《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR）為歐洲聯(lián)盟的條例，是歐盟議會(huì)和歐盟理事會(huì)在?2016?年?4?月通過，在?2018?年?5?月開始強(qiáng)制實(shí)施的規(guī)定。GDPR規(guī)定了企業(yè)了在對(duì)用戶的數(shù)據(jù)收集、存儲(chǔ)、保護(hù)和使用時(shí)新的標(biāo)準(zhǔn)；另一方面，對(duì)于自身的數(shù)據(jù)，也給予了用戶更大處理權(quán)。GDPR的目的在于遏制個(gè)人信息被濫用，保護(hù)個(gè)人隱私。

關(guān)于GDPR

GDPR規(guī)定了所有歐盟的公民所享有的數(shù)字生活中的權(quán)利，其前身為?1995?年開始執(zhí)行的《數(shù)據(jù)保護(hù)指令》（Data Protection Directive），大部分 GDPR條款都從其繼承而來，同時(shí)GDPR在生效后會(huì)取代舊的規(guī)定。在歐盟的法律體系中，指令（directive）和條例（regulation）是兩種不同的形式：指令不直接適用于各成員國(guó)，還需要成員國(guó)自行轉(zhuǎn)化成為其國(guó)內(nèi)法，在轉(zhuǎn)化過程中成員國(guó)有一定的自主裁量權(quán)；條例則對(duì)各成員國(guó)有直接適用的效力。在歐洲，事實(shí)上也是目前世界范圍中，GDPR 是最完善、最嚴(yán)格的隱私保護(hù)規(guī)定。

GDPR在歐盟法律框架內(nèi)屬于“條例”，此前已經(jīng)在歐洲議會(huì)（下議院）和歐盟理事會(huì)（上議院）通過，可以直接在各歐盟成員國(guó)施行，不需要各國(guó)議會(huì)通過。目前歐盟有28個(gè)成員國(guó)，大約有5億多人可以直接得到GDPR的保護(hù)。值得一提的是，雖然英國(guó)已經(jīng)啟動(dòng)脫歐程序，但也同樣批準(zhǔn)了GDPR，并且同樣從5月25日開始正式推行。

根據(jù)GDPR的規(guī)定，企業(yè)在收集、存儲(chǔ)、使用個(gè)人信息上要取得用戶的同意，用戶對(duì)自己的個(gè)人數(shù)據(jù)有絕對(duì)的掌控權(quán)。

新規(guī)緣由

1、為歐盟公民提供更多使用自己的個(gè)人資料的權(quán)力；

2、加強(qiáng)數(shù)字服務(wù)提供者與他們所服務(wù)的人之間的信任；

3、為企業(yè)提供明確的法律框架，通過在歐盟單一市場(chǎng)上制定統(tǒng)一的法律來消除任何區(qū)域差異。

影響

1、GDPR是迄今為止覆蓋面最廣的全球性數(shù)據(jù)隱私保護(hù)法規(guī)，于2018年5月25日正式生效。

2、任何處理歐洲公民個(gè)人數(shù)據(jù)的組織都必須遵守該條例。

3、不遵守GDPR通知義務(wù)可能面臨高達(dá)1000萬歐元或相當(dāng)于全球年?duì)I業(yè)總額2%的罰款（以其中較高者為準(zhǔn)）。不遵守監(jiān)管機(jī)構(gòu)的命令可能會(huì)面臨高達(dá)2000萬歐元或相當(dāng)于全球年?duì)I業(yè)總額4%的罰款（以較高者為準(zhǔn)）。

適用地域范圍

1、GDPR適用于在歐盟境內(nèi)設(shè)有業(yè)務(wù)機(jī)構(gòu)（establishment）的組織，只要這些組織在業(yè)務(wù)機(jī)構(gòu)在歐盟境內(nèi)的活動(dòng)中處理個(gè)人數(shù)據(jù)（而不論此類處理行為是否實(shí)際發(fā)生在歐盟境內(nèi)）。

2、如某一組織雖不在歐盟境內(nèi)設(shè)立業(yè)務(wù)機(jī)構(gòu)，但卻處理歐盟境內(nèi)個(gè)人的個(gè)人數(shù)據(jù)，并且此類處理行為與向歐盟境內(nèi)個(gè)人提供商品或服務(wù)相關(guān)，無論該等商品或服務(wù)是否收費(fèi)，則也應(yīng)當(dāng)適用GDPR。

