最近國外很多科技企業(yè)都在更新自己的服務(wù)條例（就是那個(gè)你沒細(xì)看就同意了的），起因則是歐洲5月份即將執(zhí)行的GDPR法案，GDPR全稱General Data Protection Regulation，直譯就是“數(shù)據(jù)保護(hù)總條例”。這是一個(gè)歐盟關(guān)于個(gè)人信息的法案，該法案保證在歐盟的居民可以自由選擇如何處理他們的個(gè)人資料，包括如何存儲和使用他們的數(shù)據(jù)；這里的保護(hù)應(yīng)用范圍并不僅是在歐企業(yè)，也包括所有處理歐盟居民私人數(shù)據(jù)的國際企業(yè)。因此不論你是中國企業(yè)、美國企業(yè)或是新西蘭企業(yè)，如果你的服務(wù)提供給了歐盟的用戶而你又沒有遵守這個(gè)法案，你就有可能面臨處罰。最近從Xero官博看了一篇文章解釋GDPR，我對其中部分進(jìn)行了翻譯，現(xiàn)轉(zhuǎn)給你。

GDPR意味著什么

盡管初見GDPR有點(diǎn)嚇人，但很多人看到了社會對于數(shù)據(jù)保護(hù)方面的進(jìn)步。這里羅列出一些GDPR包括的領(lǐng)域：

• 屬于歐盟個(gè)人的數(shù)據(jù)（絕對意義的所有人）包括企業(yè)的客戶，員工，供應(yīng)商以及所有會被收集私人信息的個(gè)體。私人信息包括姓名，聯(lián)系方式，健康水平，信用卡或銀行賬號。
• 收集私人信息的方式只有合法的情況下企業(yè)才可以收集個(gè)人信息，比如說企業(yè)可能需要這些信息來完成銷售合同，或者客戶請求企業(yè)發(fā)一些有關(guān)產(chǎn)品或服務(wù)的信息給他。無論如何，企業(yè)必須清晰的說明什么樣的個(gè)人信息被用來做什么，且只能被用來做什么。
• 各類協(xié)議及合同條款這些東西必須簡單清晰，容易理解，并避免復(fù)雜的法律條款。
• 知情權(quán)個(gè)人可以質(zhì)疑企業(yè)保存了什么樣的個(gè)人信息。這個(gè)條款以前就有，但新的法律規(guī)定，企業(yè)必須在一個(gè)月內(nèi)給予答復(fù)，并且不可以收費(fèi)（以前可以）。
• 信息銷毀權(quán)客戶可以要求企業(yè)刪除所有關(guān)于自己的私人數(shù)據(jù)，除非企業(yè)處于合法的原因保留他們，比如繳稅記錄。
• 數(shù)據(jù)導(dǎo)出權(quán)個(gè)人可以申請一份個(gè)人數(shù)據(jù)的數(shù)字拷貝，并不能限制他們使用這份拷貝的用途，比如他們想要更換服務(wù)提供商。

注：因?yàn)檫@項(xiàng)法案的通過在英國脫歐前，所以這項(xiàng)法案將適用于英國。

GDPR和數(shù)據(jù)保護(hù)

GDPR的出現(xiàn)意義重大，在它出現(xiàn)之前，企業(yè)把個(gè)人信息當(dāng)做他們可以利用的資源，完全不顧每個(gè)個(gè)體的權(quán)利。比如說，有些公司公然販賣客戶的Email地址，允許未經(jīng)授權(quán)的人查看敏感信息，或者沒有足夠的安全措施來抵御黑客等等。GDPR把對個(gè)人信息的控制權(quán)交還給了每個(gè)人自己，并且要求組織把數(shù)據(jù)保護(hù)當(dāng)做日常操作流程中重要的組成部分。這個(gè)法案帶來的沖擊首先可能會是那些大的，數(shù)據(jù)驅(qū)動的企業(yè)，但小企業(yè)也不能豁免。下面我們就看看，面對GDPR，小企業(yè)應(yīng)該如何去做。

小企業(yè)GDPR檢查清單

GDPR包含很多方面，但它最基本的要求便是清晰和有職業(yè)操守——即像對待自己的珍貴的東西那樣對待它。下面羅列一些比較簡單、實(shí)用的點(diǎn)，幫助你符合GDPR的要求：

檢查產(chǎn)品和服務(wù)

• 檢查哪些產(chǎn)品和服務(wù)在收集和處理私人信息
• 確認(rèn)在處理私人信息的時(shí)候有足夠合法的理由
• 確認(rèn)可以執(zhí)行GDPR里定義的對用戶的義務(wù)（比如說知情權(quán)和銷毀權(quán)）

審查通知和合同

• 根據(jù)GDPR的要求，更新內(nèi)部和外部的通知
• 根據(jù)GDPR的要求，更新用戶合同

指責(zé)到人

• 指定一個(gè)人負(fù)責(zé)數(shù)據(jù)保護(hù)和數(shù)據(jù)隱私
• 考慮是否需要設(shè)立專門職位（Data Protection Officer）——參見ICO的手冊
• 為員工提供數(shù)據(jù)保護(hù)方面的培訓(xùn)

關(guān)心系統(tǒng)安全

• 確認(rèn)系統(tǒng)在收集、處理和存儲私人數(shù)據(jù)時(shí)安全、可靠。

GDPR將在2018年5月正式開始執(zhí)行，所以有潛在歐盟區(qū)用戶的企業(yè)們，要抓緊時(shí)間改代碼嘍。不過該法案的保護(hù)對象是企業(yè)收集的個(gè)人信息，所以如果你們“承諾”不保存信息，也就沒關(guān)系了。不過估計(jì)歐盟區(qū)的用戶翻墻也會很辛苦，你們直接把歐盟的IP墻掉就好了。

雖然說起來，可能覺得歐洲的人們有點(diǎn)過度敏感了，但依然很高興可以看到這樣一個(gè)強(qiáng)制性的法規(guī)來保護(hù)私人信息。反觀我國這方面，一個(gè)新手機(jī)號簽收一次快遞后，便幾乎可以收到各個(gè)行業(yè)的推銷電話。雖然我國早在2015年便出臺了《網(wǎng)絡(luò)安全法》，不過似乎重點(diǎn)在安全而不在網(wǎng)絡(luò)上。特別其中的網(wǎng)絡(luò)實(shí)名制制度非常成功，在此影響下，現(xiàn)在的網(wǎng)絡(luò)環(huán)境異常干凈整潔。我國的網(wǎng)絡(luò)安全程度，再一次走在了世界的前列。