歐盟如何保護數據

『壹』 誰有深度整理的歐盟《一般數據保護法案》（GDPR）核心要點中文內容

前言：

整理本文的原因有三：

1、 網上很多關於GDPR的文章並不全面，甚至有誤

2、 以此機會在公司內部開展關於GDPR的專項培訓

3、 青蓮雲的部分客戶業務在未來會受到GDPR的影響

之後，我們計劃編寫一系列相關文章，更多的是站在企業角度來思考法案對物聯網行業的影響以及應對措施，一來希望與同行企業可以就GDPR進行更多的互動討論；二來也是希望傳播國際法案對於安全和隱私的態度，共同提高物聯網安全意識。

以下您將了解到：

1、 什麼是GDPR（重要）

2、 GDPR的發展歷程

3、 GDPR的關鍵術語定義（重要）

4、 GDPR會影響哪些企業（重要）

5、 GDPR不適用於哪些情況

6、 GDPR約束了哪些數據（重要）

7、 GDPR中數據主體的權利（重要）

8、 GDPR中處理個人數據的基本原則（重要）

9、 GDPR中對合法處理數據的定義

10、 GDPR中針對兒童數據的處理規定

11、 GDPR中數據控制者與數據處理者的義務（重要）

12、 GDPR中針對特別類型個人數據的處理規定

13、 GDPR中關於數據主體被遺忘權的規定（重要）

14、 GDPR中關於數據主體可攜帶權的規定（重要）

15、 GDPR中關於個人數據泄露通知的規定（重要）

16、 GDPR中關於設立數據保護官的規定

17、 GDPR關於執法和處罰的規定（非常重要）

18、 總結

什麼是GDPR

2016年4月14日，歐洲議會投票通過了商討四年的《一般數據保護法案》（General Data Protection Regulation (GDPR)），新法案由11章共99條組成，該法案將於2018年5月25日正式生效，將取代現有的《數據保護指示》（Data Protection Directive 95/46/EC），統一歐盟成員國關於數據保護的法律法規。

此外，GDPR新規是在28個歐盟成員國統一實施生效的，這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。

GDPR作為一套用來保護歐盟公民個人隱私和數據的新法規，其頒布意味著歐盟對個人信息的保護及監管達到了前所未有的高度，堪稱史上最嚴格的數據保護法案

GDPR的發展歷程

（圖片來自網路）

GDPR的關鍵術語定義

個人數據：是指任何指向一個已識別或可識別的自然人（數據主體）的信息。該可識別的自然人能夠被直接或間接地識別，尤其是通過參照諸如姓名、身份證號、定位數據、在線身份識別這列標識，或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。

處理：是指針對個人數據或個人數據集合的任何一個或一系列操作，諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀，無論此操作是否採用自動化手段。

匿名化：是一種使個人數據在不使用額外信息的情況下不指向特定數據主體對待個人數據的處理方式。該處理方式將個人數據與其他額外信息分別存儲，並且使個人數據因技術和組織手段而無法指向一個可識別和已識別的自然人。

數據控制者：能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織。

數據處理者：是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。

數據接受者：只是接收到被傳遞的個人數據的主體，無論其是否是第三方的自然人、法人、公共機構、行政機關或其他非法人組織。政府因在歐盟或其成員國法律框架內特定調查接收到的個人數據，不得視為「數據接受者」。

個人數據外泄：是指個人數據在傳輸、存儲或進行其他處理時的由安全問題引發的個人數據被意外或非法破壞、損失、變更、未經授權披露或訪問。

GDPR會影響哪些企業

歐盟GDPR法案具有域外效應。也就是說，GDPR賦予了歐盟在個人信息安全方面的域外管轄權。

主要受影響的企業為以下四類：

l 設立在歐盟境內的企業（控制者、處理者）

l 未在歐盟境內設立，但向歐盟境內的數據主體（自然人）提供產品和服務的企業（控制者、處理者）

l 未在歐盟境內設立，但涉及監控歐盟境內數據主體（自然人）行為的企業（控制者、處理者）

l 未在歐盟境內設立，但在歐洲成員國法律適用的地方設立的企業（控制者、處理者）

總結來說，GDPR不僅適用於位於歐盟境內的企業組織機構，也適用於位於歐盟以外的企業組織機構，無論機構所在地位於哪裡，只要其向歐盟數據主體提供產品、服務或者監控相關行為，或處理和持有居住在歐盟境內的數據主體的個人數據，都將受到GDPR法案的監管。

