1、反垄断风险

由于个人信息数据通过汇集，并经过对应技术的结构化处理、汇编、整合后将具有强大的分析和预测功能，同时也会产生排除、限制竞争的问题，因此，在审查客户数据合规事项时，除了要考虑个人信息收集、使用、流转等或有的传统风险以及相应的合规要求外，还应注意是否涉及不正当竞争的合规问题。

例如，在今年2月6日，德国联邦卡特尔局对Facebook涉嫌滥用市场支配地位作出了处罚。在该案中，德国联邦卡特尓局认为Facebook公司通过迫使其用户接受用户协议，从而得到用户授权，从而不正当收集或者使用用户在其他平台或者嵌入APP中的行为数据以及使用设备数据（包括Facebook旗下的WhatsApp以及Instagram）。通过对用户的行为数据、设备数据、用户ID在被访网站形成的cookie数据等进行收集、整合及分析之后，建立相关用户的用户画像。

德国卡特尔局认定Facebook在本国社交网络相关市场占据90%市场份额，且用户对Facebook有高度的依赖性。因此，用户不得不接受Facebook中不公正且具有剥削性的用户协议条款，这损害了用户的个人信息自主的权利。基于对用户数据收集、整合及分析后产生的身份识别网络效应以及用户锁定效应，Facebook又对其相关用户进行广告靶向精准投放，这也限制甚至排除了其他竞争者在广告投放业务的竞争。

综上，企业在设置用户协议时，要注意保护用户个人信息权利，并将自身在该行业的市场份额是否会使其具有市场支配地位考虑在内。

2、未成年人信息保护

处理16岁以下儿童的个人数据，必须获得该儿童父母或监护人的同意或授权；低于年满13周岁的情形，各成员国可以通过法律降低年龄要求。

因此，中国企业在欧盟开展涉及对未成年人信息收集的业务时，应注意各成员国关于年龄的具体规定，在设定用户协议或者隐私政策时，可以采用各国年龄界线的平均值作为标准，也可以依据各国法律做区分设计。

3、个人数据最小化原则

该原则来自于全球首例GDPR诉讼，ICANN&EPAG，德国波恩法院依据GDPR第5条第1（c）个人数据收集的最小化原则，支持被告主张拒绝根据合同继续收集个人信息，甚至意图提供数据删除服务的行为。

因此，为降低企业数据合规风险，可以定期清理收集使用的个人信息，或者匿名化处理此类数据，使得无法通过该类数据识别特定个人，并对此类数据加密保护。同时，所有相关的数据处理活动根据GDPR规定，都应记录备份，包括但不限于电子记录、纸质记录等。

4、GDPR对于数据留存以及数据跨境传输的严格要求

GDPR第五章规定对个人数据向第三国或国际组织传输的要求，第45条规定了两种处理模式：（1）以特定国家、地区、国际组织是否对个人数据提供了“充分保护”为标准，设立了充分保护的主体白名单，对于此类主体，相关的数据传输不需要特别的授权。（2）另一种是由特定的国家、地区直接与欧盟相关机构进行磋商并订立具有法律约束力与可执行性的隐私保护协议。

然而中国并不适用以上任一种处理模式。因此，如果一家中国企业在从事欧盟数据的跨境传输时，应当特别注意数据合规问题。其可以通过采用欧盟委员提供的标准合同条款，实现“足够水平的保护”；也可以通过建立BRCs (BIngding Corporate Rules)满足GDPR的要求。BRCs作为一种内部数据传输规则不仅需要包括GDPR基本原则的适用，还需要明确企业集团与成员之间的内部结构、数据传输相关内容、法律约束力、主体权利和实现、报告义务、培训机制等。

5、数据泄露72小时报告义务

GDPR第33条规定，在个人数据泄露情况下，控制者不得不当延误，而且应当至少在知道发生泄露之时起 72 小时内，根据第 55 条向监管机构进行通知，个人数据的泄露不会导致自然人权利和自由的风险的情况除外。如果通知迟于72 小时，需要对迟延原因进行解释。

因此建议企业在发生个人信息泄露事件时，无论该事件是否会造成自然人权利损害，都应作出及时响应，立即采取各种形式通知个人数据泄露主体，避免因对事件后果初步评估与实际结果的偏差而造成的个人信息主体的损失。