安全合规GDPR--6--通用数据保护条例简介（GDPR简介）.pdf

安全合规/GDPR--6--通用数据保护条例简介（GDPR简介） 《通用数据保护条例》（英语：General Data Protection Regulation，缩写作 GDPR； 欧盟法规编号：(EU) 2016/679[2]），是在欧盟法律中对所有欧盟个人关于数据保护和 隐私的规范，涉及了欧洲境外的个人资料出口。 GDPR 主要目标为取回公民以及住民对于个人资料的控制，以及为了国际商务而简化 在欧盟内的统一规范。 GDPR取代了欧盟在1995年推出的欧盟个人资料《数据保护指令》（Data Protection Directive）95/46/EC，该条例包含有关处理欧盟内部数据主体的个人可识别资讯的条款 和要求，适用于与欧洲做生意的所有企业，无论位置如何。处理个人数据的业务流程必 须在设计和默认情况下构建数据保护，这意味着个人数据必须使用假名 (pseudonymization)或完全匿名(data anonymization)进行存储，并且默认使用尽可能最 高的隐私设置，以避免公开数据未经明确同意，并且不能用于识别没有单独存储附加信 息的主题。任何个人数据除非在法规规定的合法基础上完成，否则数据控制者或处理者 已经从数据所有者那里获得明确的选择同意。数据所有者有权随时撤销此权限。 1 个人数据处理者必须清楚地披露任何数据收集，声明数据处理的合法基础和目的，保 留数据的时间以及是否与任何第三方或欧盟以外的国家共享数据。用户有权以通用格 式请求处理器收集的数据的便携式副本，并有权在特定情况下删除其数据。 公共主管 部门和以核心活动为中心定期或系统地处理个人数据的企业需要雇用数据保护官员 （DPO）负责管理GDPR的合规性。如果数据泄露对用户隐私产生不利影响，企业必 须在72小时内报告任何数据泄露。 本法案在2016年4月27 日通过，两年的缓冲期后，在2018年5月25 日强制执行。根据 欧洲联盟运作条约第288条第2项，因为GDPR属于欧盟条例（英语：regulation；德 语：Verorderung ），不是指令（英语：directive ；德语：Richtlinie），所以不需经过 欧盟成员国立法转换成各国法律，而可直接适用。随着英国在2019年脱离欧盟，它于 2018年5月23 日御准批准了2018年数据保护法案（Data Protection Act 2018），该法 案包含了相应的法规和保护措施。 在欧盟的法律体系中，指令（directive ）和条例（regulation）是两种不同的形式： 1、指令不直接适用于各成员国，还需要成员国自行转化成为其国内法，在转化过程 中成员国有一定的自主裁量权； 2、条例则对各成员国有直接适用的效力。 2