2018年，欧盟发布实施了GDPR，一时间引起了轩然大波，先后一些科技巨头公司纷纷被控诉举报违反GDPR，遭到罚款处罚。本文主要是结合条例和日常工作，做一个简单的分析总结。

01

什么是GDPR

GDPR，英文全称：General Data Protection Regulation，中文翻译为：通用数据保护条例。是欧洲联盟的条例法规，其前身是欧盟在1995年制定的《计算机数据保护法》。

内容就是针对近年来用户隐私被泄露造成的一系列问题，要求对欧盟所有成员国个人信息进行收集、存储、处理及转移等活动时，要按照要求，采取技术和管理手段对个人敏感隐私数据进行保护。

02

适用范围

条例原文：

1.本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

2.本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：

(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；

(b)对发生在欧洲范围内的数据主体的活动进行监控。

条例本身比较不好理解，总结一下就两点：1.欧盟成员国的相关企业和组织在对个人数据进行处理时要遵守该条例。2.不属于欧盟成员国的企业组织（比如咱们中国的企业）只要提供的商品或服务以及相关项目涉及到了处理欧盟成员国的公民个人数据就也必须遵守该条例

03

违规处罚

条例规定，对违反法规的企业、单位或组织的罚金最高可达2000万欧元（约合1.5亿元人民币）或者其上一年全球总营业额4%的金额罚金，两者取其最高。

是的，你没听错，也没有看错，如果违反相关规定就是要罚这么多，这么重的处罚对一个公司或单位必将是重磅的一击，一般的公司或单位可能根本经受不了这么重的处罚，大公司的心肝也是颤抖的。

在GDPR刚实施后不久，一些国际巨头公司如Facebook（脸书）和Google（谷歌）等遭到了举报和投诉，成为GDPR法案的第一批被告。一些公司甚至直接关闭了针对欧盟用户的业务。

04

国内动作

在有了Google这样的大公司被罚的先例后，国内企业也加快了对GDPR学习和执行的步伐，紧锣密鼓地进行着，生怕也上了被罚的名单。同时，国内近几年不断爆出用户个人隐私信息被泄露的消息，大量的个人信息流经黑市，也因此出现了一系列冒名顶替、电信诈骗等刑事案件。可以预判，国内网络安全监管机构很有可能效仿欧盟，照搬或者自己出台相关法规，加强对公民个人信息的保护。

05

条例重点分析

那么，对于企业或者说企业的安全负责人，如何来实施相关措施来保证符合GDPR的相关规定呢？在这里，我分享下我个人的见解。

（01）

数据处理原则

要求企业在进行数据收集、存储和处理时要提供收集的目的用途、存储的时间、收集的方式、收集的数据类型、存储和处理数据的安全技术保障措施、数据操作审批权限、取得用户同意、签订契约以及针对儿童的相关条件等等。

企业在进行用户数据的相关活动中必须要了解上述内容要求，并作出相关承诺，在收集之前就要提供类似用户隐私声明一类的内容，同时明确自己的责任和义务。

（02）

禁止的特殊类型数据

除GDPR法规第9条、第10条例外规定的情形，其他情况下应禁止处理这些特殊类型的数据，包括：种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、基因数据、为了特定识别自然人的生物性识别数据、和自然人健康、个人性生活或性取向相关的数据等以及涉及犯罪定罪与违法相关的个人数据。

