要想理解GDPR，这六大戒律你一定要留意

作者： Alice Aguirregabiria ， Guillaume Coulomb

翻译：Niamh Cloughley，李佩昂

GDPR 全称《通用数据保护条例》，于5月25日生效。你的公司是否还没开始遵守欧洲的这一新条例？你是不是在多次咨询过律师之后，还有一些问题没搞清？

其实，GDPR 没有那么可怕，恰恰相反，它能够增强贵公司和客户之间的信任，让你更好地掌控数据。这一条例将适用于欧盟28个国家，目的是更好地保护个人数据。数字革命之后，消费者行为迅速转变，这一条例就是为了响应这一趋势，以维护公民保护和使用个人数据的权力。一个品牌若想健康、可持续地发展，用户信任和数据安全是两大必不可少的战略原则。用户越来越关心自己的私人生活和网络数据的安全性（Cambridge Analytica / Facebook 丑闻就是很好的例子），他们必须要重新掌控自己的个人数据。许多行业的公司内部不同部门都在利用个人数据进行人事招聘、预测、开展针对性营销策略。然而，对于 GDPR，很多公司还是不知道从何处着手。不要担心！要想理解 GDPR，这六条原则一定要遵循：

1. 须征得同意

GDPR 的第一大支柱，在互联网行业常常被忽视：只有在当事人已经明确同意的情况下，才能够使用数据。“自愿选择”通常是在电子邮件广告中使用的一种方式，它必须更广泛地运用到各种被收集的数据上。然而，征得同意并不是处理数据的唯一合法条件。如果存在正当利益或者公司和用户签订了协议，也可能构成数据处理的条件。

为了保证透明度，处理数据的每一个用途都必须要征得用户的同意。比如说，用户为了接收订阅邮件，同意某家公司利用其数据，不意味着其同意这一数据会被分享给第三方。

知情同意

GDPR 将用户同意定义为“任何按照其意愿作出的、具体的、知情的、明确的指示，表明数据主体的意愿，数据主体通过声明或者明确肯定的行为，指示其同意自己相关的数据可以被处理。”

来源：GDPR 第一章第四节第11条

2. 须沟通信息

在得到用户同意之前，负责数据处理的公司必须明确地向用户沟通数据将被如何使用，以便用户行使自己的权利。

我的数据是如何被收集的？它储存在哪里，会储存多久？我能否行使“数据迁移权”（right to portability）将自己的数据从一方转移至另一方？如果我改变主意，我有没有权力使自己的数据被遗忘？说白了，公司必须告诉用户，他们对自己的个人数据有多大的控制权。

此外，这些信息必须要用一种容易理解的方式表达，而不需要囊括太多的专业或者法律细节。这就意味着专业人士必须要写出清晰、信息齐全的讯息，尽可能清晰地向用户解释他们的数据处理的策略。这些信息也必须容易获取。“透明度”就是其中的真谛。

3. 须定义目的和限制

收集数据的目的必须由数据处理公司提前说明。不用说，这些用途必须是合法且明确的。必须界定一段“合理“的数据使用和储存的时间。根据英国资讯委员会办公室（ICO）的《数据保护指南》，“处理个人数据，不管何种目的，其存放时间不得超过达成这一目的所需的时间”。比如说，如果一个公司三年都没有得到某一潜在用户的任何消息，那么这个人的数据必须被清除。

4. 须遵循准确性

所收集的数据必须准确，有必要时还需及时更新。公司必须将不准确的数据从记录中删除。这一原则在欧盟范围外也得到了遵循：2015 年，美国最高法院判定，公共记录搜索引擎 Spokeo 利用不准确的数据建立了一个错误的消费者画像，该消费者有权对其进行起诉。不准确的数据确实会伤害消费者，因此处理数据的公司也有责任要保持数据更新。

5. 须将安全性作为首要原则

在当今这个数据时代，安全风险是最严峻的挑战之一。这一准则一方面要求我们采取一定方法来保证用户数据的安全性，另一方面我们必须要有清晰高效的流程，来限制黑客或数据泄露的影响。近年来在社交网络上已经发生了多起个人信息泄露事件：2014 年的 Snapchat 事件，2016 年 Uber 事件，2017 年 Instagram 事件，还有 2018 年的 Facebook 事件。没有哪里是安全的！

6. 须承担责任

最后一点也很重要，GDPR 的根本准则就是，数据处理公司要承担责任，包括要随时都能证明，其数据和处理程序从收集到分析都是有效合规的。这一原则特别重要，因为比起 1995 年的数据保护方针，它在立法层面得到了加强。欧洲条例要求，公司内部要提名一个独立的代表来负责这一事项，即数据保护官，他们可以为决策者和数据处理专员提出一些建议。

不遵循这些原则，将会受到严重的惩罚。罚款可能高达 2000 万欧元，或者公司在全球收入的 4%。保险起见，还是遵守规则比较好！

总结一下：

想要获取更多的建议，以便为 GDPR 做准备，可以参阅英国资讯委员会办公室（ICO）的官方指南。

本文授权转载自：五十五数据公司（ID:fiftyfive_official），原文为：《通用数据保护条例：六大戒律》，首发于55 数据公司官方博客 The Tea House (www.teahouse.tech) 。