来源：软件定义世界（SDX） 

GDPR 近年来，成为了影响全球数据保护  最大的法规，将于2018 年5 月25 日正式全面实施。如无法符合其要求，组织将可能面临高额罚款。

背景

随着科技发展，个人数据更容易被储存，运用及传达，大幅增加了隐私权的风险。欧盟委员会于是着手立法，于2012 年提出通用数据保护条例（General Data Protection Regulation, GDPR）草案。

GDPR简介

欧盟通用数据保护法规（GDPR）整合隐私保护指令、电子通信隐私保护指令、及欧盟公民权力指令，历经四年讨论方于2016 年4 月27 日经欧洲议会通过，并将于2018 年5 月25日正式全面实施。

GDPR 近年来，成为了影响全球数据保护最大的法规。

不管你是法人或自然人，不论公司规模大小，拥有的欧洲民众个人数据多寡，只要你的核心业务直接或间接和欧洲民众个人数据的搜集、处理和利用有关的话，到2018 年5 月之前，从内部系统到数据安全，都须及时调整，以便能够符合GDPR 对于个人数据保护的规范和要求。

GDPR——强化数据保护和隐私权

GDPR 的这项改革对企业来说无疑有着深远影响，不仅欧盟境内的公司，所有接触、处理欧盟公民资料的企业组织也将收到影响。

GDPR 改革新制的目标：

强化个人隐私权，透过设计符合需求的政策，从法规层面入手

强化欧盟内部市场，透过制定清楚、周密的新法规，赋予个人自由转移数据的权利

确保新法规实施的一致性

设定全球数据保护标准

维护各行各业数据保护的黄金标准

企业组织只要有来自欧盟的客户、合作伙伴，就不能置身事外，首先须留意以下GDPR 的7个重点。

GDPR 的 7 个重点

01

高额罚款

第一层：最高罚款1 千万欧元或年度全球营业额的2%，择金额较高者罚之；

第二层：最高罚款2 千万欧元或年度营业额的4%，择金额较高者罚之。

02

个人数据删除权

如个人想收回个人数据处理权限，而持有单位无正当理由继续保存该数据，则须予以删除，并且须由数据收集单位负责证明数据有留存必要，而非由个人数据当事人（个人）负责举证。

03

新法重新修订同意权概念

新法重新修订同意权概念，以确保个人数据使用透明度。

收集资料时须充分且明确告知个人数据当事人资料的所有用途，且个人数据当事人现在得基于任何理由随时撤销同意。

04

资料若外泄，须依法告知

现在若企业发现数据遭到泄露，须于得知72 小时内汇报主管机构及通知受影响的个人数据当事人。

05

个人数据可授权

新法规规定，个人数据当事人应有权利将个人数据从原本的数据持有单位（以常用电子格式）转移至另一单位，原持有单位不得阻碍干涉。

06

隐私权政策设计

这是新法规的核心精神之一，旨在改变业界整体思维，以及企业制定数据保护政策的方式。

根据第23 条法规，企业应根据业务程序发展，制定符合需求的个人数据保护政策。

07

指派个人数据保护负责人（DPO）

企业现在必须指派个人数据保护负责

人（DPO），而DPO 须为独立职位，且向主管机构负责，而非董事会。

GDPR规范的范围：

GDPR 除了适用在欧盟地区注册的企业，或者是不是欧盟注册的企业，但在欧盟营运，或者是，有搜集、处理或利用欧盟民众个人数据的企业或组织等，都在GDPR的规范中。

如何达成GDPR 合规，完成【了解】、【执行】、【改善】三阶段

为符合欧盟GDPR 法规要求，可依【了解】、【执行】、【改善】三阶段来逐步达成秉持合规状态。

01

【了解】

1. 董事会和高层主管的意识研讨会

2. 绘制数据资产工作流程

3. 差异分析

4. 法律和法规要求评估

5. 数据保护风险评估

6. 训练及员工教育

02

【执行】

1. 数据保护负责人（DPO）

2. 隐私权法规遵循架构研发

3. 数据保护和隐私权执行

4. 隐私权设计——隐私权影响评估及变更管理

5. 执行、运作和改善安全措施

• 渗透测试

• 加密使用审查

• 时间管理和数据外泄

• 安全控制

• 当事人存取要求、包括电子见证

03

【改善】

1. 法规遵循专业能力审查

2. 法规遵循和保证评审

• 隐私权合规审核

• 内部审核

• 独立第三方审核

• 主管机构审核的准备

• 验证

（例如：BS 10012、 PCI DSS）