和任何咨詢項目一樣，企業(yè)在決定進行GDPR數(shù)據(jù)保護合規(guī)項目之前要明確好項目的范圍、目的，以達到最好的收入產(chǎn)出比。

除了對管理體系、公司制度的全面評估和建設(shè)，在業(yè)務(wù)執(zhí)行層面，通常會選擇一個或若干個代表性的產(chǎn)品或業(yè)務(wù)線來進行數(shù)據(jù)保護的評估與實施，形成相應(yīng)的流程、體系和工具，并加以驗證，然后再在全公司內(nèi)推行和持續(xù)改進。

GDPR的管轄范圍由兩個原則決定：屬地原則和屬人原則，所以全球很多企業(yè)、組織受到影響。

但并非凡是接觸到了一點歐盟人士的個人數(shù)據(jù)就要完全遵守GDPR，更不必因噎廢食而放棄歐盟的業(yè)務(wù)。各個企業(yè)、組織還是要根據(jù)自身業(yè)務(wù)的性質(zhì)和范圍來確定是否受GDPR的約束，以及具體如何滿足。

除了GDPR，世界各國也紛紛出臺了自己的個人數(shù)據(jù)保護的法律、規(guī)范。我國的個人信息保護法也在起草中。所以，個人數(shù)據(jù)保護的工作是遲早要做的。特別是對于有跨國業(yè)務(wù)和跨國數(shù)據(jù)傳輸?shù)钠髽I(yè)，更要隨時關(guān)注相關(guān)國家的法規(guī)的更新，并要處理好國內(nèi)國外法規(guī)中的細微不同。

對于數(shù)據(jù)保護合規(guī)，容易有兩種誤解：一種是認為這是法務(wù)部門的事，請律師修改一下隱私條款，更新一下各種合同，把法律責任撇清就可以了；另一種是認為這是IT部門的事，把信息安全做好，防止數(shù)據(jù)泄露就可以了。

實際上，數(shù)據(jù)保護和企業(yè)風險管理一樣，是自上而下的各層面的人員都要關(guān)注和參與的工作。特別是業(yè)務(wù)設(shè)計和運營部門，在規(guī)劃業(yè)務(wù)活動的時候，就要考慮到個人數(shù)據(jù)的收集、處理過程中的風險以及保護措施。

通常，個人數(shù)據(jù)保護咨詢項目要達到的目的是在組織內(nèi)自上而下地建立起完整的個人數(shù)據(jù)保護體系，包括：組織架構(gòu)、管理體系和流程、人員、技術(shù)工具等。

實施個人數(shù)據(jù)保護項目不但能滿足以上的目的，通常還能通過項目過程來優(yōu)化資源，通過對數(shù)據(jù)生命周期的梳理以優(yōu)化產(chǎn)品的生命周期，通過對數(shù)據(jù)的盤點和結(jié)構(gòu)優(yōu)化來促進數(shù)據(jù)的使用以及價值挖掘。

在項目實踐過程中，筆者歸納出了六個“七”。通過對這六個“七”的理解，把GDPR中的抽像的法律權(quán)利與義務(wù)層層具化為我們的工作任務(wù)和行動步驟。

GDPR中對自然人的數(shù)據(jù)權(quán)利進行了全面的定義，這也是我們進行個人數(shù)據(jù)保護的所有努力與付出的核心和最終目標。

特別要補充一點的是，個人數(shù)據(jù)權(quán)利不但是企業(yè)的外部客戶、用戶所擁有的，企業(yè)內(nèi)部員工、第三方外包人員等也擁有同等的數(shù)據(jù)權(quán)利，所以企業(yè)在考慮外部個人數(shù)據(jù)保護的同時，也要記得審查內(nèi)部的招聘、員工管理、外包人員管理等流程，這既是對員工的保護，也是對內(nèi)部風險的防范措施。

GDPR中針對如何保障前述的個人數(shù)據(jù)權(quán)利給出了七個數(shù)據(jù)處理原則，其中最后一項是針對于數(shù)據(jù)控制者的“問責制”原則，即數(shù)據(jù)控制者應(yīng)能拿出確鑿的證據(jù)來證明自己的數(shù)據(jù)保護工作的有效實施。這一點對各個企業(yè)尤其重要，特別是當企業(yè)面對監(jiān)管機構(gòu)的質(zhì)疑、用戶和律師的訴訟時。

GDPR中還明確了組織和企業(yè)要實施“by design and by default”的數(shù)據(jù)保護措施。我們可以理解為個人數(shù)據(jù)保護是“始于設(shè)計，貫穿整個數(shù)據(jù)生命周期的任務(wù)，并且是不言而喻的，自覺自發(fā)的”。具體可以細化為這七個實施原則。

企業(yè)在評估自身的數(shù)據(jù)保護工作的有效性時，可以檢查這七個方面的工作是否能落實到位，確保這幾點工作的到位能很大程度上避免違規(guī)的產(chǎn)生。

