不久前，歐洲《通用數據保護條例》（GDPR）正式生效。該條例被稱為“史上最嚴數據保護法”。業內人士指出，對于做國際業務的公司，GDPR影響非常大，實施后的最初幾個月，一定有公司被罰，不管是中國的公司還是國外的公司，而且是重金處罰，罰款額度非常高。

GDPR對安全行業有促進作用，數據安全這個領域肯定會得到更高的關注。

事實上，GDPR不只是對互聯網行業具有嚴格的制約，對于基于商業數據而開展業務的會展行業也有巨大的約束作用，應引起會展業界的高度關注。尤其是國際性會展活動組織者須盡快了解并遵守GDPR，否則未來因違反GDPR所產生的巨額罰款，將是會展活動組織者無法承受的。

GDPR旨在協調所有現行規定，為歐盟（EU）公民提供更高級別的個人數據安全保障。若中國會展組織者認為，在中國境內的會展活動與歐盟的GDPR沒有什么關系，那就大錯特錯了。GDPR將適用于收集或分享來自歐盟參與者和贊助商的任何個人數據。 即使是在中國舉辦會展活動，哪怕有一位來自歐盟的參會者，同樣需要遵守GDPR。GDPR不僅僅涉及個人信息安全漏洞，對于不遵守其條例規定的行為，違規者將面臨其全球收入的4%或不合規情況下的2000萬歐元（以較高者為準）的罰款。

“個人數據”的定義范圍非常寬泛，除包含姓名、電子郵件、身份證號碼、照片、位置數據和在線身份認證（IP地址、社交媒體）等數據點外，還包括特定于身體、社會和經濟的任何因素。

GDPR對于會展業的影響，主要是客戶關系管理系統的CRM，以及對參展人員和觀眾注冊部分。根據GDPR條例，今后，參展商或觀眾的名片、注冊的電子信息，會展活動組織者不可以隨意使用。這意味著，在GDPR時代，會展活動組織者收集個人的信息數據，需明確數據的使用方式和原因。

根據GDPR，數據收集有六種法律依據，都具有同等的重量和地位。對于會展活動組織者來說，最重要的是需要進行合法利益評估LIA。必須告知數據主體：集什么信息、使用什么信息，以及將如何與他們溝通。例如，會展活動的觀眾邀請，需要收集大量目標人群的聯絡信息，但目前通過群發郵件邀請其參觀的行為，在未來將被視為違法，可能遇到麻煩。這就需要會展活動組織方與被邀請對象溝通，愿意通過哪種方式收到活動邀請和相關信息，如此才能作為獲得合法利益的依據。

GDPR具有追溯性，適用于展會客戶管理系統已收集數據和全新數據。如根據合法利益處理數據，則需要向參與者發送更新后的符合GDPR標準的隱私政策，還要求增加數據清查（審查電子數據的存儲方案），并查看物理記錄（包括裝滿名片的抽屜），以確保未持有未經同意而獲取的“過期”數據。會展活動組織者與合作的任何第三方信息服務供應商，都須盡早熟悉GDPR，利于會展活動的舉辦。同時，也避免因潛在違規而付出高昂的代價。

當前，國內會展行業數據管理水平還處于一個較低的狀態，觀眾注冊尚未注重個人信息安全。近期，筆者參觀了幾個大型展會，發現觀眾胸卡上的條碼基本上都是明碼，其中最為嚴重的還包含姓名、公司甚至手機號碼等個人信息。可以說，現階段，國內的會展活動組織者的信息使用基本上都不符合GDPR條例。盡管GDPR目前在中國的實施還需要一個過程，但這將是未來的發展方向，會展活動組織者應做好準備。盡管GDPR還沒有引起會展業的重視，但國際展覽與活動協會（IAEE）已發布關于該主題的白皮書，向其成員通報可能影響他們的政策和法律層面的變化。