GDPR法案同樣適用於「數據控制者」和「數據處理者」。如果是數據處理者涉案，數據控制者也無法免除責任，GDPR規定控制者需要承擔更多的責任，以確保和數據處理者之間的合同能夠嚴格遵守GDPR的規定。

GDPR不適用於哪些情況

GDPR更多的是監管企業對數據的使用行為。以下4個方面的數據使用情況不適用於GDPR：

l 為了預防、調查、偵查或起訴刑事犯罪，主管當局為執行刑事處罰目的而產生的數據處理行為

l 基於國家安全目的而產生的數據處理行為

l 自然人在純粹的個人或家庭活動中產生的數據處理行為

l 歐盟法律規定范圍之外的活動過程中產生的數據處理行為

GDPR約束了哪些數據

個人數據：

可以通過某個標識直接或間接識別某一自然人的信息。

不管是採用自動化手段還是人工進行歸類的數據，包括按時間順序排列的包含個人數據的記錄集合。

已經被匿名化的個人數據，取決於用已有標識來識別特定個體的困難程度。

敏感個人數據：

也被稱為「特殊種類的個人數據」。

包括揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數據。

包括遺傳數據和經過處理可以唯一識別個體的生物特徵數據。

不包括涉及刑事定罪和罪行的個人數據，但該類數據的處理和保存有特殊要求。

GDPR中數據主體的權利（第三章）

l 知情權

l 訪問權

l 反對權

l 可攜帶權

l 糾正權

l 刪除權/被遺忘權

l 限制處理權

l 免受數據畫像影響

GDPR中處理個人數據的基本原則

l 合法、正當、透明

l 處理數據的目的是有限的

l 僅處理為達到目的的最少數據

l 確保數據准確、及時更新

l 存儲數據的期限不得長於為達到目的所需要的時間

l 採取技術和管理措施以保護數據的安全

l 數據控制者有責任並應能夠證明做到了以上幾點

GDPR中對合法處理數據的定義

至少滿足一下中的某一項，處理數據才是合法的

l 數據主體同意為了特定目的處理其數據

l 處理數據是為了簽訂或履行合同的需要

l 處理數據是為了遵守法定義務的需要

l 處理數據是為了保護數據主體或其他自然人的至關重要的利益

l 處理數據是為了公共利益或形式政府授受的權力

l 處理數據是為了追求數據控制者的合理利益，但不得損害數據主體的利益

GDPR中針對兒童數據的處理規定

處理16歲以下兒童的個人數據，必須獲得該兒童父母或監護人的同意或授權。各成員國可以對上述年齡進行調整，但是不得低於13歲

GDPR中數據控制者與數據處理者的義務

設置DPO（數據保護官）

文檔化管理

數據保護影響評估

事先咨詢機制

數據泄露報告機制

安全保障措施

遵守數據跨境轉移規則

GDPR中針對特別類型個人數據的處理規定

禁止收集處理反映個人種族或民族起源、政治觀點、宗教和哲學信仰、是否是工會組織成員的數據、個人基因識別數據、生物數據、或涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據，如已獲得個人的明示同意，或數據控制者因處理勞動關系、社會保險之需要並在法律允許的范圍內且已採取了適當的保護手段等。

GDPR中關於數據主體被遺忘權的規定（重要）

當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時，數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。

如果該數據被傳遞給了任何第三方（或第三方網站），數據控制者應通知該第三方刪除該數據。

GDPR中關於數據主體可攜帶權的規定（重要）

數據主體可向數據控制者索要其數據，也可將其個人數據轉移至另一個數據控制者。

GDPR中關於個人數據泄露通知的規定（重要）

數據控制者應在72小時之內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時，數據控制者必須毫不延誤的通知數據主體，以便數據主體及時採取措施。

GDPR中關於設立數據保護官的規定

為確保數據保護合規並處理數據保護相關事務，數據控制者和數據處理者需設置數據保護官（DPO）。

控制者和處理者應當對數據保護官不下達任何指令，DPO不能因為執行任務的原因被解僱或者受到刑事處罰。

數據保護官直接向最高管理者報告工作。

根據聯盟法律或者成員國法律規定，數據保護官應當對其執行任務的內容進行保密。

數據保護官也可以執行其他任務，履行其他職責。

GDPR關於執法和處罰的規定（非常重要）

不遵守信的數據隱私法規的後果就是會受到嚴厲的制裁和巨額的罰款。

GDPR的處罰並不是像網上傳的那樣直接就罰全球營收的4%。而是有兩個等級的徵收行政性罰款的規定：

對於一般性的違法，罰款上限是1000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的2%（兩者中取數額大者）；

