什么是《通用数据保护条例》(GDPR)？

什么是《通用数据保护条例》(GDPR)？

2018 年 5 月 25 日生效的《通用数据保护条例》(GDPR) 是一项全面的数据隐私法律，为个人数据的收集、处理、存储和传输建立了一个框架。它要求以安全的方式处理所有个人数据，并包括对不遵守这些要求的企业的罚款和处罚。它还为个人提供了一些有关其个人数据的权利。

随着技术的进步和数据收集的日益普遍，数据隐私问题已成为人们关注的焦点。在其通过时，GDPR 是最全面的数据隐私法规。它协调了整个欧盟 (EU) 内部各自独立的数据保护法规。它还扩大了这些法规的范围，使其适用于处理在欧盟所收集之个人数据的非欧盟组织。

如果公司或组织向欧盟境内的人们提供商品和服务或监控他们在欧盟境内的行为，则无论其地理位置如何，都需遵守 GDPR。

GDPR 如何定义“个人数据”？

GDPR 扩大了个人数据的范围，使之包括与可识别的自然人有关的任何信息。这包括明显属于个人的详细信息，如某人的姓名和地址，但也包括可用于识别某人的任何其他信息，例如他们的 IP 地址以及与 Web 浏览会话相关的某些 Cookie 标识符。

GDPR 对数据控制者和数据处理者有哪些要求？

GDPR 将数据控制者定义为对收集和处理个人数据的方式和目的做出决定的实体，将数据处理者定义为通常代表数据控制者处理个人数据的实体。

GDPR 还规定了数据控制者和处理者应如何处理个人数据的七个关键原则：

• 合法性、公平性和透明性
• 目的限制
• 数据最小化
• 准确性
• 存储限制
• 完整性和保密性（安全性）
• 问责制

除了详细描述这些原则外，GDPR 还要求数据控制者和处理者采取一些具体行动。其中包括：

• 保存记录：数据处理者必须保存其处理活动的记录。
• 安全措施：数据控制者和处理者必须定期使用和测试适当的安全措施，以保护他们收集和处理的数据。
• 数据泄露通知：遭受个人数据泄露的数据控制者必须在 72 小时内通知有关当局，例外情况除外。通常情况下，他们还必须通知其个人数据受到泄露影响的个人。
• 数据保护官 (DPO)：处理数据的公司可能需要雇用一名数据保护官 (DPO)。DPO 领导并监督所有的 GDPR 合规工作。

对数据控制者和处理者的所有要求都在 GDPR 中进行了说明。

根据 GDPR，数据主体有哪些权利？

GDPR 将数据主体定义为“一个已识别或可识别的自然人”。数据主体拥有以下权利：

• 知情权：必须以易于理解的方式告知数据主体其个人数据的收集和处理方式
• 数据可携带权：数据主体可以将其数据从一个数据控制者处转移到另一个数据控制者处
• 访问权：数据主体有权获得所收集之个人数据的副本
• 更正权：数据主体可以纠正有关自身的不准确数据
• 删除权：数据主体可以要求删除其数据（也称为被遗忘权）
• 限制处理权：在某些情况下，数据主体可以限制其个人数据的处理方式
• 反对权： 数据主体有权反对其个人数据的处理方式，在某些情况下，数据控制者或数据处理者有义务遵守数据主体的反对
• 反对自动化决策权：数据主体可以反对完全基于自动数据处理的、对其有法律影响的决定

违反 GDPR 有哪些处罚？

GDPR 描述了对违反其政策的企业所处的罚金。

GDPR 规定了两级罚款，每级对应不同的违规类别：

• 第一级：违规行为将被处以最高 1000 万欧元或企业全球年收入 2% 的罚款，以较高者为准。
• 第二级：违规行为将被处以最高 2000 万欧元或企业全球年收入 4% 的罚款，以较高者为准。

除了这些罚款外，当企业违反 GDPR 时，数据主体可要求损害赔偿。

Cloudflare 和数据隐私

Cloudflare 的使命是帮助建立更好的互联网，而数据隐私是该使命的核心。Cloudflare 在构建产品之初就“将隐私根植于设计之中”，并发布了一系列服务来增加用户隐私（包括 Cloudflare 数据本地化套件）。了解有关 Cloudflare 和 GDPR 的信息。