。尽管如此，我们还是会在文章中阐述自己的理解，以供借鉴。