法国RGPD（GDPR）企业合规指南

欧盟《通用数据保护条例》（GDPR），在法国被称为RGPD，自2018年生效以来，仍有许多企业未能完全合规。罚款最高可达2000万欧元或全球年营收的4%，法国监管机构CNIL正在加大执法力度，合规已迫在眉睫。

本指南涵盖核心义务及最新变化，包括2025年AI透明度要求。

为什么必须重视

违规类型	最高罚款
技术违规	1000万欧元或营收的2%
权利侵害	2000万欧元或营收的4%

CNIL自RGPD生效以来已开出超过4亿欧元罚单。中小企业同样不能幸免——5万至50万欧元的处罚经常波及各种规模的组织。

七大核心义务

1. 知情同意

同意必须满足：

• 自由给予 — 禁止预勾选框
• 具体明确 — 每个目的单独同意
• 充分知情 — 清晰说明数据用途
• 明确无误 — 需要用户主动行为

2. 处理活动记录

250人以上企业强制要求，但建议所有企业建立。须包含处理目的、数据类别、接收方、保留期限和安全措施。

3. 数据保护官（DPO）

公共机构、大规模数据处理组织和处理敏感数据的组织必须任命。即使不是强制的，任命DPO也是最佳实践。

4. 数据保护影响评估（DPIA）

当处理可能对个人权利产生高风险时必须进行。例如：视频监控、用户画像、健康数据处理。

5. 泄露通知

数据泄露发生时：

• 72小时内通知CNIL
• 高风险时通知受影响个人
• 记录每次泄露，即使是轻微的

6. 知情权

每个人都有权知道收集了哪些数据、原因、保留时间、谁可以访问、以及如何行使权利（访问、更正、删除、可携）。

7. AI透明度（2025年新增）

自2025年起，使用AI进行自动化决策的组织必须告知相关个人、解释所用逻辑、并允许对决策提出异议。

如何安全共享合规文件

RGPD合规文件包含敏感信息：处理记录、影响评估、审计报告、与监管机构的通信。

通过普通邮件发送会增加风险。**LOCK.PUB**可以创建带密码保护和自动过期的链接，安全地与DPO、律师或CNIL共享文件。通过微信发送链接即可，方便又安全。

CNIL免费工具

CNIL提供多种免费合规工具：

• PIA：开源影响评估软件
• 处理活动记录模板（可从cnil.fr下载）
• 分包商指南（处理者义务）
• 行业框架（医疗、人力资源、客户）

RGPD合规清单

• 处理活动记录保持最新
• 发布隐私政策
• Cookie横幅合规
• 同意流程文档化
• 任命DPO（如必须）
• 泄露通知程序
• 包含RGPD条款的分包商合同
• 员工培训
• 高风险处理的DPIA
• 数据主体请求响应流程

常见错误

1. 混淆同意与合法利益 — 这是两个不同的法律依据
2. 过度保留数据 — "以防万一"地保留数据是违法的
3. 忽视分包商 — 你对处理者负有责任
4. 忽略安全 — RGPD要求适当的技术措施
5. 无视数据主体权利 — 你有1个月的回复期限

结语

RGPD合规是一个持续的过程，而非一次性项目。规则在变化，CNIL在加大执法力度，公民的隐私期望在不断提高。

从基础开始——记录、透明、安全——然后逐步完善。当需要共享敏感的合规文件时，使用LOCK.PUB来安全完成。

---

数据保护不仅是法律义务，更是对客户和员工的承诺。