什么是GDPR

GDPR的全称是General Data Protection Regulation(通用数据保护条例),是由欧盟推动的数据隐私保护法案,于May 25,2018正式生效。

作为欧盟“史上*严”的数据保护法规,备受关注的《通用数据保护条例》(General Data Protection Regulation,GDPR)于2018年5月25日正式生效,相关组织机构需于该生效日起遵照新规行事。与现行《欧洲数据保护指令》(95/46/EC)相比,GDPR适用的广度和深度均大大加强。一方面,GDPR适用的地域范围不仅限于欧盟境内,其域外效力延及业务涉及欧盟境内个人的境外组织机构;另一方面,GDPR在全面加强个人信息保护、强调用户知情权、访问权和被遗忘权的同时,对相关组织机构提出更为严格的合规要求,并以最高罚没其全球营业额的4%或2千万欧元(以金额较高者为准)为条例的施行保驾护航。

立即咨询 >

GDPR的作用和意义

GDPR是欧盟为解决互联网时代用户数据的收集、使用问题而制定的。

此条例可以把直接或间接识别到的某一个个体的任何信息,都视为个人信息,包括了从姓名、照片、身份证号、邮箱地址、银行账户、健康记录到网络用户名、位置定位、社交媒体发布的信息、计算机IP地址等各个方面,堪称目前世界范围内最宽泛的个人信息定义。

作为一部用来保护欧盟公民个人隐私和数据安全的新法案,其颁布使得欧盟对于数据保护的监管达到了前所未有的高度。

简单来说,GDPR生效后,对个人数据的隐私和保护将更加的透明和具有操作性。

立即咨询 >

GDPR对中国有什么影响

绝大部分中国企业表示他们的公司对GDPR的要求还没有充分的认识。受到GDPR影响比较大的会是那些需要进行大量的数据收集和控制的行业,例如金融行业、生命科学尤其是健康类的行业,还有交通、零售、电商等等。GDPR的另外一个特点是它第一次提出“数据处理者”同样在GDPR的管辖范围之内这样一个概念。“数据处理者”指的是企业有共享数据的云平台,或者HR进行人力资源数据处理的平台等。

以BAT为代表的中国互联网企业大都是全球性企业,越来越多的中国企业也在进军欧洲,这意味着与欧洲企业有业务往来的中国企业,也要给自己安上一个“紧箍咒”了。

立即咨询 >

疑难解答

Q:

我不在欧洲,我需要关注GDPR吗?

A:

首要原则——只要你搜集和处理欧盟成员国的用户的信息,就需要遵守GDPR。

我是中国的开发者,我需要遵守GDPR吗? – 你的app有欧洲用户吗?如果有,请记住首要原则。

我是美国的开发者,我需要遵守GDPR吗?-你的app有欧洲用户吗?如果有,请记住首要原则。

我的app不在欧洲发布,我需要遵守GDPR吗?- 你的app有欧洲用户吗?如果没有,不需要遵守。

我看其他竞争对手也没遵守GDPR,我需要遵守吗?- 你的app有欧洲用户吗?如果有,请记住首要原则。

Q:

作为开发者,我需要知道什么?

A:

必须明确询问用户,是否允许同意搜集他们的数据

明确的意思说:必须以清晰的方式询问用户,而不能以任何方式默认用户授予开发者数据使用许可权

如下的询问是明确的(符合GDPR要求):

点击下面的按钮,表示您同意xxx搜集你的数据并用来推荐相关的产品/广告/etc/;

点击下面的按钮,表示您不同意xxx搜集你的数据;

我不同意搜集我的数据。

如下的询问是不明确的(违反GDPR要求):

以复选框的形式呈现,默认勾选『同意搜集数据』;

请阅读下面的关于GDPR的邮件(然后要求用户勾选『我同意上述的条款』。

Q:

GDPR对我的产品有什么影响?

A:

因为GDPR使得欧盟的用户对个人数据拥有更明确的处理权限,因此,在产品面上的确造成了一些影响。

比如:数字广告行业,如果用户不同意搜集个人数据,将无法定位用户,因此也将无法为用户提供个性化的广告。

电商,同理,如果用户不同意搜集数据,也将无法为用户推荐个性化的商品。比如:移动游戏,无法向那些『不同意搜集数据』的用户进行邮件的推广,等等。

不过,GDPR是面向所有在欧盟进行运营的开发者的,因此,所有人都受到同样的影响。

Q:

违反GDPR的后果是什么?

A:

违反GDPR,将被除以2000万欧元的罚款,或者公司年收入的4%,两者之中,哪个金额大,以哪个作为处罚的金额。

Q:

作为产品经理,需要做什么?

A:

详细检查并确认你的产品是否在欧盟运营,是否有欧盟用户。

明确获得用户的许可来搜集数据。通常,app或者游戏开发者可以通过弹窗的方式,来明确的获得用户是否许可的信息

将自己产品中的用户数据进行归类,比如:PII、non PII、公开信息、非公开信息、保密数据等等,以便能够针对PII 信息做出相应的设计。

处理PII信息。因为每一个公司处理PII的方法并不相同,这里就不展开了。

定义数据的存储周期,比如:12个月、24个月等等

升级你的产品,使之成为GDPR合规产品。

Q:

中国企业列举一些切实可行的措施来应对GDPR的要求?