對於嚴重的違法，罰款上限是2000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的4%（兩者中取數額大者）；

判罰的嚴重程度是基於以下因素：

l 違規的性質、嚴重程度和違規的持續時間

l 違規是故意的還是因疏忽造成的

l 對個人身份信息的責任心和控製程度

l 違規是單個事件還是重復事件

l 受到影響的個人資料的種類范圍

l 數據主體遭遇的損害程度

l 為了減輕損害而採取的行動

l 由違規產生的財務預期或收益

GDPR核心旨在保護隱私數據，並通過法案約束來建立企業和公民之間的信任關系，違反GDPR的代價遠不止財務層面，還將給企業聲譽造成極大破壞，並且導致企業和消費者之間產生信任危機

總結

由於青蓮雲所在的物聯網行業也處於GDPR法案的約束之中，故此整理出法案中的重點思想與業界分享。GDPR此次改革以保護公民的基本權利為理念，在提高個人數據保護標準的同時，也會增加企業的合規成本。法案的背後是對隱私和安全的需求，法案生效後會成為國際數據隱私保護標准。

對於物聯網行業的相關企業（硬體、軟體、製造、數據分析等）來說，從此刻開始提升物聯網安全意識，關注數據安全和用戶隱私安全，積極的採取相應的整改或強化措施刻不容緩。青蓮雲安全團隊也將在不斷提升自身安全攻防能力和安全合規意識的同時，與客戶企業建立長期持續的安全咨詢合作關系，共同建設安全、自主、可信的物聯網安全新業態。

『貳』 前沿 | 明晰數據產權 保障數字經濟安全

文 中國現代國際關系研究院網路安全與 科技 安全研究所副所長 魏亮

當世界跨入21世紀第二個十年，經濟 社會 的數字化轉型加速，數字經濟在新冠肺炎疫情催化下迅猛發展。據統計，數十個國家的數字經濟產出已與傳統經濟形態接近平分秋色。數字經濟增速更是遙遙領先。國際上，美日數字貿易協定正式實施，標志著世界范圍內第一個以數字為基本元素的經貿協定落地生根。國際一流的雙邊、諸邊經貿協定均涉獵數字經貿內容，甚至專辟一章詳細加以規定。2020年以來，全球新崛起的獨角獸企業多以數字經濟起家。正在抗擊新冠肺炎疫情的生物醫葯行業也增添了數字化的亮色。

近年來，在政策層面，世界主要國家紛紛出台數字化戰略，為促進數字經濟發展，形成新的國家競爭力謀篇布局。2019年底，美國出台了《聯邦數據戰略和2020年行動計劃》，明確將數據列為重要的國家戰略資產，以聯邦政府的數據治理，牽引未來十年美國數字化發展的戰略遠景。2020年，歐盟出台數字化戰略，加速推進一系列事關數字化的立法進程，著力構造和加強有歐盟特色的數字化發展模式，進而推動數字經濟發展。日本菅義偉內閣剛一成立，即設立數字擔當大臣，將政務數字化列為施政綱領的重要內容，提議成立數字廳，並希籍此引領日本數字經濟發展。中國更是在數字經濟創新方面引領世界潮流，明確將數據列為重要的生產要素。2020年4月9日，中共中央、國務院印發的《關於構建更加完善的要素市場化配置體制機制的意見》中明確提出，數據是與土地、勞動力、資本、技術並列的新型生產要素，並從推進政府數據開放共享、提升 社會 數據資源價值、加強數據資源整合和安全保護等三個方面，部署加快培育數據要素市場的發展任務。這是 歷史 上第一次在國家層面明晰了數據的根本屬性。為數據在市場框架內有序流動奠定了堅實基礎。在數據使用制度方面，中國已經引領世界。

數據流動是數字經濟發展的核心，數據安全是數字經濟發展的底線。在保障數據安全和防範數據濫用方面，主要經濟體也做出了很多嘗試。歐盟以防和罰為主，通過嚴格實行《通用數據保護條例》等法規，不斷完善加強個人信息保護和非個人數據管理，形成圍繞歐盟的數據防火牆。美國倡導數據流動，但在安全方面大多寄望於與別國達成事關數據安全制度的互認。這一工作在美國參與的雙邊和諸邊經貿協定基礎上正緊鑼密鼓地開展。顯而易見，歐盟和美國在數據安全和個人隱私保護方面的分歧巨大，甚至導致歐洲法院判定美歐之間的《隱私盾》協議失效。同時，也從另一個視角說明，維持數據流動和數據安全之間的平衡何其不易。

