2018年，歐盟發布實施了GDPR，一時間引起了軒然大波，先后一些科技巨頭公司紛紛被控訴舉報違反GDPR，遭到罰款處罰。本文主要是結合條例和日常工作，做一個簡單的分析總結。

[[256791]]

一、什么是GDPR

GDPR，英文全稱：General Data Protection Regulation，中文翻譯為：通用數據保護條例。是歐洲聯盟的條例法規，其前身是歐盟在1995年制定的《計算機數據保護法》。

內容就是針對近年來用戶隱私被泄露造成的一系列問題，要求對歐盟所有成員國個人信息進行收集、存儲、處理及轉移等活動時，要按照要求，采取技術和管理手段對個人敏感隱私數據進行保護。

二、適用范圍

條例原文：

(1) 本條例適用于在歐盟內部設立的數據控制者或處理者對個人數據的處理，不論其實際數據處理行為是否在歐盟內進行。

(2) 本條例適用于如下相關活動中的個人數據處理，即使數據控制者或處理者不在歐盟設立：

• 為歐盟內的數據主體提供商品或服務——不論此項商品或服務是否要求數據主體支付對價;
• 對發生在歐洲范圍內的數據主體的活動進行監控。

條例本身比較不好理解，總結一下就兩點：1.歐盟成員國的相關企業和組織在對個人數據進行處理時要遵守該條例。2.不屬于歐盟成員國的企業組織(比如咱們中國的企業)只要提供的商品或服務以及相關項目涉及到了處理歐盟成員國的公民個人數據就也必須遵守該條例

三、違規處罰

條例規定，對違反法規的企業、單位或組織的罰金最高可達2000萬歐元(約合1.5億元人民幣)或者其上一年全球總營業額4%的金額罰金，兩者取其最高。

是的，你沒聽錯，也沒有看錯，如果違反相關規定就是要罰這么多，這么重的處罰對一個公司或單位必將是重磅的一擊，一般的公司或單位可能根本經受不了這么重的處罰，大公司的心肝也是顫抖的。

在GDPR剛實施后不久，一些國際巨頭公司如Facebook(臉書)和Google(谷歌)等遭到了舉報和投訴，成為GDPR法案的第一批被告。一些公司甚至直接關閉了針對歐盟用戶的業務。

四、國內動作

在有了Google這樣的大公司被罰的先例后，國內企業也加快了對GDPR學習和執行的步伐，緊鑼密鼓地進行著，生怕也上了被罰的名單。同時，國內近幾年不斷爆出用戶個人隱私信息被泄露的消息，大量的個人信息流經黑市，也因此出現了一系列冒名頂替、電信詐騙等刑事案件?？梢灶A判，國內網絡安全監管機構很有可能效仿歐盟，照搬或者自己出臺相關法規，加強對公民個人信息的保護。

五、條例重點分析

那么，對于企業或者說企業的安全負責人，如何來實施相關措施來保證符合GDPR的相關規定呢?在這里，我分享下我個人的見解。

1. 數據處理原則

要求企業在進行數據收集、存儲和處理時要提供收集的目的用途、存儲的時間、收集的方式、收集的數據類型、存儲和處理數據的安全技術保障措施、數據操作審批權限、取得用戶同意、簽訂契約以及針對兒童的相關條件等等。

企業在進行用戶數據的相關活動中必須要了解上述內容要求，并作出相關承諾，在收集之前就要提供類似用戶隱私聲明一類的內容，同時明確自己的責任和義務。

2. 禁止的特殊類型數據

除GDPR法規第9條、第10條例外規定的情形，其他情況下應禁止處理這些特殊類型的數據，包括：種族或民族出身、政治觀點、宗教或哲學信仰、工會成員身份、基因數據、為了特定識別自然人的生物性識別數據、和自然人健康、個人性生活或性取向相關的數據等以及涉及犯罪定罪與違法相關的個人數據。

