通用数据保护条例 (GDPR)

什么是通用数据保护条例 (GDPR)？

通用数据保护条例 (GDPR) 是一个法律框架，它为收集和处理居住在欧盟 (EU)的个人的个人信息设定了指导方针。由于该法规适用于任何网站，因此所有吸引欧洲访问者的网站都必须注意该法规，即使它们并未专门向欧盟居民推销商品或服务。

GDPR 要求欧盟访问者获得大量数据披露。该网站还必须采取措施促进此类欧盟消费者权利，以便在个人数据被泄露时及时通知。该条例于 2016 年 4 月通过，经过两年的过渡期，于 2018 年 5 月全面生效。

GDPR 的客户服务要求

根据规则，访问者必须被告知网站从他们那里收集的数据，并通过单击“同意”按钮或其他操作明确同意该信息收集。（此要求在很大程度上解释了网站收集“cookies”的披露无处不在“——包含个人信息的小文件，例如网站设置和偏好。）

如果网站持有的任何个人数据遭到破坏，网站还必须及时通知访问者。这些欧盟要求可能比网站所在司法管辖区的要求更严格。

还要求对网站的数据安全性进行评估，以及是否需要聘请专门的数据保护官(DPO) 或现有工作人员可以执行此功能。

必须可以访问有关如何联系 DPO 和其他相关工作人员的信息，以便访问者可以行使他们的欧盟数据权利，其中还包括删除他们在网站上的存在的能力，以及其他措施。（当然，该网站还必须增加人员和其他资源以能够执行此类请求。）

通用数据保护条例 (GDPR) 的其他规则和要求

作为对消费者的进一步保护，GDPR 还要求网站收集的任何个人身份信息(PII) 要么匿名（如术语所暗示的那样呈现为匿名）或假名（用假名替换消费者的身份）。假名化数据允许公司进行一些更广泛的数据分析，例如评估其客户在特定地区的平均债务比率——否则，这种计算可能超出了为评估贷款信誉而收集数据的最初目的。

GDPR 影响的数据超出了从客户那里收集的数据。最值得注意的是，也许该法规适用于员工的人力资源记录。

与 GDPR 相关的争议

GDPR 在某些方面引起了批评。有人说，任命 DPO 或仅仅评估对他们的需求的要求给一些公司带来了过度的行政负担。一些人还抱怨指南在如何最好地处理员工数据方面过于含糊。

此外，数据不能转移到欧盟以外的其他国家，除非接收公司保证与欧盟要求的保护程度相同。这导致人们抱怨对商业行为造成代价高昂的破坏。

还有一个问题是，与 GDPR 相关的成本会随着时间的推移而增加，部分原因是越来越需要对客户和员工进行有关数据保护威胁和解决方案的教育。人们还怀疑欧盟及其他地区的数据保护机构如何协调其对法规的执行和解释，从而在 GDPR 更全面生效时确保公平的竞争环境。