关于数据合规进程的分析和介绍

欧盟《通用数据保护条例》(GDPR) 于2018年5月颁布，无疑成为了数据保护与使用合规领域的重要里程碑。GDPR为个人隐私权益提供了法律支持，并为全球数字化经济的可持续发展提供了最佳实践标准。其适用于所有持有欧洲公民个人数据的企业，不仅仅局限于在欧洲具有实体的企业，因此其执法权足以覆盖全球范围内的企业。颁布伊始，业内将GDPR称为“史上最严数据保护法”，认为其将解决存在多年的数据滥用问题。

影响力是否达到预期？

GDPR颁布前曾促使各大企业在个人数据和隐私保护方面采取了相应措施，因为当时GDPR在理论和实践两个维度的影响力还不明确。现在距离GDPR正式生效已过去整整一年，其是否真正发挥了作用？

目前在欧洲，除斯洛文尼亚以外，所有欧盟国家均已将 GDPR融入了国内法律。转向国内，在《网络安全法》和《电信和互联网用户个人信息保护规定》相继出台后，中国立法机关已经把“个人信息保护法”和“数据安全法”列入国家五年立法规划的第一序列，个人信息保护专门立法呼之欲出。来自立法层面的支持证明GDPR的确发挥了一定作用，目前数据泄露的上报量高达以前的5倍，Cookie墙方面也有了明显改善。

然而总的看来，GDPR似乎只给企业带来了一场“雷阵雨”，尚未完全达到预期。过去一年发生的重大事件仍是今年1月的“GDPR首罚”——法国数据保护监管机构向谷歌开出的5000万欧元巨额罚单，理由是谷歌在向用户定向发送广告时缺乏透明度、信息不足，且未获得用户有效许可。GDPR提出的大量与“数据被遗忘权”（Right to be forgotten）相关的要求则或多或少被企业规避。同时，各企业的焦点逐渐转向了国际贸易战、英国脱欧等更为重大的问题。因此，对于如何在公众焦点转移的情况下继续推进企业的数据合规进程，GDPR任重而道远。

Commvault助力数据合规进程

GDPR颁布前后，大量号称是“GDPR杀手锏”的解决方案涌入市场。事实上，企业不可能通过某一种技术解决方案的部署就能实现绝对合规。然而，Commvault Activate和Commvault Orchestrate等解决方案能够更有效地识别、索引、分类和管理数据，使企业更容易达到“数据被遗忘权”的要求，并在数据泄露时提供及时通知和可视化管理，而这两方面恰好是GDPR的重点。

例如，意大利波尔扎诺自治省因阿尔卑斯山的名胜闻名世界，共有50万人口，但每年吸引游客多达上千万人次，获得经济效益的同时也带来了海量数据合规化管理的需求。因此，波尔扎诺自治省民事保护局选用Commvault解决方案，可以快速方便地搜索存储在物理服务器和虚拟服务器上的个人数据以及备份文件，快速响应GDPR的要求，实现了数据合规性和透明度的管理。

Commvault在第一届数据保护世界论坛上进行的民意调查显示，大部分人对GDPR持支持态度，他们认为其有利于企业持有个人数据的透明化使用，但就达到GDPR法规要求仍有更多工作要做。

目前，个人信息安全成为重要的社会议题，始终牵动着公众神经。GDPR颁布一周年并不意味着制度规范都已成熟，相反，秩序建设才刚刚拉开序幕，面临挑战的不仅是GDPR的适用对象，也包括GDPR本身。

因此，GDPR一周年给与企业的启示是，无论规模大小，各企业都应该评估GDPR未来发展方向、复审已完成的数据合规工作，同时分析自身与GDPR标准存在的距离。企业只有不断提升自身透明度，与消费者就如何应用其个人数据达成一致，才能最终赢得消费者信任。