1分钟知识锦囊 | GDPR很厉害？它可以保护到谁的大数据隐私？

1分钟知识锦囊是36氪的日更问答新栏目，旨在每天以一分钟为限，快问快答一个重要的商业问题。今天我们解答的是大数据相关的问题。如果你对近期的商业世界还有什么疑问，欢迎在评论区给我们留言，锦囊负责找高手为你解答。

提问：@朝阳尼采

今日锦囊答主：王景, 瑞栢律师事务所高级顾问律师（www.ruibailaw.com）

大家有没有注意到近日来邮箱连续不断的收到来自各方更新隐私政策， 或者重置服务协议的通知，都是因为GDPR要来了。

经过欧盟议会长达四年的讨论，欧盟《一般数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）将于今天正式生效。在全球现有的数据隐私保护法规中， GDPR是迄今为止覆盖面最广，监管条件最严格的个人隐私和数据安全法规。

截至2016年末，中国在欧盟设立直接投资企业 2700 多家，已覆盖欧盟的全部28个成员国，雇用外方员工13.37万人。这些在欧盟的中国企业必须遵守GDPR。

即使在欧盟境内没有营业机构，如果您的企业只是为向欧盟居民销售产品或者服务而收集信息（如保修卡），或者收集网站浏览数据以分析欧盟公民用户习惯，也同样受制于GDPR。比如飞欧洲航线的航空公司，打算在欧洲开分行的银行，想扩展欧洲市场的制造企业等。 

作为数据主体的个人可以享受更广泛的权利：个人同意后才可以收集信息（16岁以下未成年人还要监护人的同意）；可以随时要求访问自己的信息、进行修改、删除、或者转移给其他的数据控制者； 更甚至可以随时撤回此前对数据收集表示的同意。企业可以脑补以下，如果个人要求删除你企业留存的个人信息，还要你去删除全世界通过其他方式交流/转移/交换出去的个人信息，你要花多少成本。

GDPR的厉害之处还体现在有可能产生的天价罚款上。严重违规行为的罚款数额为最高2000万欧元或者企业上一财年全球营业额的4%（以两者较高值为准）。 举个例子， 如果苹果公司违反了GDPR的规定， 那么罚金有可能高达80亿美元。 

5月25日以后， 欧盟可能不一定会查Facebook，反而可能去找那些没有做任何合规准备的“软柿子”。对于想深耕欧洲市场的中国企业来说， 应对GDPR予以高度重视。 对于自己企业在数据方面的需求和做法要尽快调查， 并梳理企业的合规体系，以免成为GDPR实施以后的第一批牺牲品。 

注：本文仅为提供一般性信息之目的，不应用于替代专业咨询者提供的咨询意见。