美歐兩大經濟體的實踐表明，無論是像美國那樣片面宣揚數據自由流動，還是像歐盟那樣近乎苛刻的保障數據安全和個人隱私，都已經帶來了很強的副作用。這一副作用在美國體現為 科技 巨頭橫行，影響力和掌控力甚或超過美國政府。2020年10月7日，美國國會眾議院發布的關於谷歌等四家 科技 企業壟斷的調查報告宣稱，這些 科技 公司有效地充當了當今數字市場的守門人，擁有挑選贏家、收購或處置競爭對手的權力。同樣，歐盟過於強硬的數據保護顯然對其數字經濟發展也造成了一定阻礙。《通用數據保護條例》實施以來受到懲罰的案例已達上百起，受罰對象從地方政府、醫療機構，到普通的傢具商乃至足球俱樂部不一而足。目前，歐盟加速推動其新數字戰略的成型和配套立法，也顯現出他們實現數據流動和數據安全再平衡的急迫心理。從美歐的實踐來看，僅靠政府來維持數據流動和數據安全之間的平衡，不但成本高而且效率低。美國 科技 巨頭依靠數據優勢，羅織的利益網路，已到了難以打破的境地。單靠反壟斷手段對這些公司實施結構拆分，或將在短期大傷美國數字經濟元氣。另一方面，歐盟強監管的數據保護框架已經成勢，要實現再平衡亦將經歷痛苦過程並付出巨大代價。

在數字經濟蓬勃發展、數據流動日益活躍的背景下， 探索 出一條市場化條件下，充分發揮數據作為重要生產要素優勢、實現數據流動與數據安全動態平衡的機制尤為重要。通過明晰數據產權，最大可能的保障數字經濟安全，同時激發市場主體的活躍度，來實現這一動態平衡，將成為一條有效路徑。

1.明晰數據產權，保障數字經濟安全，首先要明確數據的歸屬、確定數據的產權。即在確定數據所有權的基礎上，依託區塊鏈進行產權登記，形成數據產生的增值財富歸誰所有，維護數據安全的成本由誰負擔，數據的使用權、支配權、收益權、處置權如何行使等一系列制度安排，以及相關的慣例和道德准則。

2.明晰數據產權，保障數字經濟安全，其次要設計數據交易模式和定價模型。一方面將數據脫敏、隱私保護的權利完全賦予數據產權的所有者，實現權責統一。鼓勵數據產權所有者根據自己的意願，通過市場規則和價格原理來保護隱私和核心敏感數據； 探索 建立凡交易即許可的數據產權轉移和數據利用原則，通過細化數據交易產業鏈分工，進一步提升數據的可交易性和標准化程度。另一方面，在數據交易的早期，應根據數據的效用和稀缺性盡快形成更加簡練的數據價值評估量表。隨後根據交易的經驗數據，初步形成經過優化的「第二價格密封拍賣」等符合數據特點，並能對沖信息不對稱風險的定價模式。

3.明晰數據產權， 保障數字經濟安全，還需要健全數據交易的制度框架，最終形成廣泛的數據市場。在此基礎上，數據的所有者可根據對價決定是否出讓數據，數據的收集者也可根據價格考慮是否收購。這就在一定程度上避免了出現數據因「無價」而被濫用的現象。數據流動和數據安全之間的動態平衡也就有望形成。建立產權明晰的數據交易制度，關鍵在於數據的確權。由於確權問題一直有賴於政府或者中介機構做支撐，使海量數據的確權需付出極大經濟成本，這也成為長期以來數據無序流動的重要原因之一。當前，區塊鏈技術已使數據確權具備經濟性。區塊鏈技術的分布式簿記和不可更改特性，使數據確權和發現數據產權關系的成本大大降低，並推動數據流動成本隨之降低。由此，除卻那些關乎國家核心利益數據以外，其他數據的安全問題可以在一定程度上轉化為催動數據交易的價格問題。當數據成為財產，越重要的數據價格越高，安全性也越高。