3、GDPR適用于非歐盟組織處理歐盟境內(nèi)個(gè)人的個(gè)人數(shù)據(jù)，只要此類處理行為涉及對(duì)這些個(gè)人的行為進(jìn)行監(jiān)控，且該處理行為發(fā)生在歐盟。

GDPR完善和嚴(yán)格的體現(xiàn)

1、企業(yè)部分

（1）首先，企業(yè)在收集用戶的個(gè)人信息之前，必須以“簡(jiǎn)潔、透明且易懂的形式，清晰和平白的語言”向用戶說明：將收集用戶的哪些信息；收集到的信息將如何進(jìn)行存儲(chǔ)；存儲(chǔ)的信息會(huì)如如何使用；企業(yè)的聯(lián)系方式。也就是說，之前的那種通過使用模糊的、容易混淆的語句連哄帶騙的使用戶同意被收集數(shù)據(jù)的做法是不再被允許的。在這個(gè)語境中，“個(gè)人信息”是指如IP、郵箱地址、用戶名等一切能確定用戶的身份的信息。

（2）其次，GDPR的處罰力度非常高，高到足夠引起所有的公司重視。每次違反條例最高處罰金額為該公司年度營(yíng)業(yè)額的4%，或者2000萬歐元，取決于哪個(gè)數(shù)值更大。

2、用戶部分

（1）概述：用戶作為消費(fèi)者，隨著 GDPR 的實(shí)施，享有多種權(quán)力。

（2）享有的權(quán)力：

①數(shù)據(jù)訪問權(quán)：用戶有權(quán)給予向企業(yè)問詢個(gè)人信息是否正在被處理，如果正在被處理的話，可以繼而了解：處理的目的；相關(guān)數(shù)據(jù)類型；數(shù)據(jù)接收方的信息；如果對(duì)象是數(shù)據(jù)接收方，可以問詢其數(shù)據(jù)來源。

②被遺忘權(quán)：用戶有權(quán)要求企業(yè)刪除掉個(gè)人數(shù)據(jù)，當(dāng)數(shù)據(jù)已經(jīng)披露給第三方時(shí)，用戶可以繼而要求他們刪除相關(guān)數(shù)據(jù)。

③限制處理權(quán)：用戶有權(quán)禁止企業(yè)將信息用于特定的用途，像禁止企業(yè)用于垂直營(yíng)銷。假如最近在購物網(wǎng)站搜索了“精釀啤酒”為關(guān)鍵詞的商品，網(wǎng)站的推薦信息流或者和該網(wǎng)站有合作的其他站點(diǎn)中可能就會(huì)向你推薦類似的“精釀啤酒”，我們現(xiàn)在可以要求該公司不能將這件事透露給其他公司，甚至特可以要求該公司本身也不能把這件事用于任何營(yíng)銷活動(dòng)。

④數(shù)據(jù)攜帶權(quán)：簡(jiǎn)單來說，當(dāng)用戶想離開某個(gè)平臺(tái)時(shí)，可以要求該平臺(tái)將用戶在該平臺(tái)產(chǎn)生的數(shù)據(jù)，以格式化的、機(jī)器可處理的格式提供給用戶。

消費(fèi)者受益

1、更多隱私：企業(yè)被要求只能收集和處理基于特定目的所需的個(gè)人數(shù)據(jù)，并采取措施保護(hù)個(gè)人數(shù)據(jù)。

2、個(gè)人數(shù)據(jù)更安全：隨著對(duì)收集和處理個(gè)人數(shù)據(jù)實(shí)施更嚴(yán)格的規(guī)則，數(shù)據(jù)泄露事件發(fā)生的可能性會(huì)更少。

3、更好地控制他們的購物體驗(yàn)：消費(fèi)者可以事先決定是否要接收來自企業(yè)的營(yíng)銷電子郵件，或者是否允許網(wǎng)站追蹤他們的行為用于分析和再營(yíng)銷。

