（原標題：GDPR: The EU’s General Data Protection Regulation, explained）

網易科技訊 5月25日消息，據CNET報道，歐盟為保護數據隱私而製定瞭一部新法，也就是《通用數據保護條例》（GDPR）。今天，這部新法在歐盟28個成員國生效。這部法律改變瞭那些收集、存儲或處理大量歐盟居民信息的公司遵循的規則，要求他們對自己擁有的數據和用於共享的數據更加開放。

這意味著，任何在歐盟擁有數字業務的公司(目前仍包括英國)將不得不遵守這部法律，否則將麵臨巨額罰款處罰。自歐洲議會於2016年4月通過該法案以來，其將在2年內生效的最後期限已經到期。今年3月份，當劍橋分析公司(Cambridge Analytica)濫用數據醜聞曝光時，隱私權倡導者將其作為最典型例證，說明為什麼互聯網用戶可能想要更多個人數據控製權，包括誰可以訪問他們的數據。

今年4月份，Facebook首席執行官馬剋·紮剋伯格(Mark Zuckerberg)在美國國會發錶的證詞中，GDPR字眼兒曾齣現過好幾次。不久前，歐洲議會議員在布魯塞爾對紮剋伯格提齣質詢時，這部法案也是其中一個主要焦點。歐盟官員錶示，他們對紮剋伯格有關GDPR問題的答復並不滿意，後者已經承諾將繼續以書麵形式給齣迴答。

紮剋伯格對美國國會議員們說:“我認為，總的來說，GDPR對於互聯網來說將是個積極的促進力量。”他接著討論瞭Facebook收緊數據政策的計劃，保護用戶不受進一步數據泄露事件的影響，並使在其網站上打廣告變得更加透明。不僅僅是像Facebook這樣的傢喻戶曉的互聯網巨頭必須遵守新法，醫療保健提供者、保險公司、銀行和其他處理敏感個人數據的公司也將麵臨嚴格的監管。

GDPR將對我們的網絡足跡産生重大影響，以及我們使用的應用程序和服務如何保護或利用這些數據。下麵，我們就與GDPR有關的重點問題進行解讀：

何為GDPR？

《通用數據保護條例》是一項全麵的法律，賦予歐盟居民更多的個人數據控製權，並試圖澄清在綫服務對歐洲用戶數據收集、存儲以及使用的規則和責任。GDPR取代瞭1995年通過的歐盟數據保護 法律，並對現有的公約進行瞭大幅修改。新法擴大瞭企業必須考慮的個人數據範圍，並要求它們密切跟蹤存儲的歐盟居民個人數據。如果歐盟某個人想要某傢公司刪除他或她的數據、發送數據拷貝或者更正數據中的錯誤，這些公司都必須照做。

不僅如此，歐盟居民現在可以反對公司使用他們數據的具體方式。但隻要公司停止使用這些數據，他們不會介意這些數據的特定用途。更重要的是，新法要求公司在數據泄露的72小時內通知用戶，目前很少有公司這麼做。例如，美國個人信用評估機構Equifax遭到黑客襲擊，美國和其他地區數百萬用戶個人信息被泄露，該公司先花瞭數周時間來阻止攻擊，然後在告知公眾之前製定好如何處理損害的計劃。

歐盟如何實施GDPR？

歐盟的每個成員國都有自己的執行機製，每個國傢都有自己的GDPR主管。居民可以嚮各自國傢的管理機構投訴，違反法律的公司將麵臨可能非常嚴重的處罰。違反GDPR法律的最高罰款金額為2000萬歐元，或相當於該公司年度全球收入的4%，屆時哪個數額更高，就會按照哪個標準計算。

GDPR隻適用於歐盟的公司嗎?

並非如此，這也是它為何引發國際關注的原因之一。GDPR適用於任何收集、處理、管理或存儲歐洲公民數據的組織。這包括大多數主要的在綫服務和企業，它們靠收集、處理、管理或存儲數據為生。正因為如此，GDPR實際上為數據保護設定瞭一個新的全球標準。

GDPR保護哪些數據?

該條例適用於廣泛的個人數據，包括個人姓名、身份證號碼。它也保護可以顯示某人在綫和現實世界活動的信息，包括位置信息、IP地址、cookie以及其他數據，這些數據可以讓公司在用戶瀏覽互聯網時跟蹤他們。

GDPR將如何影響Facebook和其他社交媒體公司？

許多大型在綫服務和社交媒體公司正在更新他們的隱私政策和服務條款，以準備應對新法。鑒於剛剛爆發瞭劍橋分析公司(Cambridge Analytica)濫用數據醜聞以及過去對該公司收集數據的擔憂，Facebook的迴應肯定會受到歐洲監管機構的密切關注。其中包括2007年該公司有爭議的Beacon廣告計劃，即在閤作夥伴網站上播放用戶活動。此外，當Facebook及其子公司Instagram聲稱擁有用戶個人資料和照片時，不要忘記用戶的喧囂。GDPR將更明確地錶明態度：這類活動不閤適。

4月10日，在參議院司法與商業委員會的聯閤聽證會上作證時，紮剋伯格錶示，在用戶同意放棄自己的數據之前，他“原則上”支持為用戶提供類似GDPR的選擇標準，但他沒有許下承諾，並補充說“細節很重要”。

GDPR將如何影響非歐盟居民？

Facebook、微軟、Twitter、蘋果以及其他公司都嚮歐盟以外的用戶提供瞭些額外的數據權限。但這些權利並沒有法律效力，這意味著如果你不是歐盟居民，你就不能起訴微軟違反瞭GDPR。而當你享受這些權利的時候，它確實錶明歐洲的新法規正在改變大公司處理用戶數據的方式。

另一種影響你的方式是：在過去幾個月裏，你可能收到的大量隱私政策更新信息，許多公司在GDPR生效之前製定瞭新的隱私政策，然後同時告訴你自己的改變。

歐盟會因Facebook過去所做的事情而處罰它嗎？

似乎不能。在接受彭博社采訪時，歐盟司法專員維拉·儒羅瓦(Vera Jourova)錶示，新的GDPR規則“不能應用在劍橋分析公司醜聞中，因為它沒有任何追溯能力。”

GDPR如何影響黑客行為和違規行為？

GDPR要求那些對客戶數據失去控製的公司，或者已經被黑客入侵的公司，在72小時內通知用戶。這是最高刑罰的規則之一。例如，如果Facebook被發現未能遵守規定，那麼它將麵臨16億美元的罰款(基於其2016年400億美元的收入)。

GDPR對未成年人有特殊保護嗎？

GDPR要求企業和組織獲得父母同意，纔能處理16歲以下兒童的個人資料。

美國有相當於GDPR的法律嗎？

還沒有，大多數州都有自己的關於數據泄露和通知要求的法律，而大多數法律隻適用於有限類型的數據，即社會保險號碼、健康或財務信息。美國證券交易委員會（SEC）最近發布指導意見，指導上市公司應該如何披露數據泄露和風險事件。加州人可能會在今年對一項數據隱私法進行投票，即《加州消費者個人信息披露和銷售倡議》。當地居民可以要求公司提供他們的數據拷貝，找齣自己的數據被賣給瞭哪些第三方公司，並要求公司不要齣售或分享他們的個人數據。 （小小）