歐盟《一般資料保護條例》（GDPR）你需要知道的

Update: 2018-06-28，美國加州全票通過類似的隐私保護法案 AB375，規定2020年起，掌握個人資訊超過5萬人的企業必須允許客戶檢視自己的資訊和删除，以及要求不得将資料出售給第三方。

歐盟《一般資料保護條例》（General Data Protection Regulation，GDPR）将于 2018 年 5 月 25 日起正式施行，該法案雖然旨在加強對歐盟境内相關居民和個體資訊和隐私資料的保護，但從整個資訊産業來看，是一次曆史性的突破。歐洲再次走到了世界的前列。

從此，個人資料（在部分地區）的保護将有法可依。

發展過程

2012 年 1 月首次提出法案草案，先後經過 2014 年和 2015 年兩個修訂的版本，于 2016 年 4 月 14 日經歐洲議會投票通過。正式法規包括 91 個條文，共 204 頁。

而 2012 年，正是網際網路已經遍及全球，資料載體由桌面網際網路往移動網際網路演變的時期。

規定要點

相對于歐洲在 1995 年推出的《歐洲資料保護指導》(EU Data Protection Directive,95/46/EC)，GDPR 對于資訊治理和資料隐私保護的認知更加深入，相關模型和規定更為明确和嚴格。在律法上，從指導演化為條例，提供了更強的執行依據。

核心的變更 主要包括：

• 擴大了實施範圍（Increased Territorial Scope）：不光注冊在歐洲本土的企業，所有涉及在歐洲進行個人資料處理的企業都屬于管理範圍；
• 加大懲罰力度（Penalties）：一般處罰額度為企業在全球年營業額的 2% 或一千萬歐元中的較大者，嚴重者可以處以 4% 或兩千萬歐元中的較大者；
• 授權許可（Consent）：企業不能再像現在這樣隻提供冗長、難懂、無法拒絕的授權許可，而需要簡潔、明晰，并且需要提供合理的拒絕選項；
• 資料權利：在新的 Subject、Controller、Processors 資料模型下，規定了通路（Access）、遺忘（Forgotten）、可轉移（Portability）、預設隐私保護（Privacy by Design）等權利。
• 洩露通知（Breach Notification）：一旦發生資料洩露，企業必須在 72 小時内通知監管部門和使用者。
• 資料保護官（Data Protection Officer，DPO）：企業必須設立資料保護官崗位，監管和規範資料處理活動。

評價

随着資訊技術特别網際網路的飛速發展，資料和隐私保護已經是全球範圍内的嚴重問題，給國家安全和居民安全都帶來了巨大的風險。世界各國也都在積極探讨如何應對。歐洲在這方面一直走在前列，作為第一個落地的法律意義上的條例，GDPR 極具參考價值。大膽預測，GDPR 作為一個新的資訊保護時代的曆史性時刻，很可能将改變現有的資訊行業的格局。

GDPR 側重于對個體的資訊和隐私進行保護，将扭轉目前企業無限度控制個體資料的不對稱局面，但這并不意味着對企業是壞事。對資料處理過程建構律法保護，從長遠看，将建立更為健康的市場環境，允許企業特别資訊服務企業參與到更為公平的行業競争中。

當然，也要看到，不同地區的資訊科技發展水準是不同的，在實作資訊安全和隐私保護的過程中需要結合具體情況進行探讨。

參考資料：

• GDPR 官方網站：www.eugdpr.org。