通用数据保护条例

关于GDPR

·GDPR规定了所有欧盟的公民所享有的数字生活中的权利，其前身为 1995 年开始执行的《数据保护指令》(Data Protection Directive)，大部分 GDPR条款都从其继承而来，同时GDPR在生效后会取代旧的规定。在欧盟的法律体系中，指令(directive)和条例(regulation)是两种不同的形式：指令不直接适用于各成员国，还需要成员国自行转化成为其国内法，在转化过程中成员国有一定的自主裁量权;条例则对各成员国有直接适用的效力。在欧洲，事实上也是目前世界范围中，GDPR 是最完善、最严格的隐私保护规定。

·GDPR在欧盟法律框架内属于“条例”，此前已经在欧洲议会(下议院)和欧盟理事会(上议院)通过，可以直接在各欧盟成员国施行，不需要各国议会通过。目前欧盟有28个成员国，大约有5亿多人可以直接得到GDPR的保护。值得一提的是，虽然英国已经启动脱欧程序，但也同样批准了GDPR，并且同样从5月25日开始正式推行。

·根据GDPR的规定，企业在收集、存储、使用个人信息上要取得用户的同意，用户对自己的个人数据有绝对的掌控权。

适用地域范围

1、GDPR适用于在欧盟境内设有业务机构(establishment)的组织，只要这些组织在业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。

2、如某一组织虽不在欧盟境内设立业务机构，但却处理欧盟境内个人的个人数据，并且此类处理行为与向欧盟境内个人提供商品或服务相关，无论该等商品或服务是否收费，则也应当适用GDPR。

3、GDPR适用于非欧盟组织处理欧盟境内个人的个人数据，只要此类处理行为涉及对这些个人的行为进行监控，且该处理行为发生在欧盟。

企业如何应对GDPR

1、内容准备：企业GDPR说明文本清晰明确。

(1)企业内部的“服务协议”和“隐私条款”需要针对GDPR做相应调整，制定适合企业自身情况的规则说明文档。

(2)清晰明确表明企业将收集的数据、使用及用户享有的许可或撤销许可权益。

(3)保证多语言版本，不可利用语言不同等，模糊规定而获取用户的许可。

2、新用户：表单入口明确权益告知。

(1)在订阅、注册等全部数据采集入口设置明显告知用户窗口。

(2)位置醒目、内容明确清晰。

(3)可存在自动勾选强制同意行为，获得用户主观许可后才可使用

3、已有会员：用户自主完成授权。

(1)授权页面默认不勾选用户授权的内容，需要用户自己进行勾选然后点击“授权”。

(4)GDPR 正式生效后，可在邮件发送界面的“排除组”那里进行勾选，对未获得授权的用户不再进行发送。

4、已有会员：允许随时撤销许可或修改授权。

(1)针对一直未对是否授权做明确回应用户，以及已许可用户，在后期每封邮件推送中，均需设置明显的撤销许可标识。

(2)允许用户随时取消授权行为。

(3)允许用户随时修改个人信息内容。