GDPR通用数据保护条例

标准介绍

《通用数据保护条例》使所有能直接或间接识别的种族、健康状况、政治倾向、性取向等敏感信息，在未经当事人授权的情况下，企业不得使用。该条例的适用范围包括任何为欧盟地区公民及住民提供服务的企业，只要存在收集、持有或处理欧盟国家公民及住民的数据，即便公司不在欧盟地区，也要受该条例的约束。违者最高将以 2000 万欧元或企业全球年营业额的 4% 作为罚金。

《通用数据保护条例》是在欧盟法律对所有欧盟个人关于资料保护和隐私的规范，涉及到欧洲境外的个人资料出口。该条例主要目标为取回公民以及住民对个人资料的控制权，以及为国际商务而简化在欧盟内的统一规范。

适用范围

第一，GDPR适用于在欧盟境内设有业务机构（establishment）的组织，只要这些组织在业务机构在欧盟境内的活动中处理个人数据（而不论此类处理行为是否实际发生在欧盟境内）。

第二，如某一组织虽不在欧盟境内设立业务机构，但却处理欧盟境内个人的个人数据，并且此类处理行为与向欧盟境内个人提供商品或服务相关，无论该等商品或服务是否收费，则也应当适用GDPR。

第三，GDPR适用于非欧盟组织处理欧盟境内个人的个人数据，只要此类处理行为涉及对这些个人的行为进行监控，且该处理行为发生在欧盟。

基本内容

2018年5月25日，欧洲联盟出台了《通用数据保护条例》。

1.对违法企业的罚金最高可达2000万欧元（约合1.5亿元人民币）或者其全球营业额的4%，以高者为准。

2.网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录，并获得用户的同意，否则按“未告知记录用户行为”作违法处理。

3.企业不能再使用模糊、难以理解的语言，或冗长的隐私政策来从用户处获取数据使用许可。

4.明文规定了用户的“被遗忘权”（right to be forgotten），即用户个人可以要求责任方删除关于自己的数据记录。

GDPR对企业有什么影响？

首先，企业在收集处理用户信息时需要实现征得同意，而且隐私条款需要以清晰、简洁、直白的语言或其他形式向用户说明。

其次，GDPR对企业违法行为的惩处力度非常大，行为轻微的要罚款1000万欧元或全年营收的2%（两者取最高值），行为严重的则要罚款2000万欧元或全年营收的4%（两者取最高值）。

此外，按照GDPR的规定，出现个人数据泄露后，企业要在72小时内向监管部门报告，企业还要配备熟悉GDPR条款的数据保护专员，和监管部门保持沟通。这项规定出台的直接原因应该是此前的亚马逊、Facebook隐私泄露事件。

总体而言，GDPR是欧盟给企业打造的一顶严厉的紧箍咒，在保护个人信息安全方面，它们将会面对空前的压力。