卡利希先生在辦公室介紹其公司系統升級經驗。記者 毛黎 攝

歐盟于2016年通過的《一般數據保護法案》（GDPR）5月25日正式生效。GDPR堪稱史上最嚴格的數據保護法案，它的實施代表著歐盟對個人信息保護及其監管達到了前所未有的高度。以色列法律專家杰伊·卡利希先生日前接受科技日報記者采訪時表示，面對歐盟的新規，相關機構或公司必須迅速行動起來，采取有效措施加強其個人數據系統的保護，避免因數據處理不當違反GDPR規定而造成巨大損失。

基本內容

個人數據是與個人相關的信息，覆蓋面相當廣泛，涉及個人隱私、職業和正常生活，它可以是任何名稱、照片、電子郵件地址、銀行詳細信息、社交網站上的帖子、醫療信息，甚至計算機的IP地址。通常，個人數據在全球的公司和國家間傳輸和交換，作為個人卻無法控制自己的數據。

新出臺的GDPR旨在加強和保護個人在數據保護方面的基本權利，包括訪問數據和刪除數據的權利，讓人們重新控制其數據。另外，GDPR規定任何機構不能無故收集個人數據，如合法收集個人數據，則必須證明自己在盡全力保護所收集的數據。

任何機構應尊重GDPR中規定的數據管理原則并協助數據當事人實現其權利，同時應接受隱私設計、進行隱私影響評估、指定數據保護人員或代表，并遵守個人數據違規和通知責任，以減少隱私侵權風險。

處罰細則

按照GDPR的規定，歐盟監督機構可以自行決定調查數據掌握機構，也可以在收到數據當事人的投訴后，決定是否實施行政處罰，并根據具體情況核定處罰金額。

GDPR中為不同的違規行為設定了不同的標準。例如，未采取適當的技術或管理措施來避免或降低隱私侵權風險的個人數據掌握機構，將被罰款1000萬歐元或全球營業額的2%（以較高者為準）；違反處理個人數據的基本原則或不保護數據主體權利的，將被罰款2000萬歐元或全球營業額的4%（以較高者為準）。

卡利希表示，僅僅看一眼違規可能帶來的高額處罰，任何掌握有歐盟國家個人數據的機構就應該明白問題的嚴重性，且不能存有幻想或僥幸心理。他相信，歐盟對GDPR的執行是認真的，預計在未來數月內，人們將目睹有機構因違規被處罰，而且極有可能是最高限額。他的推斷讓人感覺歐盟似乎有意通過處理首起案件收到殺一儆百的效果。

涉及范圍

雖然GDPR針對的是歐盟國家的個人數據掌握機構，但是其涉及范圍擴展到所有歐盟以外掌握有歐盟國家個人數據的機構。卡利希說，無論你在歐盟之外的哪個國家，只要你與歐盟國家打交道，管理或處理有歐盟國家的個人數據，那么GDPR就適用你，也就是說你必須遵守GDPR的規則。

不久前，卡利希參加與GDPR相關的國際會議。他說，在那次會議上，有學者根據調查分析推斷，在5月25日GDPR生效時，從全球范圍內看，只有30%至35%的機構在個人數據的管理和處理方面能夠達到歐盟的要求。

作為以色列著名的股權眾籌公司——OurCrowd的法律總顧問，卡利希十分自豪——5月25日前的數周，公司已完成了全部系統的升級，完全符合GDPR的規定。他同時表示，以色列的個人數據保護規定與歐盟的類似，公司個人數據管理達到歐盟標準，也就符合以色列法律的要求。

采取行動

卡利希表示，按GDPR要求對機構系統升級并非輕而易舉的事情，它需要周密的計劃和各部門的大力配合。他說，為實現升級目標，OurCrowd公司聘請專業法律事務所，制定了升級實施細則，成立了以公司法律人員和IT人員為核心的升級專項組。在長達6個月的升級過程中，IT人員不僅要對公司內部人員培訓以提高他們對升級重要性的認識，而且還協助各部門人員完成具體的升級操作。卡利希認為，IT人員在系統升級中發揮了關鍵作用。

對于至今仍沒有與GDPR并軌的非歐盟國家機構或組織，卡利希建議，如果其業務涉及歐盟國家個人的數據，那么必須迅速采取積極的行動，盡快升級自己的數據系統，采取滿足歐盟要求的數據保護措施，避免受罰。