《通用数据维护条例》（General Data Protection Regulation，简称GDPR），旨在维护自然人的团体信息平安，已于2018年5月25日失效。在全球现有的数据隐私维护法规中，GDPR以其规范高、处分严而出名。

我们想写一系列GDPR相关的文章，从法律规则讨论到理论操作，和出海者们交流我们对GDPR的了解。

或许有人这么想，张望似乎是以后更讨巧的做法。假如有人问起，你们怎样看GDPR的，也仅是谈谈维护用户团体隐私刻不容缓，说说欧洲隐私维护的历史沿革和新开展这样的大标题。毕竟，很少有人可以说本人对GDPR的理解足够专业，足够自信。

假设一切人都选择了“敬而远之”的角色，或“藏着掖着”的态度，那么GDPR在国际将会变得越发奥秘，GDPR的规则和理念也似乎会变成只要多数人掌握的“珍稀资源”。出海企业对这样的一部本国法律，愈加难以理论和落地。

我们希望用分享，打破这种奥秘感，让GDPR合规不再是海市蜃楼，协助中国企业出海，共同开辟国际市场。这也不断都是我们的使命。地下对GDPR的讨论和了解，或许并不是聪明的做法，但这却契合我们追求的使命和价值。为中国出海企业提供经历、技术战争台，这是我们的使命。抛砖引玉，引出更多对GDPR，对数据合规，甚至对其他出海成绩的关注与讨论，这是我们的价值。

我们方案撰写的文章，将注重理论和操作，目的在于处理出海企业以下的合规难点：

第一、合规本钱高。

GDPR合规任务量多，对专业人员需求大。这些任务绝不是仅仅依托企业法务或工程师就能消化，内部专家参谋在合规任务中也扮演者着重要角色。

因而GDPR合规本钱次要表现在三个方面：

比方律师、平安技术专家和审计师等，这取决于公司合规才能的强弱。

举个例子，企业对外部停止数据摸底，需求晓得本人搜集的用户数据字段、需求将字段归类、需求对数据的传输、存储和加工等环节，在企业存续的全周期停止调查，并发现存在的风险点。这绝非一般员工可以完成的义务，而是需求多部门人员的配合。

GDPR合规并非“面子工程”，对用户团体信息的维护，GDPR要求植入企业的DNA和日常任务中。比方关于产品的开发、上线和运营，都需求思索团体信息的维护。目前有人提出“隐私运营”的概念，就是树立专门的团队和部门去管理用户团体信息的维护任务。

我们希望今后的分享可以协助出海企业理解GDPR，一方面增加走弯路的本钱，另一方面也防止遭到一些所谓“专家”的搅扰和诈骗，无效天时用企业外部和内部资源，降低合规本钱。

第二、合规规范不明白。

我们不断以为GDPR是一部尚未完成的法律。获得儿童监护人赞同或受权的条款就很好阐明了这点：

…While the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorized by the holder of parental responsibility over the child…The controller shall make reasonable effort to verify in such cases that consent is given or authorized by the holder of parental responsibility over the child, taking into consideration available technology.

Article 8, GDPR

…在儿童未满16周岁时，只要获得该儿童监护人赞同或受权，以上数据处置才干被视为合法…控制者该当思索现有技术程度，尽合理的努力以核实上述赞同或受权能否由该儿童的监护人做出。

GDPR第八条

这里有很多操作上的不确定，如何获得，尤其是核实，监护人的受权或许赞同？什么是现有技术程度，以及合理努力的规范？当然，这些成绩可以讨论，但是GDRP没有明白的解释。假如说第一个成绩我们可以用本钱来权衡，那么完全处理第二个成绩，我们只能等候立法的解释和行业范例。虽然如此，我们还是会在文章中论述本人的了解，以供自创。

第三、合规方案复杂。

假如一个以儿童为次要用户的游戏APP思索做GDPR合规，一个重要前提就是获得儿童监护人的赞同或受权。关于这个成绩，我们不能够等到欧盟的明白解释或许行业范例呈现，由于这样的风险很大。我们以为更好的合规战略是，召集这款游戏APP的产品经理、工程师和律师，共同讨论一个可以承受的处理方案。我们模仿一下这场对话的一个片段：

律师：给16岁以下儿童提供效劳前，我们需求获得儿童监护人的赞同，还需求验证监护人的身份，怎样从技术上完成？

工程师：目前公司独一的验证途径只要短信，怎样才算获得监护人的赞同，怎样核实监护人的身份？

产品经理：我们可以要求用户在注册账号时确认其生日，假如低于16岁，那么这个用户必需输出监护人的手机，我们会发送一条短信，要求接纳方确认能否为该用户的监护人，并且确认能否赞同这个儿童注册并进入我们的产品，但成绩是，是不是要实名注册？这样验证监护人身份能否契合法律规范？

…

但很多公司，尤其是初创型公司，并不具有跨部门协作，研讨设计复杂合规方案的才能。我们希望经过分享我们的了解，为这样的公司提供合规任务的处理思绪。

以上就是我们希望经过交流和讨论去处理的成绩。我们以为，这很有意义。各位出海的冤家们、同伴们，认知任何事物，都离不开逐步探究的进程，希望我们的努力，可以为各位带来协助。也希望各位，可以参与到讨论中，提出批判，提出建议。

APUS研讨院｜GDPR实战指南（二）“赞同”，没那么复杂。

APUS研讨院｜GDPR实战指南（三）全球首例GDPR案件剖析。

APUS研讨院｜GDPR实战指南（四）浅谈企业GDPR合规中的项目管理。

引见：APUS研讨院，努力于研讨数据合规的前沿成绩，继续跟进高新行业的合规热点和静态。