企業(yè)如何應(yīng)對(duì)GDPR

1、內(nèi)容準(zhǔn)備：企業(yè)GDPR說明文本清晰明確。

（1）企業(yè)內(nèi)部的“服務(wù)協(xié)議”和“隱私條款”需要針對(duì)GDPR做相應(yīng)調(diào)整，制定適合企業(yè)自身情況的規(guī)則說明文檔。

（2）清晰明確表明企業(yè)將收集的數(shù)據(jù)、使用及用戶享有的許可或撤銷許可權(quán)益。

（3）保證多語言版本，不可利用語言不同等，模糊規(guī)定而獲取用戶的許可。

2、新用戶：表單入口明確權(quán)益告知。

（1）在訂閱、注冊(cè)等全部數(shù)據(jù)采集入口設(shè)置明顯告知用戶窗口。

（2）位置醒目、內(nèi)容明確清晰。

（3）可存在自動(dòng)勾選強(qiáng)制同意行為，獲得用戶主觀許可后才可使用

3、已有會(huì)員：用戶自主完成授權(quán)。

（1）授權(quán)頁面默認(rèn)不勾選用戶授權(quán)的內(nèi)容，需要用戶自己進(jìn)行勾選然后點(diǎn)擊“授權(quán)”。

（4）GDPR 正式生效后，可在郵件發(fā)送界面的“排除組”那里進(jìn)行勾選，對(duì)未獲得授權(quán)的用戶不再進(jìn)行發(fā)送。

4、已有會(huì)員：允許隨時(shí)撤銷許可或修改授權(quán)。

（1）針對(duì)一直未對(duì)是否授權(quán)做明確回應(yīng)用戶，以及已許可用戶，在后期每封郵件推送中，均需設(shè)置明顯的撤銷許可標(biāo)識(shí)。

（2）允許用戶隨時(shí)取消授權(quán)行為。

（3）允許用戶隨時(shí)修改個(gè)人信息內(nèi)容。

社交媒體營(yíng)銷（或廣告）怎么做

1、根據(jù)GDPR，如果想使用客戶數(shù)據(jù)或追蹤他們行為用于廣告目的，您必須獲得這樣做的法律依據(jù)。也就是說，您必須獲得客戶的明確同意。

2、您必須給予您的客戶一個(gè)自由和真實(shí)的選擇來接受或拒絕（并允許輕松撤回他們的同意）。

3、您必須說明將收集客戶的哪些數(shù)據(jù)以及如何使用這些數(shù)據(jù)。同意的請(qǐng)求必須使用清晰和簡(jiǎn)單的語言，方便客戶理解。用戶沒主動(dòng)反應(yīng)也不構(gòu)成同意。您的客戶必須采取行動(dòng)。（例如，不允許預(yù)先勾選同意方框。）

4、由于獲得同意的要求非常嚴(yán)格，所以最好直接參閱相關(guān)規(guī)定并與您的法律顧問聯(lián)系。多種社交媒體廣告特征，包括使用您上傳的客戶數(shù)據(jù)，收集個(gè)人數(shù)據(jù)或在您的網(wǎng)站上的追蹤用戶行為。如果您有涉及到上述行為，那么進(jìn)一步研究應(yīng)采取的行動(dòng)將非常有用。

對(duì)相關(guān)企業(yè)的影響

Google和Facebook在GDPR生效日分別收到了歐盟39億歐元、37億歐元罰款的訴訟。蘋果、亞馬遜、Linkedin等公司也面臨隱私監(jiān)管機(jī)構(gòu)提起的訴訟。GDPR生效后，芝加哥時(shí)報(bào)、洛杉磯時(shí)報(bào)等多家美國(guó)媒體網(wǎng)站在歐洲的服務(wù)器關(guān)停。

微信海外版、新浪微博國(guó)際版等多家互聯(lián)網(wǎng)企業(yè)向歐洲區(qū)用戶更新隱私政策，請(qǐng)求重新授權(quán)。QQ停止部分國(guó)際版服務(wù)，并將推出新版本，提示用戶升級(jí)。國(guó)航、東航均對(duì)其APP及官方網(wǎng)站隱私條款進(jìn)行了更新。海爾、華為早已雇請(qǐng)專門團(tuán)隊(duì)?wèi)?yīng)對(duì)新規(guī)。