你每天为互联网贡献了多少数据？从银行信息、联系人、地址、社交痕迹、甚至你的每一个访问的网址、点击，都会产生数据信息被记录下来。

服务商们会说用户数据可以用来提升个性化体验，但是他们真的用这些数据干了什么？谁也不知道。

只有当5000万用户信息泄漏被曝光后，Facebook才开始亡羊补……我们才开始重视信息泄漏已经不再是「图便利、省事」就能随便对待的事情。

这是GDPR（《通用数据保护条例》）被欧盟提出并反复讨论敲定的背景，该条例也将在本月25日，也就是今天起正式施行。

 什么是GDPR？

GDRP作为一项新的个人信息保护法案，把直接或间接识别到的某一个个体的任何信息都视为个人信息，包括了从姓名、照片、身份证号、邮箱地址、银行账户、健康记录到网络用户名、位置定位、社交媒体发布的信息、计算机IP地址等各个方面，堪称目前世界范围内最宽泛的个人信息定义。

在GDPR的保护下，个人将有八项数据权利：

1. 访问权，这意味着个人有权要求访问他们的个人数据，并询问公司收集后如何使用他们的数据。公司必须免费提供个人资料的副本，并在需要时以电子格式提供。

   
   

2. 删除权，如果客户不再企业的客户，或者客户撤回公司使用个人数据的权利，那么他们有权删除自己的数据。

   
   

3. 数据转移权 - 个人有权将数据从一个服务提供商转移到另一个服务提供商。因此数据必须常见的和机器可读的格式保存。

   
   

4. 知情权，公司在收集任何数据信息之前必须通知个人，并必须获得消费者的允许，且告知消费者必须是明确的而不是暗示。

   
   

5. 更正信息权，确保个人可以在数据过期、不完整或不正确的情况下更新数据。

   
   

6. 限制处理权，个人可以要求他们的数据不被公司进行处理。他们的记录可以保留，但不能使用。

   
   

7. 反对权，个人有权停止处理有关的数据。这条规则没有豁免，任何处理都必须在收到请求后立即停止。此外，这一权利必须在收集数据开始时向个人明确。

   
   

8. 被通知权，如果数据泄露损害了个人的个人数据，则个人有权在首次意识到违规行为后的72小时内获得通知。

   
   

 GDPR对商业机构有什么影响？

GDPR适用于在欧盟成立的所有企业和组织，无论企业是否在欧盟境内，只要与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民的数据，都必须严格遵守该条例。

违规的企业将面临全球年营业额的4%或2000万欧元（两者取其高）的行政处罚。

很多人可能会认为GDPR只是一个IT问题，但实际上远不止如此，它对公司处理营销、销售等活动的方式有着广泛的影响。

因为信息获取和推广将变得繁琐而困难。

比如公司的营销活动，仅仅提供免责声明和退出选项是远远不够的，公司必须审查业务流程、应用程序和表单，在用户注册前就提供各种文件，明确提醒用户有自主选择对将来产生数据的使用权，用户只有同意各种选项之后才能进一步注册。

任何数据都必须带有时间戳的审计线索，并有详细的使用信息，以及产生数据的消费者是如何选择的。如果你想直接购买数据，供应商得到了用户的允许还不算，你还得再次征求他们的同意。

在B2B领域，商务人员在各种会上搜集到的潜在客户信息，包括直接交换的名片，回到公司再录入公司的系统，已经是不可能的了，公司将不得不寻找新的客户信息收集方式。

甚至直接推送给用户广告，也将需要得到用户的允许……

 新法规下，企业该怎么办？

在GDPR法规正式实施之后，肯定会对中国很多全球性企业、以及出海企业有影响，那么，具体有哪些需要注意的地方呢？

GDPR最关键的组成部分是“隐私设计”。

这要求公司所有部门都要密切注意数据的收集和处理过程，为了符合GDPR的标准，公司需要做很多事，以下有5点建议可以参考。

1. 重新梳理公司的数据

重新审视公司所有跟个人信息相关的业务，把对这些信息的处理方式记录下来。确定数据储存在哪儿，谁有访问权限，数据是否存在风险。这不仅对符合GDPR标准有关，也会有助于改善客户关系管理。

2. 确定哪些是需要保留的数据

如果你还收集了很多并没有太多实际作用的数据，你很难过GDPR这一关，最简单的方式是删掉他们。但你也可以在清理的过程中反问自己，为什么要归档、保存这些数据？想要通过这些个人信息来实现什么？删除这些数据的经济收益是否大于加密。

3. 采取安全措施

在整个基础架构中制定和实施保护措施，来遏制任何数据泄露。这意味着要采取安全措施的同时，要与数据相关当事人迅速采取行动，通知个人和其他相关方。

此外，一定要和你的供应商核实下，外包不会免除你可能承担的责任，你需要确保他们也要有适当的安全措施。

 4. 复查文档

在GDPR下，简单的预选框和隐晦的同意栏将不再受用，你需要查看所有隐私声明和信息协议，并在需要时进行调整。

 5. 建立处理个人信息的程序

针对上文提到的个人在GDPR下的八项权利，你需要制定相关的规则和程序，来确定将如何处理每一种情况。

比如如果个人希望删除他的数据，应该是一个怎样的过程？如何确保数据在所有平台上都完成并真的被删除了？如果一个人希望他的数据被转移，你该怎么做？如何确认要求传输数据的人是个人数据的拥有者？数据泄露时的沟通计划是什么？

原文编译自：Supperoffice

原文链接为：https://www.superoffice.com/blog/gdpr/