當前，我國正逐步形成以國內大循環為主體、國內國際雙循環相互促進的新發展格局，數字經濟必將成為這一新格局的有力支撐。明晰數字產權恰逢其時，並有潛力成為溝通國際國內雙循環的重要橋梁。數據有序、安全、高效的跨境流動，是世界數字經濟發展的根本保障，數據產權交易則成為聯通內外的關鍵節點。國家間涉及雙邊、諸邊、多邊的數字經濟協定可以由此展開，數據跨境流動過程中的安全問題也因產權交易而化繁為簡。在交易過程中，數據的價格將被更加精準地發現，那些事關國家核心利益的數據也將會被更快、更准確地甄別和保護。

當然，一個產權明晰，流轉順暢的數據交易體系不是一蹴而就的，還需在運行當中修補漏洞、調整方向、試錯前行。要把美好願景化為現實，我們還需要在設計確權方式、定價模式等方面開展更深入地研究，政府也需要在數據要素市場上進一步做好引導、培育和深化工作。

（本文刊登於《中國信息安全》雜志2020年第11期）

『叄』 通用數據保護條例gdpr 哪國

2018年5月25日，歐洲聯盟出台了《通用數據保護條例》。 [1] 

1. 對違法企業的罰金最高可達2000萬歐元（約合1.5億元人民幣）或者其全球營業額的4%，以高者為准。
2. 網站經營者必須事先向客戶說明會自動記錄客戶的搜索和購物記錄，並獲得用戶的同意，否則按「未告知記錄用戶行為」作違法處理。
3. 企業不能再使用模糊、難以理解的語言，或冗長的隱私政策來從用戶處獲取數據使用許可。
4. 明文規定了用戶的「被遺忘權」（right to be forgotten），即用戶個人可以要求責任方刪除關於自己的數據記錄。
5. 歐盟議會於2016年4月14日通過的《通用數據保護條例（General Data Protection Regulations）》（「GDPR」）將於2018年5月25日在歐盟成員國內正式生效實施。該條例的適用范圍極為廣泛，任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織均受該條例的約束。比如，即使一個主體不屬於歐盟成員國的公司（包括免費服務），只要滿足下列兩個條件之一：
6. （1）為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息。
7. （2）為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息，其就受到GDPR的管轄。

『肆』 歐盟要立法保護通用數據了嗎

5月30日有媒體報道說，《歐盟通用數據保護條例》已於5月25日開始生效實施。這個「條例」，被認為是歷史上最嚴格的通用數據保護條例。對於個人而言，這個條例對隱私保護可謂層層設防，嚴防死守。而對公司企業而言，尤其是那些有意或無意集納私人（服務對象）隱私數據的公司企業，則限制多多，對這些數據的集納、分析和使用設置了重重障礙。

對個人隱私信息如此嚴格的保護，以及對網路公司和企業如此嚴格的限制，其實代表了互聯網時代公司企業與個人間的互動關系及其法律調整。這個「條例」的從嚴一面，也反映了歐盟力圖消弭其成員國內部法律在此問題上標准不一的差別。當然，在歐盟內部，不論是大陸法系國家還是普通法系國家，其原有的對個人隱私保護的相關法律也堪稱嚴密，新頒行的「條例」無疑為這些既存法律按上了跟進互聯網時代前進的車輪。

也正是因此，也不乏有質疑上述「條例」對相關公司企業過分嚴厲限制的聲音。歐盟以往對公司企業的過度限制，被認為是歐盟國家在過去20多年中沒能產生跨國互聯網公司企業的原因之一。新頒行「條例」的施行，將不利於美國等大型跨國互聯網公司企業在歐盟成員國的運營，為其市場拓展帶來障礙，但也更加不利於歐盟內部誕生跨國互聯網公司企業，實際上將更加強化美國互聯網公司企業一統歐盟成員國及其市場的格局。

