定义
GDPR(General Data Protection Regulation,通用数据保护条例)是欧盟于 2018 年 5 月 25 日正式实施的个人数据保护法规(条例编号:Regulation (EU) 2016/679)。GDPR 规定了欧盟及欧洲经济区(EEA)境内个人数据的收集、存储、处理与传输规则,并通过”数据主体权利”赋予消费者对自身数据的广泛控制权。GDPR 具有域外管辖效力,即无论数据处理机构位于何处,只要其处理欧盟居民的个人数据,均须遵守。
核心原则
GDPR 确立了数据处理的七项基本原则:
- 合法性、公平性与透明性:数据处理须有法律依据,且须向数据主体告知;
- 目的限制:数据仅能用于明确、合法的特定目的;
- 数据最小化:仅收集实现目的所必需的最少量数据;
- 准确性:保持数据更新与准确;
- 存储限制:不得超出必要期限保存个人数据;
- 完整性与保密性:采取适当技术与组织措施保护数据安全;
- 问责制:数据控制者须能够证明其合规情况。
概念辨析
- GDPR vs CCPA:CCPA(加州消费者隐私法案)是美国加州的同类法规,仅适用于加州居民;GDPR 适用范围为欧盟/EEA;两者均赋予消费者数据访问权与删除权;
- 数据控制者 vs 数据处理者:控制者(Controller)决定数据处理的目的与方式;处理者(Processor)按控制者指令处理数据;跨境卖家通常兼具两种角色;
- GDPR vs DSA:DSA(数字服务法)侧重平台内容管理与违法信息治理,GDPR 专注个人数据保护,两者均为欧盟数字经济监管框架的重要组成。
应用场景
- 订单数据处理:跨境卖家收集欧盟买家姓名、地址、支付信息,须在隐私政策中明确说明处理目的与保留期限;
- 邮件营销合规:向欧盟用户发送营销邮件须取得明确同意(Opt-in),不得使用默认勾选;
- 数据泄露通报:发生影响欧盟用户的数据泄露事件,须在 72 小时内向监管机构通报;
- 数据跨境传输:将欧盟用户数据传输至欧盟以外国家,须采用标准合同条款(SCC)或其他合规机制。
参考资料
- European Parliament and Council. Regulation (EU) 2016/679 (GDPR). Official Journal of the European Union, 2016.
- European Data Protection Board (EDPB). Guidelines on GDPR Compliance. edpb.europa.eu.
- International Association of Privacy Professionals (IAPP). GDPR Implementation Resource Center. iapp.org.