史上最严数据保护法GDPR生效，你准备好了么？

发布日期：2018/05/25

GDPR（General Data Protection Regulation，通用数据保护条例）是欧盟针对隐私保护实施的一项新立法，是20年来最重要的数据隐私保护变化，也是有史以来规模最大、最具惩罚性的隐私保护法。

任何违反GDPR的行为，会产生1000万到2000万欧元的罚款，或企业全球年营业额的2%到4%，以数额最大的为准。该法于今日正式在欧盟实施，并取代1995数据保护指令，为欧盟各成员国提供统一的数据保护规则。

GDPR适用于欧盟境内设立的实体（公司、组织等）处理个人数据的行为，同时也约束了非欧盟实体处理欧盟境内数据主体的个人数据的活动，只要该活动与向欧盟境内的数据主体提供商品或服务（无论是否收费），或与监控该数据主体在欧盟的活动有关。欧盟发布这个新规定的主要原因：

(1)为欧盟公民提供更多使用自身资料的权力；

(2)加强数字服务提供者与他们所服务的人之间的信任；

(3)为企业提供明确的法律框架，通过在欧盟单一市场上制定统一的法律来消除任何区域差异。

数据安全要求：GDPR规定下，企业应采取技术和管理措施，保障数据安全，包括但不限于对个人数据加密处理、实施数据安全评估、隐私保护设计等；

强制的数据泄露通知：发生数据泄漏事件，数据控制者应当在72小时内向监管机构报告，可能对数据主体产生高风险的，还需告知数据主体；

数据主体权利：GDPR项下，数据主体享有对自己数据更广泛的权利，包括增删改查、数据删除权、数据可携带权和拒绝数据画像的权利等；

数据主体的同意：对个人数据的处理普遍须取得数据主体的明确同意，该同意必须是自由做出的、特定的、明确的和知情的；

数据处理记录：数据控制者和数据处理者均需保存数据处理记录。