對上述「條例」頒行的全部影響，尚有待觀察。

無下文，待觀察。

消息來自鳳凰網。

『伍』 GDPR（General Data Protection Regulation）：歐盟數據保護通用條例

GDPR（General Data Protection Regulation）：歐盟數據保護通用條例

歐盟數據保護通用條例（General Data Protection Regulation, GDPR）於2018年5月25日生效

http://www.esrf.eu/GDPR

GDPR法律條款解讀及應對指南（全面版）

『陸』 國外保護個人信息有哪些主要措施和做法

問：編輯同志，您好！隨著互聯網的普及，倒賣個人信息已經形成產業鏈，個人信息泄露成為普遍問題。請您介紹一下國外保護個人信息有哪些主要措施和做法。 天津讀者：劉曉劉曉同志： 您好！世界各國都十分重視個人信息保護，採取了很多措施以避免個人隱私泄露和信息被濫用，主要包括： 1.基礎性立法。美國《隱私權法》、加拿大《隱私法》就行政機關，日本《個人信息保護法》、加拿大《個人信息保護與電子文件法》就企事業單位對個人信息的採集、使用、公開和保密問題作出詳細規定, 例如：個人有權知道信息使用情況；未經本人許可，不得用於收集信息以外的其他目的。美國《信息自由法》規范了第三方對包含個人信息的政府記錄的獲取。 2.行業性立法。美國《電子通訊隱私法》涵蓋了聲音、文本、數字化形象傳輸等所有形式的數字化通訊，該法禁止所有個人、企業和未經授權的政府部門對通訊內容的竊聽，禁止對存貯於電腦系統中的通訊信息未經授權的訪問及對傳輸中的信息未經授權的攔截。歐盟有《關於在電子通信領域個人數據處理及保護隱私權的指令》，日本通商產業省有《關於保護民間部門電子計算機處理所涉及的個人信息的指南》。 在金融領域，美國《金融服務現代化法案》規定了金融機構處理個人私密信息的方式，《金融隱私權法案》對銀行雇員披露金融記錄，及聯邦立法機構獲得個人金融記錄的方式做出限制。 在消費領域，美國《公平信用報告法-消費者信用保護法標題VI》規范了調查報告機構對報告的製作和傳播、對違約記錄的處理等事項，明確了消費者信用調查機構的經營方式。 在通訊領域，美國《有線通訊隱私權法案》禁止閉路電視經營者在未獲得用戶事先同意的情況下利用有線系統收集用戶的個人信息，《電訊法》規定電訊經營者有保守客戶財產信息秘密的義務。 另外，美國《2009個人隱私與安全法案》建立了風險評估、漏洞檢測以及對訪問敏感信息的控制和審計標准，《數據泄漏事件通報法案》要求聯邦政府機構以及業務范圍跨州的企業在發生數據泄漏事件時必須通知信息可能或已經被訪問、獲取的所有當事人。 3.行政措施。歐盟建立有數據保護監督專員制度，嚴格管理機構和組織搜集、錄制和儲存、重新提取、發送或使其他人員獲得、刪除或銷毀數據的行為。加拿大設有隱私專員辦公室，受理和調查個人信息侵權投訴，向議會提交個人信息保護情況的年度報告和特別報告。 4.行業自律。美國採取行業自律作為立法外保護網路隱私權的補充，包括：從事網上業務的行業聯盟發布本行業網上隱私保護准則；適用於跨行業聯盟的網路隱私認證，授權達到其提出的隱私規則的網站張貼其隱私認證標志，以便於用戶識別；為鼓勵甚至強制推行隱私權保護提供基本的技術支撐。 5.國際協作。經濟合作開發組織理事會頒布了《關於保護隱私和個人數據國際流通的指南》，亞太經合組織建立了地區隱私保護標准，歐盟有《關於在個人數據處理過程中保護當事人及此類數據自由流通的指令》。

『柒』 歐美個人數據保護法規簡介:GDPR

該條例於2018年5月生效，GDPR的目標是保護歐盟公民免受隱私和數據泄露的影響，同時重塑歐盟的組織機構處理隱私和數據保護的方式。
其中重要的定義有

「個人數據」指與 已經識別（identified）或可被識別（identifiable）的自然人（「數據主體」）相關的任何信息 。

其中，「可被識別的自然人」，指 通過姓名、識別號碼、位置數據、在線身份識別碼等標識符，或通過針對該自然人的身體、生理、遺傳、心理、經濟、文化或社會身份等特定相關的一個或多個要素，能夠直接或間接地被識別出的個人 。

判斷自然人是否可被識別，應考慮數據控制者或另外一人可能合理使用到的所有方式（all the means reasonably likely to be used）。判斷何種方式為「可能合理使用到」，應考慮所有客觀因素：例如當前現有的技術、技術的發展、識別所需的成本和時間等。
GDPR通過抽象定義對個人信息的管轄范圍劃定邊界，有一定的法例解釋空間。

