2016年4月27日，歐洲議會通過了《一般資料保護條例》(簡稱“GDPR”)並在2018年5月25日生效。 非歐盟成員國的公司(包括免費服務)只要滿足下列兩個條件之一：

(1)為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的資訊。

(2)為了監控歐盟境內可識別的自然人的活動而收集、處理他們的資訊。

該公司就受到GDPR的管轄。這個條例將對中國企業的資料管理和資訊保安，以及資料收集、處理和交易產生重大影響。

首先，消費者在任何時候都有權要求處理或儲存過其隱私資訊的公司銷燬其隱私資訊，如果這些隱私資訊已經轉移給第三方公司，消費者有權在任何時候要求該第三方組織銷燬其隱私。如果一個消費者或客戶提出上述要求，處理或儲存過其隱私的公司則必須完成銷燬，否則就會被認定為違反了GDPR的條例。這一條被稱為“Right to be forgotten”。

其次，第25條介紹了軟體(包括移動應用)開發設計中對資料保護的原則性要求。它強制要求軟體在整個開發階段和執行資料處理階段必須能夠保護個人資料隱私。這一條被稱為“Data protection by design”。

第三，第32條規定了資料控制(含移動應用)和處理需要有足夠的技術和措施來確保其資料和移動應用的完整性。這些安全措施必須能夠應對資料處理面臨的風險，例如所傳輸或儲存的個人資料被篡改、丟失、未經授權披露或被惡意攻擊。

以上三條法規是對中國企業的資訊保安和移動應用安全合規性的最大挑戰。如果沒有通過，企業面臨的罰款標準是，“一般違規行政罰款的上限是1000萬歐元或該企業上一財年全球年度營業總額的2%(以較高者為準)”;“嚴重違規行政罰款的上限是2000萬歐元或該企業上一財年全球年度營業總額的4%(以較高者為準)”。

GDPR規定了歐盟每一個成員國都必須成立關於GDPR的監管機構(“Supervisory Authority”)，負責GDPR在每一個國家的執行。監管機構接受該國關於違法的投訴，有權調查可能的違法情形，並進行相應的處罰。而這一監管機構也有義務和歐盟其他成員國的監管機構溝通，確保在同一件事情上執法尺度儘可能統一。同時，歐盟將設立“一站式”投訴服務，以便於消費者在歐盟範圍內跨境投訴。

對於在歐盟境內有分支機構的中國公司，分支機構將被作為責任主體來強制執行法律要求。 如果沒有在歐盟境內設有機構，一旦違反GDPR且境外公司高管進入歐盟境內，高管將直接強制執行處罰。首當其衝的行業是銀行、電子商務、網際網路、IT企業和軟硬體生產商。中國企業有三個選擇：

(1)停止向歐盟居民提供網際網路服務(包括免費的服務);

(2)接到罰單後再去面對;

(3)主動完成歐盟GDPR的合規性要求。

顯然，我們不想失去歐盟巨大的市場，我們更不願意被處罰而使自己的品牌與聲譽長期蒙受負面影響，明智的選擇是主動出擊，積極應對。對此，我們的建議是：

1. 邀請第三方專業的資料安全機構來評估公司的隱私保護合規現狀。合規評估可以幫助您瞭解貴司在GDPR要求方面處於什麼位置，幫助您瞭解您擁有哪些資料資產，以及保護這些資產的控制措施，也可以幫助您對組織內的資料保護成熟度進行評估並分析差距。

2. 提高資料保護的合規水平。合規的資料保護實踐應該有：為與GDPR相關的員工提供教育和培訓; 對隱私控制和隱私政策進行良好的定義; 定義流程以對資料洩露做出反應; 實施問責機制; 緩解資料洩露造成的傷害和損失; 根據隱私政策使用適當的資料保護工具。

3. 加強資料治理。您需要構建和定製自己的資料保護治理方案，並設計一套程式以不斷的提高組織內的資料保護成熟度。這種設計的具體要點包括：定義具體的隱私保護策略和問責政策; 使用合理的指標來比較自己與競爭對手的合規程度;在您的組織內選擇和培訓特定的資料保護角色; 將隱私策略與業務策略協調一致，共同服務於公司的經營目標。需要特別強調的是，一定要在處置電腦資產前銷燬硬碟上的資料，最好請第三方公司操作並出具銷燬證明。當消費者請求公司銷燬個人的隱私資料時，公司可以展示資料銷燬證明來表示合規，有效避免消費者投訴。