當然，這幾點只是數(shù)據(jù)保護體系的最終體現(xiàn)結(jié)果中的一部分。要想全面評估和提升數(shù)據(jù)保護工作，還要做更多的考查與工作。

前邊的幾個七，都是幫助企業(yè)明確數(shù)據(jù)保護的目標和需求，發(fā)現(xiàn)不足和問題。進入實施環(huán)節(jié)后，就有很多具體工作要由各個部門來承接，包括法務(wù)、內(nèi)控、產(chǎn)品/業(yè)務(wù)、IT、人力資源、客服，以及外部供應(yīng)商和合作伙伴，需要把數(shù)據(jù)保護工作作為一項長期的項目組來進行規(guī)劃和實施，指派專業(yè)的人員和資源，調(diào)動各種相關(guān)的力量。這需要高管層的支持和關(guān)注，以及管理層、執(zhí)行層面的各級人員的參與。

數(shù)據(jù)保護合規(guī)咨詢項目的總體過程與其它風險管理類的合規(guī)項目類似，但又有其特別之處。它既有管理層面的制度、流程建設(shè)，又有執(zhí)行操作層面的對業(yè)務(wù)場景的具體的分解和梳理；既有內(nèi)控角度的評估完善過程，又有操作風險和產(chǎn)品質(zhì)量層面的控制和分析；特別是要形成企業(yè)內(nèi)的數(shù)據(jù)目錄（數(shù)據(jù)倉庫），以便企業(yè)隨時了解其處理的個人數(shù)據(jù)的情況。

在咨詢項目過程中，外部咨詢顧問會幫助企業(yè)完成前6步的工作，并在項目后期完成知識的轉(zhuǎn)移，最終企業(yè)要通過自身的消化和運作機制把項目中的成果推廣持續(xù)下去。

在本項目中，我們與客戶的12個部門（團隊）進行了多輪訪談、問卷填寫、資料收集查閱等，涉及了客戶內(nèi)部幾乎所有的部門。

由于客戶的現(xiàn)有產(chǎn)品數(shù)量較多，我們與客戶協(xié)商后選取了其中一個產(chǎn)品線進行深入的業(yè)務(wù)調(diào)研和分析。

在調(diào)研的基礎(chǔ)上，我們參照GDPR中的要求，并參考我國的《個人信息保護規(guī)范》，識別出客戶的產(chǎn)品流程中的數(shù)據(jù)風險，以及數(shù)據(jù)保護過程中的不足，并將這些問題進行分類分級，分別提出處置或改進的方案。并幫助客戶制定改進行動計劃，明確改進的目標和標準。

特別是在分析階段中，結(jié)合客戶產(chǎn)品屬性和特點，進行了數(shù)據(jù)目錄的模板設(shè)計，將試點產(chǎn)品中涉及的個人數(shù)據(jù)的類型、詳細字段，以及收集的目的、來源、處理活動、數(shù)據(jù)流和傳輸?shù)冗M行整理，并記錄在數(shù)據(jù)目錄中，并在此基礎(chǔ)之上進行DPIA（數(shù)據(jù)保護影響評估），以發(fā)現(xiàn)數(shù)據(jù)處理中的風險。

為了使數(shù)據(jù)保護工作在公司內(nèi)部進行固化，項目中還要完善相關(guān)的公司制度、管理辦法、職位設(shè)置和考核標準，并結(jié)合現(xiàn)有的產(chǎn)品生命周期管理流程，將數(shù)據(jù)保護的工作內(nèi)容和檢查點融入其中，以形成by design and by default的數(shù)據(jù)保護。

并且，根據(jù)試點產(chǎn)品的反饋，對數(shù)據(jù)目錄和DPIA模型進行優(yōu)化，以便適用于公司的其它產(chǎn)品和業(yè)務(wù)。

結(jié)合公司現(xiàn)有各部門的職責劃分和應(yīng)急機制，制定數(shù)據(jù)泄露的處置流程，特別是在關(guān)鍵時間點、數(shù)據(jù)泄露的評估、及溝通內(nèi)容上進行明確定義，以保證客戶一旦發(fā)生嚴重的數(shù)據(jù)泄露事件，能滿足GDPR中對數(shù)據(jù)泄露的通知時間和內(nèi)容的要求。

由于該客戶目前沒有達到GDPR中的必須設(shè)置DPO(數(shù)據(jù)保護官）的要求，也受現(xiàn)在組織架構(gòu)和人力資源的限制，我們在些項目中沒有建議客戶設(shè)置DPO這一職位，但DPO的相關(guān)職責仍要有具體的崗位和人員來承擔。因為我們將DPO的職責與現(xiàn)有崗位設(shè)置進行優(yōu)化組合，同時建議客戶在歐洲和美國市場聘請當?shù)氐穆蓭熥鳛槠浞纱?，以對接當?shù)氐谋O(jiān)管機構(gòu)，并可隨時應(yīng)對有可能的相關(guān)訴訟案件。