GDPR的生效是一个给航空公司带来的比较好的契机，让航空公司可以重新审视自己的隐私保护政策，倒逼航空公司去努力做到合规。

“今日的个人数据，就如同（观看）人们在水族馆里裸泳一样。”这是欧盟司法专员维拉·朱洛娃（Vera Jourova）对当今个人数据使用和传播情况的一个经典形容。

数据时代的到来，让人类“个人数据权”问题也提上日程。因此，当2018年5月25日，欧盟的《一般数据保护条例》（General Data Protection Regulation, GDPR）生效时，尽管给众多企业带来很多新的工作，但仍然是受到社会的欢迎甚至拥戴的。GDPR的约束范围不仅仅是欧盟的企业，还包括任何在欧盟有业务的企业。

中国几大航空公司都在运营飞往欧洲的航线，并且在欧洲设有业务机构，因此GDPR对于中国航空公司而言是有约束力的。换言之，运营欧洲航线的中国航空公司必须符合GDPR的规定，否则也将面临严厉的处罚，对违规的处罚金额是2000万欧元或企业全球年营业额的4%（二者取较高值）。事实上，这也是在考验中国航空公司的国际化经营能力，能够对国际法规进行理解，并且做到合规经营，这本身就是国际化能力的一部分。

航旅IT圈（微信公众号AirTIT）观察到中国几大航空公司都在积极应对GDPR的生效。2018年5月28日，笔者作为南方航空明珠俱乐部的会员，收到一封来自南方航空的邮件，邀请查看南航更新过的隐私条款。从邮件可以看出，南航应该是向全体会员发送了无差别的邮件。点击南航提供的新的“隐私政策”链接，可以看到南航在5月24日更新了隐私政策的条款，解释了南航收集的个人信息以及原因，将可能收集的个人信息的范围列得更加详细。以下是南航邮件的截图。

东方航空是在应对GDPR方面动作较大的一家国内航空公司。东航先后公布了公司隐私保护的公众沟通方式，对各个在线渠道（包括官网、常旅客系统、电商网站、APP等）和线下旅客服务渠道进行了客户隐私条款的全面更新升级，针对第三方平台可能存在的运营风险，及时开展清理整顿，进一步加强了对旅客信息的保护。

除此之外，东航还宣布任命了一名数据保护官（DataProtectOfficer, DPO）。根据国资委网站的信息，东航任命其总法律顾问为DPO，全面负责企业的数据保护与合规运营工作，东航也由此成为国内首家设立数据保护官的企业。

事实上，国内航空公司在数据保护方面遇到的挑战是很大的，尤其是在旅客数据的保护方面。由于旅客预订数据被不法分子获取而导致旅客被诈骗的案件时有发生，而航空公司似乎对此束手无策。根据现行的机票分销方式，在整个旅客数据流转的链条中，航空公司本身只是一环，包括OTA、PSS供应商、机场在内的很多企业都是数据的处理者。航空公司面临的问题是，作为数据拥有者，航空公司除了要使得自己的运营符合GDPR规定之外，还要去梳理相关的数据处理者，并敦促这些企业也满足GDPR的规范。

总体而言，我们可以认为GDPR的生效是一个给航空公司带来的比较好的契机，让航空公司可以重新审视自己的隐私保护政策，倒逼航空公司去努力做到合规。在这个过程中，航空公司不妨注重对国际各类法规进行合规检查和整改的内部业务流程建立，这无疑将是未来航空公司国际化发展中的一项重要能力。来源：航旅IT圈