A:

许多中国企业在这个法律出台之后就在积极地跟一些专业的咨询机构、律师事务所接洽,去找出企业从流程、控制方面有哪些薄弱之处,有针对性地开始做一些整改。对于一家拥有大量数据的企业,可以看它在整个数据治理过程中,有什么薄弱环节可能将敏感数据泄露(例如USB端口、邮件等)。通过这样比较系统性的评估,可以做到及时填补一些存在的漏洞。

立即咨询 >

培训的目标

对GDPR的完整介绍,包括其
关键实施和合规活动

理解GDPR发布的原因
和适用范围

能够识别在处理个人数据时
的相关各方

理解关键原则和条件

理解对于所在组织的影
响、风险和机会

知道如何行动以合规,建立注重
个人信息保护的文化

立即咨询 >

培训对象

受到GDPR影响的组织和企业(包括涉及任何海外信息资源)

涉及欧盟业务的企业业务、法务和IT人士

立即咨询 >

GDPR目录

第一章一般规定(第1-4条)

第1条 主题和目标

第3条 领土范围

第2条 物质范围

第4条 定义

第三章数据主体的权利(第12-23条)

第一节 透明度和方式

第12条 行使数据当事人权利的透明信息,通讯和方式

第三节 整改

第16条 纠正权

第17条 删除权(“被遗忘的权利”)

第18条 限制加工权

第19条 关于纠正或删除个人数据或限制处理的通知义务

第20条 数据携带权

第二节 信息和对个人数据的访问

第13条 从资料当事人收集个人资料时应提供的信息

第14条 未从数据主体获得个人数据的情况下应提供的信息

第15条 数据主体的访问权

第四节 反对权和自动个人决策权

第21条 异议权

第22条 包括配置文件在内的自动化个人决策

第五节限制

第23条 限制

第五章个人数据向第三国或国际组织的转移(第44-50条)

第44条 转让总原则

第46条 转让应受适当保障

第48条 未经联盟法律授权的转移或披露

第50条 保护个人数据的国际合作

第45条 根据充分性决定进行的转让

第47条 具有约束力的公司规则

第49条 特殊情况的减损

第七章合作与一致性(第60-76条)

第一节 合作

第60条 牵头监管机构与其他有关监管部门之间的合作

第61条 互助

第62条 监管机构的联合经营

第二节 一致性

第63条一致性机制

第64条董事会意见

第65条董事会解决争议

第66条紧急程序

第67条信息交流

第三节 欧洲数据保护委员会

第68条 欧洲数据保护委员会

第69条 独立

第70条 董事会的任务

第71条 报告

第72条 程序

第73条 主席

第74条 主席的任务

第75条 秘书处

第76条 保密

第九章与具体加工情况有关的规定(第85-91条)

第85条 言论和信息的处理及自由

第87条 国家身份证号码的处理

第89条 与出于公共利益,科学研究或历史研究目的或统计目的的存档目的而进行的处理有关的保障和减损

第91条 教会和宗教团体的现行数据保护规则

第86条 处理和公众获取正式文件

第88条 就业方面的加工

第90条 保密义务

第十一章最终条款(第94-99条)

第94条 指令95/46 / EC的废除

第96条 与先前订立的协议的关系

第98条 联盟其他有关数据保护的法律行为的审查

第95条 与指令2002/58 / EC的关系

第97条 委员会报告

第99条 生效和适用

第二章原则(第5-11条)

第5条 与处理个人数据有关的原则

第7条 同意条件

第9条 处理特殊类别的个人数据

第11条 不需要身份证明的处理

第6条 加工合法性

第8条 关于信息社会服务的适用于儿童同意的条件

第10条 处理与刑事定罪和犯罪有关的个人数据

第四章控制器和处理器(第24-43条)

第一节 一般义务

第24条 控制人的责任

第25条 通过设计和默认方式进行数据保护

第26条 共同控制人

第27条 不在联盟中设立的控制人或处理人的代表

第28条 处理器

第29条 在控制者或加工者的授权下进行加工

第30条 加工活动记录

第31条 与监管机构的合作

第二节 个人资料的安全

第32条 加工的安全性

第33条 个人数据泄露通知监管机构

第34条 向数据主体传达个人数据泄露

第三节 数据保护影响评估和事前咨询

第35条 数据保护影响评估

第36条 事前协商

第四节 数据保护官

第37条 指定数据保护官

第38条 数据保护专员的职务

第39条 数据保护人员的任务

第五节 行为守则和认证

第40条 行为守则

第41条 监督已批准的行为守则

第42条 认证

第43条 认证机构

第六章独立监管机构(第51-59条)

第一节 独立身份

第51条 监督机关

第52条 独立

第53条 监管机构成员的一般条件

第54条 建立监督机构的规则

第二节 能力,任务和权力

第55条 能力

第56条 牵头监管机构的权限

第57条 任务

第58条 权力

第59条 活动报告

第八章救济,责任和处罚(第77-84条)

第77条 向监督机关投诉的权利

第79条 对控制人或处理人享有有效司法补救的权利

第81条 中止诉讼

第83条 施加行政罚款的一般条件

第78条 对监督机构采取有效司法救济的权利

第80条 数据主体的代表

第82条 赔偿权和赔偿责任

第84条 处罚

第十章委托行为与执行行为(第92-93条)

第92条 代表团的行使

第93条 委员会程序

立即咨询 >