GDPR 的全称是什么？

GDPR：通用数据保护条例

GDPR 的全称是通用数据保护条例（General Data Protection Regulation）。它由欧盟制定。经过四年的开发，并于 2016 年 4 月 14 日最终获得批准。它将取代其前身，即 1995 年通过的《数据保护指令 95/46/EC》。GDPR 的目的是更加全面，并进行了重大调整，以适应当今的网络安全状况。

总而言之，GDPR 是在早期指令的基础上进行了扩展。以下是一些重要的变化：

1. 地域范围扩大：无论公司位于何处，如果处理居住在欧盟或欧洲经济区的个人的个人数据，都必须遵守 GDPR。更具体地说，无论处理本身是否发生在欧盟/欧洲经济区，GDPR 都适用于这些地区的控制者（企业）和处理者（代表控制者处理数据的实体）。总部设在欧盟/欧洲经济区以外但在处理欧盟公民数据 Thus 的企业还必须在那里指定一名代表。当控制者或处理者不在欧盟/欧洲经济区但处理居住在该区域的数据主体时，GDPR 也将适用。
2. 对违规行为处以罚款：被认定违反 GDPR 的企业和组织将根据其违规的严重程度和类型受到处罚。违规行为（例如漏洞或数据泄露）将由监管机构进行评估，以确定将施加何种处罚。它采用分级罚款制度。
3. 更简洁清晰的同意：企业和组织不再被允许通过冗长难懂的条款和条件或复杂的表格来征求客户的同意。此类表格必须以易于理解且易于使用的纯英文格式提供。客户必须能够轻松撤销其同意，并且该同意必须明确表达。
4. 违规通知：在发生可能危及个人权利和自由的数据泄露事件时，组织和企业必须通知相关监管机构及其客户。此通知必须在发现泄露后 72 小时内发送。这也适用于必须通知其客户的数据处理者。
5. 访问权：个人将有权要求企业确认其数据是否正在被处理、在哪里处理以及为何处理。此外，企业应根据要求免费向客户提供其数据的副本。
6. 删除权：根据“被遗忘权”，数据主体可以要求公司删除其所有个人信息。此数据擦除权并非无条件，可能仅在有限的情况下使用：撤销同意；数据不再是原始处理目的所必需的。出于国家安全或公共利益的原因，此自由可能会受到限制。
7. 数据可移植性：数据主体现在将能够以标准且机器可读的格式接收并将其先前获得的（与他相关的）任何个人数据发送给另一家企业。
8. 设计和默认隐私：这种通常非正式使用的方法表明，任何使用个人数据的新服务或业务流程都必须考虑该数据的保护。当客户购买新商品或服务时，默认隐私意味着最严格的隐私设置将立即应用。用户不应手动更改隐私设置来选择最严格的设置。因此，GDPR 的一项重要规定是，数据安全作为核心设计组件成为任何系统设计从一开始就成为一项重要目标。
9. 数据保护官：数据保护官（DPO）是 GDPR 的关键组成部分。DPO 将在促进组织的 GDPR 合规性以及充当公司与监管机构、数据主体和其他方之间的联络人方面发挥关键作用。并非所有组织或企业都需要 DPO，这取决于一套标准。

GDPR 保护哪些数据？

任何希望收集和使用个人数据的企业或组织都必须获得用户许可。根据 GDPR 的定义，个人数据是“指向已识别或可识别的自然人”（也称为“数据主体”）的信息。

个人数据可以包含以下类型的信息：

1. 身份号码
2. 位置信息
3. 关于“该自然人的身体、生理、遗传、精神、经济、文化或社会身份”的任何详细信息
4. 通过技术程序获得的生物识别信息，例如指纹或面部图像
5. 有关某人健康或医疗的信息
6. 某人的种族或民族背景
7. 政治或宗教信仰
8. 工会成员身份

GDPR 原则

GDPR 概述了七项基本原则，这些原则构成了其关于个人数据合规性的法律和准则，包括：

1. 合法、公平和透明：必须向数据主体清楚说明数据的用途。
2. 目的限制：数据收集仅限于特定目的。
3. 数据最小化：数据收集仅限于给定处理所必需的数据。
4. 准确性：收集数据的公司必须确保数据准确并根据需要进行更新。当数据主体提出要求时，必须更新或删除数据。
5. 存储限制：数据收集不会持续超过必要时间。
6. 完整性和保密性：必须采取适当的保护措施，以保持个人信息的安全，防止丢失或非法使用。
7. 数据收集者有责任确保 GDPR 合规。

GDPR 的 5 项原则是特定数据主体权利的基础，包括：

1. 删除权：数据主体可以要求公司删除其存储的数据。如果公司能够成功证明有法律依据拒绝，则有权拒绝请求。
2. 访问权：数据主体可以查看公司持有的关于他们的数据。
3. 反对权：数据主体有权反对公司使用或处理其个人信息。如果公司能够满足处理主体数据的法律要求之一，则可以忽略拒绝；但是，必须通知主体并说明理由。
4. 更正权：数据主体应更正关于他们不准确的个人信息。
5. 可移植权：个人可以共享和访问公司持有的关于他们的个人信息。

谁受 GDPR 合规性的约束？

GDPR 适用于从任何欧盟成员国公民收集个人信息的任何企业。如果您是欧盟以外的企业，并且正在收集欧盟成员国公民的个人数据，您仍然必须遵守 GDPR。

无论个人数据如何获取，包括通过网站和其他在线工具以外的方式，这些要求都适用。

GDPR 规定了关于个人数据的三个不同职责：

1. 数据主体。个人信息的拥有者。
2. 数据控制者是决定收集什么个人数据以及如何使用这些数据的个人或企业。
3. 数据处理者。代表控制者处理个人数据的个人或企业。

不合规的罚款和处罚

数据泄露或不合规可能导致严厉的处罚。在确定适当的处罚时，会考虑违规的严重程度、违规的持续时间、受影响的数据主体的数量以及违规造成的损害程度。

1. 未能妥善记录个人数据的收集和处理可能导致罚款高达 1000 万欧元，或占年营业额的 2%；
2. 如果数据泄露是由于疏忽或故意造成的
3. 不遵守监管机构发布的指令，可能导致罚款高达 2000 万欧元，或占总收入的 4%。

GDPR 和第三方数据

在将个人数据共享到欧盟以外的地区以及关于从数据主体以外的来源获取的个人数据方面，存在一些规则。如果个人信息是从数据主体以外的来源获取的，数据控制者应告知数据主体这些来源的身份以及将使用个人信息的目的。

关于英国遵守 GDPR 的影响，一些批评者对该国脱离欧盟表示担忧。英国已通过《2018 年数据保护法》，取代了《1998 年数据保护法》。尽管新法律严格遵循了 GDPR 中概述的规定，但与欧盟成员国的客户或其他组织开展业务的英国企业仍需遵守 GDPR 的规定。