企業在進行用戶數據處理時一定要明確這些禁止的特殊類型數據，除非符合法規規定的例外情形，否則千萬不要試圖去收集和處理這些數據，以免受到影響。

3. 數據主體訪問權

數據主體應該具有或者說企業應該提供給數據主體訪問個人信息的處理目的、數據類型、數據接收者和接收者的類型、存儲的期限和依據標準、數據來源信息、數據轉移保障措施等。

不管是系統提供的隱私說明或是簽訂的合同必須能讓數據主體或用戶能夠隨時訪問到這些信息，只有這樣才能保障數據主體的訪問權。

4. 數據主體更證權

數據主體要能夠或者說企業應該提供給數據主體對其個人數據更正和完善的權利。

當個人信息被收集、存儲和處理時，要提供相關接口和入口讓數據主體或用戶隨時能夠對自己的個人數據進行修改，比如常見的用戶個人中心，可以對個人的資料進行修改更新。

5. 數據主體擦除權(被遺忘權)

除條例第17條21(3)規定的情形，企業要提供給數據主體或用戶擦除其個人數據的權利。

大部分企業提供的應用或服務不會讓數據主體或用戶直接刪除個人數據的，基于此，可以提供接收數據主體擦除請求的通道，幫助用戶擦除一些不再必要的數據。

6. 數據主體限制處理權

當數據主體對個人數據的準確性有爭議、認為處理是非法的、為了提起法律辯護等情形時，企業要提供給用戶限制處理權。

當發生這些情況時，用戶如果提出要求不讓企業繼續處理其個人數據時，企業必須接收，停止對其個人數據的處理，可以采取凍結賬號及切斷和其關聯的所有活動。

7. 數據攜帶權

數據主體要能夠或者企業應該提供將已經經過整理、普遍使用和機器可讀的數據無障礙地從一個數據控制者到另一個控制者。

就是說企業收集、處理的用戶數據要進行格式化整理，并且能夠支持格式化導出且機器可讀。

8. 數據主體反對權

當企業為了一些直接營銷的目的，而未經數據主體或用戶同意的情況下直接使用與其相關的用戶畫像時，數據主體或用戶有權反對。

無論采取管理手段或技術手段，在使用用戶畫像進行營銷之前都必須征得用戶同意，以免造成不必要的影響。

9. 合規認證

企業要進行相關的隱私認證，積極參與GDPR合規認證，選擇有資質的、規范的認證機構，而不是簡簡單單隨便找個“所謂的隱私認證機構”或自認證，通過之后將徽章資質放到官網上面，一定得是GDPR的認證且是權威認證機構。

10. 簽署協議

無論數據控制者或者數據處理者，在對個人數據進行處理時，必須簽訂保密協議。以及在涉及對用戶數據進行共享、傳輸和處理時與第三方或其他合作方進行合作時，必須簽訂相關的協議，明確責任，確保個人數據的保護得到應有的保證。

11. 數據處理安全

企業在對數據進行收集、處理等活動時應該采取如下安全措施保證個人數據安全。

• 數據脫敏技術：要對個人數據進行匿名化。
• 數據加密技術：要對個人數據在存儲和傳輸過程中進行加密。
• 數據完整性技術：要對個人數據在存儲和傳輸過程中的完整性進行校驗，避免被篡改。
• 數據訪問控制技術：要對個人數據設置合理的訪問控制策略，避免未授權訪問和不正當的訪問。
• 數據備份技術：要對個人數據進行備份，保證可用性。
• 數據恢復和響應技術：要對個人數據及時進行恢復和響應測試，確保恢復和響應的可行性。

12. 設立數據保護官

企業需要雇傭設立專門的數據隱私保護官員來監督GDPR的執行，以及對涉及的個人數據進行相關的安全防護。

以上，就是我結合GDPR相關條例和我工作當中實施執行的相關分享和心得總結，當然還有很多小的細節沒有一一列出來，大家可以以這個為參考繼續去詳細了解法規內容。以上純粹個人理解，如有不當之處，請留言或私信我，一起交流，一起提高。