欧盟GDPR今日正式生效！这里有你需要知道的一切

欧盟的新数据隐私保护条例GDPR已经于本周五（5月25日）正式在欧盟的28个成员国生效。

这项法律针对的是那些收集、存储或处理大量关于欧盟居民信息的公司，要求这些企业在他们所拥有的数据以及与谁分享数据这些方面更加透明。

这也意味着，任何在欧盟拥有数字业务的公司（目前仍包括英国）将不得不遵守该法律，否则将面临严重的处罚，比如Facebook等跨国大公司。

自欧洲议会于2016年4月通过该法案以来，其将在2年内生效的最后期限已经到期。今年3月，当Facebook 的“剑桥分析公司”丑闻曝光时，隐私维权人士也将其作为一个最引人瞩目的例子，来说明为什么互联网用户可能希望对谁能访问他们的数据进行更多的控制。

4月份，扎克伯格在美国国会发表的证词中，他对美国国会议员们说：“我认为，总的来说，GDPR对互联网来说将是非常积极的一步。”接着他继续讨论了Facebook将收紧数据政策的计划，保护用户免受进一步泄密的影响，并对在网站打广告变得更加透明。

不仅仅是像Facebook这样的家喻户晓的公司将不得不遵守GDPR。医疗保健提供商、保险公司、银行和任何其他处理敏感个人数据的公司都将面临困境。

GDPR将对人们的网络足迹、使用的APP和服务如何保护或利用这些数据产生重大影响。下面我们将对有关GDPR人们最关心的问题进行解读：

GDPR是什么？

一般数据保护条例（General Data Protection Regulation）是一项全面的法律，赋予了欧盟居民对个人数据的更多控制权，并试图澄清在线服务商在收集、利用欧洲用户个人数据的规则和责任。它取代了1995年通过的欧盟关于数据保护的法律，并对现有的公约做出了一些重大改变。

该规定扩大了公司必须考虑到的个人数据范围，并要求他们密切跟踪他们存储的欧盟居民的数据。如果欧盟的某个人想要一个公司删除他或她的数据，发送数据副本，或者更正数据中的错误，该公司必须遵守。

GDPR甚至比这还要更进一步。欧盟居民现在可以反对公司使用他们数据的具体方式。但只要公司停止将这些信息用于特定目的，他们就不介意这家公司保留这些数据。

更重要的是，GDPR要求公司需要在数据泄露的72小时内通知用户——目前还很少有公司做到这点。例如，在美国个人信用评估机构Equifax的泄露事件中，美国和其他地区的数百万人的个人信息暴露无遗，该公司花了数周时间来阻止攻击，然后在通知公众之前制定好如何处理损失的计划。

欧盟将如何执行GDPR？

欧盟的每个成员国都将有自己的执行机制，每个国家都将有一个GDPR主管。

居民可以向各自国家的管理机构投诉。违反该法律的公司将面临可能非常严重的罚款。对GDPR违规的最大罚款是2000万欧元，或者一家公司年度全球收入的4%，将取两者中的较高者。

GDPR何时生效？

周五（5月25日）。该条例于2016年获得批准，并设置了为期两年的“实施期”，好让所有企业和组织做准备。这一宽限期将于2018年5月25日结束，这意味着执法将正式开始。

GDPR只适用于欧盟的公司吗？

不——这就是为什么它是个重大国际新闻的原因。GDPR适用于任何收集、处理、管理或存储欧洲公民数据的组织，包括大多数主要的在线服务和收集、处理、管理或存储数据的企业。正因为如此，GDPR本质上是为数据保护设置了一个新的全球标准。

GDPR能保护什么数据？

该规定适用于广泛的个人数据，包括一个人的姓名和身份证号码。它还能保护一个人在网上和现实世界中所做活动的信息数据。这包括位置信息，以及IP地址、cookies和其他数据，这些数据可以让公司在用户浏览互联网时追踪他们。

这将如何影响Facebook和其他社交媒体公司？

许多大型在线服务和社交媒体公司正在更新他们的隐私政策和服务条款，为新立法做准备。考虑到剑桥分析公司的丑闻，以及过去对该公司数据收集的担忧，Facebook的回应肯定会受到欧洲监管机构的密切关注。

其中包括2007年围绕该公司备受争议的Beacon广告计划，该项目在合作伙伴网站上播出用户活动。除此之外，当Facebook和它的子公司Instagram声称拥有用户的个人资料和照片时，这引起了用户的愤怒。GDPR让我们更清楚地知道，这类活动是不合适的。

扎克伯格4月10日在参议院司法委员会和商业委员会的联合听证会上作证时表示，在用户同意放弃数据之前，他“原则上”支持为用户提供类似于GDPR的选择标准，但他并没有承诺，并补充说“细节是很重要的”。

非欧盟居民会受到影响吗？

Facebook、微软、Twitter、苹果和其他公司都向欧盟以外的用户提供了一些额外的数据权限。

但这些权限并没有法律效力，这意味着如果你不是欧盟居民，你就不能因为他们违反了GDPR而对微软提起诉讼。虽然你只有在公司说你拥有这些权利的时候，你才真正享有这些权利。但这也确实表明，欧洲的监管正在改变大公司对待用户数据的方式。

另一种影响你的方式是，你在过去几个月里可能会收到大量的隐私政策更新。许多公司在GDPR生效前制定了新的隐私政策，然后他们也会同时告诉你这一切。

欧盟能对Facebook在过去“犯的错”进行罚款吗？

似乎不能。在一次接受Bloomberg的采访时，欧盟司法专员Vera Jourova表示，新的GDPR规定“不能适用于剑桥分析公司丑闻，因为并不存在任何追溯性的可能。”

GDPR将如何影响黑客攻击和入侵？

GDPR要求那些对客户数据失去控制的公司，或者已经被黑客入侵的公司，在72小时内通知用户。这是最高刑罚的规则之一。例如，如果Facebook被发现未能遵守这个规则，它将承担高达16亿美元的罚款（基于其2016年的年营收400亿美元）。

GDPR对未成年人是否有特殊保护？

GDPR要求企业和组织获得父母的同意，才能处理16岁以下儿童的个人数据。（编译/ 雨果网 康杰炜）