企业在进行用户数据处理时一定要明确这些禁止的特殊类型数据，除非符合法规规定的例外情形，否则千万不要试图去收集和处理这些数据，以免受到影响。

（03）

数据主体访问权

数据主体应该具有或者说企业应该提供给数据主体访问个人信息的处理目的、数据类型、数据接收者和接收者的类型、存储的期限和依据标准、数据来源信息、数据转移保障措施等。

不管是系统提供的隐私说明或是签订的合同必须能让数据主体或用户能够随时访问到这些信息，只有这样才能保障数据主体的访问权。

（04）

数据主体更证权

数据主体要能够或者说企业应该提供给数据主体对其个人数据更正和完善的权利。

当个人信息被收集、存储和处理时，要提供相关接口和入口让数据主体或用户随时能够对自己的个人数据进行修改，比如常见的用户个人中心，可以对个人的资料进行修改更新。

（05）

数据主体擦除权（被遗忘权）

除条例第17条21（3）规定的情形，企业要提供给数据主体或用户擦除其个人数据的权利。

大部分企业提供的应用或服务不会让数据主体或用户直接删除个人数据的，基于此，可以提供接收数据主体擦除请求的通道，帮助用户擦除一些不再必要的数据。

（06）

数据主体限制处理权

当数据主体对个人数据的准确性有争议、认为处理是非法的、为了提起法律辩护等情形时，企业要提供给用户限制处理权。

当发生这些情况时，用户如果提出要求不让企业继续处理其个人数据时，企业必须接收，停止对其个人数据的处理，可以采取冻结账号及切断和其关联的所有活动。

（07）

数据携带权

数据主体要能够或者企业应该提供将已经经过整理、普遍使用和机器可读的数据无障碍地从一个数据控制者到另一个控制者。

就是说企业收集、处理的用户数据要进行格式化整理，并且能够支持格式化导出且机器可读。

（08）

数据主体反对权

当企业为了一些直接营销的目的，而未经数据主体或用户同意的情况下直接使用与其相关的用户画像时，数据主体或用户有权反对。

无论采取管理手段或技术手段，在使用用户画像进行营销之前都必须征得用户同意，以免造成不必要的影响。

（09）

合规认证

企业要进行相关的隐私认证，积极参与GDPR合规认证，选择有资质的、规范的认证机构，而不是简简单单随便找个“所谓的隐私认证机构”或自认证，通过之后将徽章资质放到官网上面，一定得是GDPR的认证且是权威认证机构。

（10）

签署协议

无论数据控制者或者数据处理者，在对个人数据进行处理时，必须签订保密协议。以及在涉及对用户数据进行共享、传输和处理时与第三方或其他合作方进行合作时，必须签订相关的协议，明确责任，确保个人数据的保护得到应有的保证。

（11）

数据处理安全

企业在对数据进行收集、处理等活动时应该采取如下安全措施保证个人数据安全。

数据脱敏技术：要对个人数据进行匿名化。

数据加密技术：要对个人数据在存储和传输过程中进行加密。

数据完整性技术：要对个人数据在存储和传输过程中的完整性进行校验，避免被篡改。

数据访问控制技术：要对个人数据设置合理的访问控制策略，避免未授权访问和不正当的访问。

数据备份技术：要对个人数据进行备份，保证可用性。

数据恢复和响应技术：要对个人数据及时进行恢复和响应测试，确保恢复和响应的可行性。

（12）

设立数据保护官

企业需要雇佣设立专门的数据隐私保护官员来监督GDPR的执行，以及对涉及的个人数据进行相关的安全防护。

---

以上，就是我结合GDPR相关条例和我工作当中实施执行的相关分享和心得总结，当然还有很多小的细节没有一一列出来，大家可以以这个为参考继续去详细了解法规内容。以上纯粹个人理解，如有不当之处，请留言或私信我，一起交流，一起提高。

让我们一起做有意义的事情！

扫描下方二维码，即可关注：

正经胡闹，一本正经的“胡说八道”！

GDPR is coming!相关推荐

1. 所有企业要注意了，你随时可能掉进GDPR这个坑里！

   两年的<通用数据保护条例>GDPR的过渡期结束,这项在普通人眼里感觉枯燥的欧盟法案2018年5月25日正式生效.但是这项法案将从互联网企业开始逐步影响整个全球行业变革. 为什么欧盟的法案影 ...

2. GDPR：我们将如何对待你的数据？

   "继续保持冷静"似乎是通用数据保护条例(GDPR)这个欧洲范围内的新立法一个拟合的主题,其目的是使个人对其个人信息有更大的控制能力.但是,这对于重视客户数据的组织来说,这仅仅是个案 ...

3. 关于GDPR的六大理解

   通用数据保护条例(GDPR)于2018年5月生效,根据法律条文,英国几乎所有企业都需要遵守该规定.然而,人们对法规本身及其对组织的意义仍存在一些误解.这可能会导致一些错误的决定. 以下是关于GDPR的 ...

4. 神策数据全面支持出海客户合规 GDPR！

   5 月 25 日,欧盟通用数据保护条例要求(GDPR)正式生效,GDPR 被誉为有史以来规模最大,也是最具惩罚性的隐私法之一.GDPR 对于信息治理和数据隐私保护的认知更加深入,相关模型和规定更为明确 ...

