2019年的钟声已经响起，庆祝新年到来的同时，我们还是想为您敲响新年的第一次警钟。GDPR——欧盟《通用数据保护条例》，热度或许不在，噩梦依旧徘徊。

01 GDPR是什么

GDPR是英文“General Data Protection Regulation”的缩写，通常翻译为“通用数据保护条例”。由欧盟推出，目的在于遏制个人信息被滥用，保护个人隐私，于2018年5月25日正式生效。

GDPR可以直接在各欧盟成员国施行，不需要各国议会通过。目前欧盟有28个成员国，大约有5亿多人可以直接得到GDPR的保护。

02 GDPR概述

GDPR包括11个章节、99个条款。

GDPR加强和统一了欧盟内部个人的数据保护，公司必须对其系统和业务进行所有必要的修改以满足新的合规要求。

03 GDPR重点内容

GDPR是关于信息管理良好实践的业务规则，也是人权和消费者保护立法。

GDPR关注的关键问题，如数据主体的权利。该法规使人们更加关注数据（技术）的使用。

• GDPR涉及11个领域的管理，包括“同意”概念、个人敏感数据、问责机制、数据主体的权力、数据处理者、数据泄露的通知、数据保护者、数据处理者；

• 更多实体将受到监管，包括纯数据处理公司和非欧盟实体；

• 遵从义务将扩展到证据隐私影响评估、设计隐私权、被遗忘权和数据可移植性；

• 要求更高的透明度，如明确同意、违约披露等条款；

• 增加诉讼风险与扩大执法权力，如罚款，集体诉讼和增加赔偿索赔。

3.1 GDPR总体说明

如何存储：知道所有个人数据的存储位置；

设计隐私：尽量减少在设计阶段对新产品的个人数据和保障措施的使用和收集；

职责：任命数据保护官（DPO）；

通报机制：违规72小时内向监管机构披露；

数据披露：必须要有处理个人数据的声明与授权；

数据携带：将个人数据及时转移给其他所有者允许转移的公司；

被遗忘的权利：根据要求删除所有相关的个人数据；

数据的角色： 数据控制者、数据处理者；

用户画像：数据主体明确同意授权或者是签订合同所必需的时候。

3.2 关注点

罚款达到全球营业额的4%；

公民直接诉权；

72小时内报告数据泄露；

属地主义转化成属人主义；

定义扩展到：

（1）基因数据；

（2）IP地址；

（3）RFID标签；

（4）Cookie。

3.3 工作组补充条款

数据保护影响评估（DPIA）；

数据保护官（DPO）；

内容透明度；

同意的概念；

个人数据泄露；

识别数据控制者与数据处理者的权力；

行政罚款的设置与使用范围；

自动数据处理与分析。

（以下内容摘自世平信息-大伟哥自制PPT，有兴趣的看官请仔细阅图，图中自有黄金屋。。）

04 GDPR的3个重要定义

05 GDPR与网络安全法的联系

06 GDPR合规难点及应对措施

6.1 数据的发现

6.2 数据处理知情权

6.3. 大数据处理的规范

6.4 数据全生命周期管理

6.5 数据遗忘权

6.6 数据泄露应急处理

6.7 数据隐私评估