屬地管轄」+「屬人管轄」+「保護性管轄

可以看出其管轄范圍大，關系復雜，

默認 13到16周歲兒童 對個人信息的處理行為不具備完全認知能力，因而需要監護人的授權，企業方能處理其個人信息。

數據的處理以數據主體 「同意」 為原則，數據主體有「撤回同意權」，並且 對敏感數據的處理及直接營銷、用戶畫像的行為擁有反對權 ，偏重於保護用戶的數據

其中對行使公務的反對權總以可見GPDR對數據隱私的保護力度之大

國內目前而言，尚未有成熟的數據保護條例和方案，原有的法律條文已經遠遠落後於當前國內信息產業的發展；一方面是國情使然，另一方面我國數據建設過程一直存在法律建設滯後的現象。
但在當前的國際大背景下，我國應該會很快研究出台相關的嚴格數據保護條例。
此外作為數據系統及應用研發人員，應該著手研究如何在類似GPDR的保護條例下利用數據發揮價值，這是十分值得研究的課題。

『捌』 歐洲大陸對信用數據保護的基本原則

直接原則，目的明確原則。
1.個人信息保護的基本原則包括哪些2.直接原則。直接原則是指個人信息原則上應該直接向本人收集。直接原則在OECD准則中稱為「限制收集原則」。直接原則的另一個含義是,只有個人信息所有者本人才有權決定是否提供其個人信息。3.目的明確原則。目的明確原則是指個人信息在收集時必須有明確的特定目的,禁止超出目的...4.個人信息保護的重要性 根據國際標准化組織的定義,信息安全性的含義主要是指信息的。

『玖』 能否解讀一下歐盟GDPR針對個人數據保護的內容

歐盟GDPR從5月25日開始正式實施。GDPR對數據泄漏有非常重的處罰條例。同時，歐盟企業也希望法規的實施能夠促使數據市場更快更好的發展，使相關業務有法可依。GDPR立法針對個人數據保護的核心問題包括：
第一，數據分布的問題
在接觸過的客戶中，有70%-80%不知道自己的數據在哪裡，更沒有詳細的數據地圖。而數據地圖，我們認為是做個人數據保護的前提，也是非常關鍵的內容。
第二，數據應用檢測
目前不管是個人還是企業，往往會關注個人的敏感數據的保護，但今時今日，大量不敏感的信息通過數據組合，就會得到大量有價值的信息，所以不敏感信息同樣具有重要價值。怎麼能夠看到這些數據有沒有被非法使用？一定要知道有哪些人用了你的數據最終他使用這些數據是為了獲得什麼？做到這點的時候，我們才能看到這個數據有沒有被濫用，個人數據有沒有被泄露。
第三，數據流動監測
目前國內，對於數據的流向，數據流到哪裡？數據流向目標市場是否安全？數據流出之後是否可追溯？目前這個領域基本都是空白，沒有人對流出後的數據進行任何的追溯、審計或者相應保護。
第四，真實數據最小化原則
我們都是搞信息安全，都知道，我們提了很多年的許可權最小化原則，我們給每個人的許可權應該是他用於工作的最小許可權，以此來保障許可權不被濫用。數據應用的時候也應該提倡這樣的原則，真實數據最小化的原則。現在數據應用有一個非常簡單的辦法，充分利用數據脫敏數據，只保留需要使用的數據，將其他數據脫敏，從而保證真實數據的最小化。
第五，全生命周期的審計和評估
這里的審計和評估，是從評估到改善，到再評估，再改善，反復循環的過程。目前國內對於數據進行評估的業務還屬於空白。國際上許多企業已紛紛開展此項業務。

