在过去的一个周末，欧盟史上最严厉隐私保护法GDPR正式生效。GDPR是二十年来数据隐私规则领域发生的最重要变化，给欧盟、乃至全世界的企业都将带来重大影响。无论企业是否在欧盟境内，只要与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民的数据，都必须严格遵守该条例。

想要快速了解法案内容？这些关于GDPR的知识点可以帮你快速理清脉络。

01什么是GDPR？

《一般数据保护法案》（General Data Protection Regulation (GDPR)）由欧洲议会投票通过，这项法案赋予欧盟公民更多的个人数据控制权，另外对那些收集、处理和存储个人数据的公司提出更高的责任要求，新法案由11章共99条组成，于2018年5月25日正式生效。（→_→完整法案内容可在文末获取查看）

GDPR作为一套用来保护欧盟普通公民个人隐私信息数据的新法规，对个人信息的保护及监管达到了前所未有的高度，是史上最严格的数据保护法案。

02适用的范围

    GDPR适用的数据主体，不仅仅是企业，也包括决定和参与个人数据处理的任何个人、组织，涵盖政府部门、公共组织、司法机构及其他实体。上述个人或实体（除欧盟境内企业及机构，只要涉及向欧盟境内个人提供服务并处理或监控个人数据）作为数据控制者或数据处理者的均在适用实体范围内。

03涉及哪些个人数据

“个人数据”定义是指任何指向一个已识别或可识别的自然人信息。该可识别的自然人能够被直接或间接的识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份认证标识，或者通过参照针对自然人的一个或多个要素（物理、生理、遗传、心理、经济、文化或社会身份）。这意味着GDPR扩大了定义，包括“已识别”和“可识别”的数据信息，已识别个人数据指传统个人数据（姓名、照片、电子邮件、电话号码、家庭住址、身份证号码、银行帐号或社保卡号等），可识别个人的信息是指位置定位数据、移动设备ID以及某些情况下的IP地址、生物特征数据和遗传数据等。

04对儿童数据的特别规定

GDPR在“信息社会服务中适用儿童同意的条件”规定，如果直接向儿童提供信息社会服务时，该儿童的年龄应当为16周岁以上。若儿童未满16周岁，只有在征得监护人同意或授权的范围内其处理才合法。各成员国可以对上述年龄进行调整，但是不得低于13岁。组织如涉及儿童个人数据的处理，应予以特别保护。

05数据泄露强制通知的规定

GDPR规定，在发生个人数据泄露时，除非个人数据的泄露不会产生危及自然人权利和自由的风险，否则数据控制者应在获知泄露之时起的72小时内向监管机构发送通知报告。组织应注意如发生个人数据泄露等安全事件，需履行的通报和告知义务。

06处罚的规定

不遵守规定的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。 

07GDPR对违规组织采取根据情况分级处理的方法：

如果组织未按要求保护数据主体的权益、做好相关记录，或发生了更为严重的侵犯个人数据安全的行为，如未获得客户同意处理数据，或核心理念违反“隐私设计”要求，或违反规定将个人数据跨境传输，或违反欧盟成员国法律规定的义务等，组织有可能面临最高2000万欧元或组织全球年营业额的4%（两者取其高）的巨额罚款。

汉武安全实验室针对GDPR中的核心要点深度分析了国内企业的应对策略。这里的应对建议涉及到系统架构、人员管理、流程管理、风险评估、业务逻辑、应急响应等众多环节，以下内容可作为企业自查的一种分析方式

1.必须明确询问用户，是否允许同意搜集他们的数据。必须以清晰的方式询问用户，而不能以任何方式默认用户授予开发者数据使用许可权。

2.提供自助登录入口，可供查询、更新个人信息；提供账户销毁/删除功能，确定服务或协议终结，可允许选择销毁账号及信息，并删除一切有关个人数据，包括第三方账户登录（可以通过加密数据，然后删除密钥）。

3.需要加强密钥管理以保护加密的数据，合理区分数据控制者和数据处理者，对权限和身份进行合理划分。

4.识别数据存储的位置（特别需要注意云计算服务资源），数据的类型及风险级别，严格把控信息数据的访问控制。

5.遵守“知其所需”（Need to know）原则，只收集所需要的最少个人数据，并采取技术和管理措施来保护数据的存储安全和传输安全，避免个人数据被篡改、丢失、未经授权披露或被恶意攻击。

6.设置专门的隐私保护人员，实施问责机制；建立数据生命周期管理，定期更新或销毁，定义流程及描述以对数据泄露做出敏捷反应。

7.建立内部隐私管控制度，并与专业数据安全服务公司保持联系。

8.进行全面的风险评估；应用关键安全控制来恰当地检测、管理和缓解数据处理环境中的任何漏洞；根据企业策略配置系统，并维护该配置；持续监视日志文件，警惕任何潜在数据泄露或漏洞。

面对“史上最严”的数据监管条例，帕拉迪拥有专业资深的数据安全专家团队为其保驾护航。在确保企业和产品满足GDPR合规要求的前提下，帕拉迪也将为渠道合作伙伴和客户提供数据安全方面的支持和建议。

01

帕拉迪的汉武安全实验室是由一支专业的数据安全专家组成的团队，该团队可以帮助客户对数据保护条例的具体要求及数据安全现状进行解读与分析，协助客户发现数据安全防护弱点，建立数据安全防护，提升整体信息安全防护能力与等级。

02

帕拉迪产品从设计之初，就拥有中英操作界面，并联合合作伙伴一起打开了海外市场。在产品的海外销售过程中，我们根据各国的法律、文化、政策等要求都做了较为严格的产品整改。从使用界面、交付流程、报表展现、底层加固、文化适应等多方面，与合作伙伴一起进行了上千项耗时一年多时间的整改工作。帕拉迪的产品不但交付到了亚非拉，同时也获得了欧盟某成员的国电信级用户的信赖支持。面对新的GDPR法案要求，帕拉迪已具备适用的根基，并且有能力、有经验根据条例要求进行一系列的整改。

Tips:

关于欧盟 GDPR 原文，参见：

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv：OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

由汉武安全实验室整理中文翻译版网盘链接：

https://pan.baidu.com/s/1W0hvOcGzXfkNhOg8wDtLxg

全国信息安全标准化技术委员会秘书处发布《网络安全实践指南——欧盟GDPR 关注点》：

https://www.tc260.org.cn/upload/2018-05-25/1527251794595094938.pdf