是什么？

一般数据保护条例（General Data Protection Regulation）是一项全面的法律，赋予了欧盟居民对个人数据的更多控制权，并试图澄清在线服务商在收集、利用欧洲用户个人数据的规则和责任。它取代了1995年通过的欧盟关于数据保护的法律，并对现有的公约做出了一些重大改变。

该规定扩大了公司必须考虑到的个人数据范围，并要求他们密切跟踪他们存储的欧盟居民的数据。如果欧盟的某个人想要一个公司删除他或她的数据，发送数据副本，或者更正数据中的错误，该公司必须遵守。

GDPR甚至比这还要更进一步。欧盟居民现在可以反对公司使用他们数据的具体方式。但只要公司停止将这些信息用于特定目的，他们就不介意这家公司保留这些数据。

更重要的是，GDPR要求公司需要在数据泄露的72小时内通知用户——目前还很少有公司做到这点。例如，在美国个人信用评估机构Equifax的泄露事件中，美国和其他地区的数百万人的个人信息暴露无遗，该公司花了数周时间来阻止攻击，然后在通知公众之前制定好如何处理损失的计划。

新规源由

(1)为欧盟公民提供更多使用自己的个人资料的权力

(2)加强数字服务提供者与他们所服务的人之间的信任

(3)为企业提供明确的法律框架，通过在欧盟单一市场上制定统一的法律来消除任何区域差异。

影响

《通用数据保护条例》(GDPR) 是迄今为止覆盖面最广的全球性数据隐私保护法规，将于 2018 年 5 月 25 日生效。

任何处理欧洲公民个人数据的组织都必须遵守该条例。

不合规的企业可能面临高达 2000 万欧元或 4% 年营业额的罚款，以较高者为准。

适用对象

如果在欧盟没有实体存在的公司希望为欧盟居民提供商品和服务，那么适用于GDPR。 这包括使用欧盟语言或货币，为欧盟居民量身定制产品，或在欧盟范围内积极营销。 “监控”定义为在线跟踪人员创建个人资料，或分析和预测个人偏好，行为模式或态度。

-GDPR的误解-

对GDPR最大的误读就是，不在欧洲的公司不必担心GDPR。这不对。 GDPR对欧盟公民的个人资料拥有管辖权，无论在哪里（进行数据）处理。

适用地域

1. 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。

2. 本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为：

(a) 发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；

(b) 是对数据主体发生在欧盟内的行为进行的监控的。

3.本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。

消费者受益

更多隐私：企业被要求只能收集和处理基于特定目的所需的个人数据，并采取措施保护个人数据。

个人数据更安全：随着对收集和处理个人数据实施更严格的规则，数据泄露事件发生的可能性会更少，例如最近发生的Facebook事件。

更好地控制他们的购物体验：消费者可以事先决定是否要接收来自企业的营销电子邮件，或者他们是否允许网站追踪他们的行为用于分析和再营销。

企业如何应对GDPR

1. 内容准备：企业GDPR说明文本清晰明确

• 企业内部的“服务协议”和“隐私条款”需要针对 GDPR 做相应调整，制定适合企业自身情况的规则说明文档。

• 清晰明确表明企业将收集的数据、使用及用户享有的许可或撤销许可权益。

• 保证多语言版本，不可利用语言不同等，模糊规定而获取用户的许可。

2. 新用户：表单入口明确权益告知

• 在订阅、注册等全部数据采集入口设置明显告知用户窗口。

• 位置醒目、内容明确清晰。

• 不可存在自动勾选强制同意行为，获得用户主观许可后才可使用

3. 新用户：表单入口明确权益告知。

• 针对全部已有会员用户发送申请许可邮件，未授权用户三天后继续发送，尽快获取授权。（邮件模板可直接选用后台模板）

• 用户点击邮件内的 "DO IT NOW" 按钮，跳转到我们在 "GDPR" 功能模块中生成的授权链接。

4. 已有会员：用户自主完成授权

• 授权页面默认不勾选用户授权的内容，需要用户自己进行勾选然后点击“授权”

• GDPR 正式生效后，可在邮件发送界面的“排除组”那里进行勾选，对未获得授权的用户不再进行发送。

5. 已有会员：允许随时撤销许可或修改授权

• 针对一直未对是否授权做明确回应用户，以及已许可用户，在后期每封邮件推送中，均需设置明显的撤销许可标识。

• 允许用户随时取消授权行为。

• 允许用户随时修改个人信息内容。

付费（或社交媒体广告）要怎么做

根据GDPR，如果您想使用您的客户数据或追踪他们行为用于广告目的，您必须获得这样做的法律依据。也就是说，您必须获得客户的明确同意。

重点

您必须给予您的客户一个自由和真实的选择来接受或拒绝（并允许轻松撤回他们的同意）。

您必须说明将收集客户的哪些数据以及如何使用这些数据。同意的请求必须使用清晰和简单的语言，方便客户理解。用户没主动反应也不构成同意。您的客户必须采取行动。 （例如，不允许预先勾选同意方框。）

由于获得同意的要求非常严格，所以最好直接参阅相关规定并与您的法律顾问联系。多种社交媒体广告特征，包括使用您上传的客户数据，收集个人数据或在您的网站上的追踪用户行为。如果您有涉及到上述行为，那么进一步研究应采取的行动将非常有用。

发展

1981年，欧洲议会就通过了有关个人数据保护的《保护自动化处理个人数据公约》，这是世界上首个有约束力的有关规范数据使用、保护个人隐私、促进数据交流的国际公约。

1995年，欧洲议会和欧盟理事会通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（简称《个人数据保护指令》）。

2016年4月欧洲议会和欧洲理事会通过GDPR，取代了1995年数据保护指令的条例，并将于 2018 年 5 月 25 日生效。