5. 第四范式先知（Sage）率先通过欧盟GDPR认证

   近日,第四范式先知(Sage)企业级AI平台已经完成PrivacySeal EU认证工作程序,率先通过欧盟GDPR认证,成为国内第一款通过该认证的AI平台产品. 数据隐私保护一直是大众和企业用户关心的 ...

6. GDPR到底是如何影响机器学习的？

   摘要: GDPR时代来临,你的机器学习模型还能训练吗? 一般数据保护条例(GDPR)对数据科学产生了很大的影响.现在GDPR有99条正文条款和173篇声明(Recital),长而复杂,但是随着时间的推 ...

7. netflix linux_Netflix如何处理故障转移，Anaconda，Linux命令行技巧，Python日期时间库，GDPR，微服务等

   netflix linux 上周,Amjith Ramanujam的页面浏览量超过12,000, 关于Netflix如何在7分钟内完成故障转移的文章是我们失控的热门. 您是否有关于您的组织如何确保最大 ...

8. 是什么让美国网站拒绝欧洲访问？- GDPR 带来的数据安全思考

   当我们置身于网络世界之中,一切的行为都将会被记录下来,互联网企业还会通过『数据画像』让用户具象化.真实化,事实上,在数据面前,我们每个人都只是穿着皇帝的新衣. 那么如何面对这些让人细思极恐的数据世界? ...

9. gdpr合规性测试_使用生产数据在GDPR后世界进行测试

   gdpr合规性测试 To SQL Server DBAs who are the shepherds of data in organizations, key GDPR questions, in ...

10. rls数据预测_SQL Server数据安全功能RLS（行级安全性）和GDPR

    rls数据预测 Of late, there's been a lot of noise around the term, GDPR. Chances are, some of us even had ...

最新文章

1. 论机器学习领域的内卷：不读PhD，我配不配找工作？
2. 省选前的计划（日更，然而你们天天吊打我）
3. Charles 从入门到精通
4. SAP UI5 应用开发教程之一：Hello World
5. 局域网中另外一台服务器的内存_局域网共享打印机，但另外一台电脑却看不到，可能是这3个原因...
6. 万年历c语言设计报告,C语言实训题目设计报告 万年历
7. jupyter 无法提示代码，报错TypeError: __init__() got an unexpected keyword argument ‘column‘
8. 矩池云使用VNC Viewer远程连接GPU主机，图形用户界面操作
9. easyExcel实现excel文件上传和下载
10. 在win10下，xilinx公司FPGA下载器上，指示灯不亮，设备管理器中驱动显示正常，下载器无法识别到期间
11. win10家庭版计算机配置在哪里,Windows10家庭版没有组策略的解决方法
12. 微信开发小程序云开发云存储中文件下载地址实时读取文件内容实时下载地址解读
13. 39 个奇葩代码注释，看完笑哭了
14. 学会这几项windows操作，轻松玩转自己的个人电脑
15. excel 导入导出使用poi自定义注解
16. VScode+keil插件-取代keil开发不要太爽了
17. nas系统存储服务器,企业搭建NAS存储服务器的三部曲，你都清楚嘛？
18. CSU2104: Extra Judicial Operation-Tarjan边双联通分量缩点两种方法-难受的bug
19. 推荐系统的评价指标总结
20. 51单片机的新手入门前所有疑问整理

热门文章

1. 局域网助手_爱思助手“正品配件检测”功能使用方法
2. Shift键变成大小写切换怎么换回Caps lock键
3. mysql 题目练习
4. android 电池检测软件,电池寿命检测软件下载-电池寿命检测 安卓版v2.7.0-PC6安卓网...
5. UML图之【用例图、活动图、时序图】
6. hp-gen8安装esxi6.7找不到raid硬盘填坑
7. “该设备正在使用中。请关闭可能使用该设备的所有程序或窗口 然后重试” 解决步骤
8. matlab识别中国象棋棋盘,一种基于图像处理的中国象棋识别系统及方法与流程
9. 编程语言ASCII码对照表
10. 【C++游戏引擎Easy2D】Random随机数，不同于Rand，做游戏必备