什麼是GDPR？

通用數據保護條例GDPR (General Data Protection Regulation) 是一項新的歐盟條例，它將取代1995年頒布的《數據保護指令》(Data Protection Directive 95/46/EC)。該條例將於5月25日正式生效。條例的主要內容可概括為增強數據監管力度，提高對歐盟公民的隱私保護，最大限度的降低企業濫用數據的問題。

GDPR的四大轉變

1. 全球適用，一站式監管

GDPR要求在多個歐盟國家設有辦事處的組織將有一個「核心的監督機構」作為執行的中心點，以一個點作為最高的監督執行機構，確保不會因地域不同引起紛爭。同時GDPR還包含了一個新的要求，即在正式生效後，企業必須在得知個人數據泄露的72小時內通知其國家的監管當局，除非數據是匿名的或加密的。可能對個人造成傷害的違規行為，如身份盜竊或違反保密性，也必須向有關人員報告。也就是說全世界的公司，無論數據存儲和處理地點在哪兒，即便業務範圍不在歐盟境內，但只要公司有任何來自歐盟成員國的用戶，就必須遵守GDPR。並且企業主成立地所在國家的監管機構將作為主導監管機構對企業的所有數據活動負有監管權力，其效力輻射於全歐境內。

2. 數據保護，用戶權利

企業在收集用戶提交的註冊、報名、下載、參與活動等個人信息時，必須確保用戶已經同意企業行為。GDPR在要求獲得同意時，提高了公式的標準，遵循用戶「自由地給予、明確、知情」，企業需要使用「清晰易懂」的法律語言來進行用戶權益闡述，不可以通過其他國家語言或其他方式來模糊權益說明。同時企業還必須能夠提供證明，用戶的同意行為是自願的，而非強制同意，同時也必須通知他們有權撤回該同意。

3. 內部程序

對於處理個人數據，有若干新的原則，包括在開發系統時在數據隱私的設計構建要求，企業有義務在使用「新技術」或以風控方式處理數據隱私影響評估。數據隱私影響評估是一個系統地考慮項目可能對個人隱私造成潛在影響的過程，從而最大限度減少觸碰數據隱私紅線的風險。

在安全方面，GDPR將要求許多企業擁有數據隱私官（DPO）來監督他們的遵守情況。需要DPO的組織包括公共機構，其活動涉及大規模的數據主體的定期和系統監控，或組織（如醫院，保險公司和銀行）大規模處理當前已知的敏感個人數據。

4. 責任與處罰

GDPR將要求企業在運營過程中，進行數據的授權記錄、授權實施過程等，能夠在地方監督當局證明他們符合GDP要求。同時應培訓員工，並採取適當的技術和組織措施確保和證明符合性。GDPR的重要性可以從懲罰措施中得以重，違規企業將被處罰以1000萬歐元或全球營收入的2%（兩者取其高），嚴重者處罰以2000萬歐元或全球營收入的4%（兩者取其高）（摺合約1.5億元人民幣）。

以上為Focussend總結GDPR部分觀點，在GDPR的影響下，絕大多數以互聯網作為業務開展的公司都會在某些環節產生困擾。

在GDPR下企業該怎麼辦?

以下為Focussend針對企業應對GDPR規範，應做的調整進行詳細梳理。

1. 內容準備：企業GDPR說明文本清晰明確

? 企業內部的「服務協議」和「隱私條款」需要針對 GDPR 做相應調整，制定適合企業自身情況的規則說明文檔。

2. 新用戶：表單入口明確權益告知

? 在訂閱、註冊等全部數據採集入口設置明顯告知用戶窗口。

3. 新用戶：表單入口明確權益告知。

? 針對全部已有會員用戶發送申請許可郵件，未授權用戶三天後繼續發送，儘快獲取授權。（郵件模板可直接選用後臺模板）

? 用戶點擊郵件內的 "DO IT NOW" 按鈕，跳轉到我們在 "GDPR" 功能模塊中生成的授權鏈接。

4. 已有會員：用戶自主完成授權

? 授權頁面默認不勾選用戶授權的內容，需要用戶自己進行勾選然後點擊「授權」

? GDPR 正式生效後，可在郵件發送界面的「排除組」那裡進行勾選，對未獲得授權的用戶不再進行發送。

5. 已有會員：允許隨時撤銷許可或修改授權

? 針對一直未對是否授權做明確回應用戶，以及已許可用戶，在後期每封郵件推送中，均需設置明顯的撤銷許可標識。

? 允許用戶隨時取消授權行為。? 允許用戶隨時修改個人信息內容。

大數據時代不能變成一個沒有隱私、沒有禁忌的時代，相反，應該更加註重保護隱私。人們在享受互聯網帶來技術紅利的同時，不能忘了技術發展的初衷。企業。須知無視法律法規、缺少社會責任，終究會作繭自縛、失去信賴。企業與個人唯有共同守住數據保護的紅線，我們才能進入真正大數據。

推薦閱讀：