『拾』 歐盟隱私保護數據該上哪找

歐盟「史上最嚴」數據隱私新規生效
歐洲聯盟《通用數據保護條例》25日在全體成員國正式生效。這部條例對信息技術(IT)企業保護用戶隱私的責任規范空前嚴格，旨在改變消費者信息在網路廣告商面前「一覽無遺」的現狀。
業內人士說，美國谷歌、臉書公司等技術類企業在歐洲擁有龐大用戶群，可能利用新規鞏固行業壟斷地位；「廣告技術」行業近年來靠「收割」用戶隱私數據蓬勃發展，可能受新規打擊最大。
如同「裸身待在水族箱里」
《通用數據保護條例》生效前幾個星期，大量歐洲網路用戶抱怨自己遭大量垃圾郵件和簡訊集中「轟炸」，內容大同小異：請求用戶「明確同意」接收企業發送的廣告信息。
這部條例確立兩項關鍵原則，一是任何機構獲取用戶個人數據，必須徵得用戶個人「明確同意」；二是消費者對「本人隱私數據由誰處理、作何用途」有知情權。
依據新規，用戶有權用工具攔截任何應用於商業目的個人數據處理程序，也可行使所謂「被遺忘權利」，刪除網路上的個人隱私數據。
未達法定年齡的用戶由父母代行「同意」權利。法定年齡在13至16歲之間，由歐盟各成員國依據國情各自設定。
歐盟兩年前頒布這部條例，但直至臨近「緩沖期」結束，仍有大量企業匆忙徵求用戶許可，導致「信息轟炸」現象。
英國主管數據保護的信息監管局說，截止日前夕，它的網站服務遭遇「幾次中斷」，如今已恢復正常。
分管司法事務的歐盟委員薇拉·堯羅娃說，新規將「讓歐洲人重新掌控自己的數據」。按她的說法，當前網路用戶個人隱私幾乎得不到任何有效保護，如同「裸身待在水族箱里」。
歐盟有大約5億網民，任何在成員國運營的企業如觸犯新規，將面臨最高2000萬歐元或相當於企業全球年營業額4%的罰款。
希望新規成為「全球標桿」
歐盟說，希望新規能成為保護網路用戶個人隱私的「全球性標桿」，尤其在發生臉書公司大量用戶隱私數據遭「竊用」之後，新規更具示範作用。
美英媒體今年3月曝光，英國劍橋分析公司曾利用社交媒體臉書平台一款「個性測試」程序，獲取臉書大量用戶隱私數據，用於有針對性地向選民投放政治廣告，試圖干預2016年美國總統選舉和英國「脫歐公投」等政治事件。臉書公司後來承認，全球8700萬用戶數據遭「竊用」。
「個性測試」程序開發者辯稱，獲取數據已獲用戶「同意」，且臉書開發的工具提供了方便。
臉書公司因沒有及時公布大量用戶隱私遭濫用受到質疑。臉書首席執行官馬克·扎克伯格22日出席歐洲議會一場聽證會，為保護用戶隱私不力道歉，承諾臉書將「完全遵守」歐盟隱私保護新規。
美國卡內基－梅隆大學商務教授帕拉梅·維耶·辛格接受法新社郵件采訪時說：「我預計，至少美國會迅速採納類似《通用數據保護條例》的(隱私保護監管)法規。」
歐盟官員說，日本、韓國、印度和泰國從歐盟新規汲取「靈感」，開始討論或著手制定類似法規。
輸家將是「廣告技術產業」
法新社報道，大型社交媒體平台如臉書、WhatsApp和推特似乎對適應歐盟新規准備較充分，而小型網路技術企業擔心受到沖擊。
歐盟官員說，新規施行初期會緊盯大型技術類企業，因為它們憑借大量用戶數據吸引商家「精準投放」廣告，以實現營利，歐盟會給小型企業更多時間適應新規。
路透社報道，谷歌公司24日在美國紐約市召集70家媒體和廣告客戶代表開會，承諾在6月和8月投放更多廣告技術工具，協助客戶適應新規。
英國《經濟學人》周刊一篇報道說，歐盟新規生效後，最大輸家將是「廣告技術產業」。這類企業永不饜足地收割用戶個人數據，而「過分樂觀」的風險投資家對廣告技術新發明慷慨支持，使這個產業迅速壯大。
不過，皮沃資本管理公司的布萊恩·威澤認為，「廣告技術泡沫」已開始萎縮。這個產業以為消費者會歡迎「與己相關」的廣告，但隨著「精準投放」廣告侵略性日益強烈，用戶開始反感並安裝攔截工具。
《經濟學人》報道，多數廣告技術企業因為不曾與消費者建立直接聯系，難以獲取使用用戶隱私數據的許可；即使它們能直接聯系用戶，也只有很小一部分用戶會同意分享個人隱私數據。一些廣告技術企業已選擇退出歐洲市場。
谷歌公司已要求使用谷歌廣告技術工具的所有網站和應用軟體必須徵得用戶同意才可使用和分享用戶個人數據，但同時規定，一旦客戶使用谷歌工具「徵求同意」，就必須限制使用其他廣告技術商的服務。
數字發行商團體「下一代數字內容」的傑森·金特說，數字發行商指望歐盟新規協助遏制谷歌之類巨頭壟斷線上廣告。新規若能有效防止廣告商越過網站和應用軟體、直接針對特定用戶投放廣告，發行商或許能從大型網路平台手裡收回與消費者關系的部分掌控權。