GDPR
本文约需 2 分钟阅读
GDPR (General Data Protection Regulation,《通用数据保护条例》) 是 2018 年 5 月生效的欧盟关于个人数据保护的综合性法规。它适用于所有处理欧盟境内个人数据的组织 (包括欧盟境外的企业),违规时最高可处以全球年营业额 4% 或 2,000 万欧元的罚款。截至 2025 年,自 GDPR 生效以来累计罚款已超过 50 亿欧元,针对 Meta 和 Amazon 的大额处罚备受关注。
现场使用案例
“在面向欧盟的电商网站改版中,我们实现了 Cookie 同意横幅,使隐私政策符合 GDPR 要求,并开发了应对数据主体访问权与删除权的功能。我们搭建了用户可自行下载和删除其数据的自助门户,将应对 DSAR (数据主体访问请求) 的工作量削减了 90%。”
GDPR 的主要原则
GDPR 规定了七项原则:合法性、公正性与透明性 (明示数据处理的法律依据和目的)、目的限制 (禁止超出收集目的的使用)、数据最小化 (仅收集必要的最少数据)、准确性 (保持数据准确)、存储期限限制 (删除不再需要的数据)、完整性与保密性 (通过加密等措施进行适当保护)、问责制 (证明合规的责任)。GDPR 入门书 (Amazon)可以系统地学习。
对日本企业的影响
向欧盟居民提供服务的日本企业、在欧盟设有据点的企业,以及受欧盟企业委托处理个人数据的企业,都属于 GDPR 的适用对象。当电商网站接受来自欧盟的订单时,需要实现 Cookie 同意横幅、使隐私政策符合 GDPR 要求,并应对数据主体的权利 (访问权、删除权、数据可携权)。由于日本已获得欧盟的“充分性认定”,向日本转移个人数据原则上无需额外的保护措施即可进行。优化隐私设置是迈向 GDPR 合规的第一步。
实务中的应对要点
主要的应对事项包括:制作数据处理活动记录 (ROPA)、实施数据保护影响评估 (DPIA)、任命数据保护官 (DPO)。一旦发生数据泄露,有义务在 72 小时内通知监管机构,因此需要事先整备好数据泄露应对流程。为每项服务使用独有的强密码来保护处理个人数据的系统,并应用存储时加密与通信时加密,符合 GDPR 所要求的“适当的技术措施”。数据保护法务书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?