GDPR中的三大主體：使用者，資料所有者，以及資料傳輸者

不知道發生了神馬，一夜之間之前随筆寫的GDPR介紹文字竟然多出來了1000+的閱讀量，不知道是CSDN壞掉了，還是這個topic突然火了。So，總之，還是繼續寫點什麼吧

GDPR法規主要面向了三個主體，使用者（Individual），資料所有者（Data Controller）以及資料傳輸者（Data Processor）。

首先對于使用者，GDPR在法律層面上賦予了其很多權利，主要包括：

• 知情權：主要指資料所有者（Data Controller）必須明确告知使用者其收集個人資訊的原因，用途，以及儲存時效。如果個人資訊還将分享給第三方，必須明确通知使用者相關情況并讓其決定是否同意向第三方發送資料。（license agreement一定要是opt-out的，不能使opt-in哦~）。
• 通路和更正權：使用者有權通路其提供的個人資訊，并進行修改。當使用者遞交通路申請時（可以是口頭通知，也可以通過寫信的方式），資料所有者必須在一個月内對使用者申請作出回報，并且在絕大多數情況下不能對該通路申請收費。
• 删除權：又名“the right to be forgotten”。即使用者有權要求資料所有者删除其之前提供的個人資訊。特别需要注意，如果使用者的資訊已經被資料所有者透露給第三方，或者在網際網路進行了公開釋出，那麼當使用者行使删除權時，資料所有者必須通知所有擁有該使用者資料的第三方一并删除，包括網際網路上的相應連接配接以及資料拷貝等。

相對應的，GDPR對于使用者有多少保護權限，就對資料所有者和資料傳輸者提出了多少要求。在GDPR概念下，資料所有者指的是定義收集個人資訊需求的組織或個人。資料傳輸者指的是代表資料所有者去收集個人資訊的組織或個人。

舉個例子，律師事務所會收集很多其當事人的個人資料并儲存在微軟Office 365中的SharePoint站點當中。這裡面律師事務所就是資料所有者，而律師事務所和微軟共同成為了資料傳輸者。（因為當事人的資訊是律師收集整理記錄的，微軟主要是負責資料存儲，兩者合在一起才組成了完整的資料傳輸者。）

圖檔來自網絡，侵，删。

對于資料所有者，其主要責任包括必須證明其是在GDPR規定範圍内進行個人資訊收集的，即合法，真實，透明，精準，最小限度的做了收集個人資訊的工作。同時還需證明其盡了最大努力的對收集到的個人資訊進行了保護，包括制定了嚴格的資料管理方案，資料保護計劃，以及危機應對辦法等。

對于資料傳輸者來說，其必須證明是在資料所有者規定的範圍能進資料的收集，傳輸，存儲以及管理等要求。必須按照資料所有者的要求，證明其盡到了資料保護責任。

總的來說，對于GDPR的合規，絕不是IT部門一個機關的事。相反，管理層制定的各種政策才是保證合規的關鍵所在。如果作為資料所有者的管理層在收集個人資訊的政策上就已違規，那麼無論IT部門如何努力，也是無法達到GDPR相關要求的。