《一般數據保護條例》：一份關于數據隱私與安全的焦點條例

《一般數據保護條例》：一份關于數據隱私與安全的焦點條例

2012年1月25日，歐洲議會公布了《一般數據保護條例》草案，商討四年后，2016年4月，歐洲議會投票通過了該條例，其將在2018年生效。

該草案的內容預示著個人數據保護管理提到了前所未有的高度。條例甚至通過制定詳細的管理規范，使其具備了在企業內控和合規管理方面的可操作性，適用對象也從歐盟內的企業擴展到向歐盟用戶提供互聯網和商業服務的所有企業。

與傳統的立法相比，我們可以看到一些關鍵的變化：

從地域/國家劃分轉向基于數據內容劃分

它開了一個獨特的先例：法律管轄范圍不是嚴格按照國家/地域劃分，而是按照數據的分布來認定。由于互聯網上數據分布本身也是在動態變化的，這還意味著法律管轄范圍也有可能按照數據的遷移而不斷變化。

進一步嚴格的內控和監管

企業和組織在對個人數據進行操作時，必須記錄所有的操作流程和步驟。對于個人數據被廣泛使用的情況下，例如個人數據被公共機構或團體使用、被超過250名雇員的企業使用、或者個人數據在特定目的下被持續和系統地收集監控，那么進行數據處理或控制的企業或組織應該任命有專門數據保護知識的數據保護專員(Data Protection Officer， DPO)。

數據保護的前瞻性要求、最簡化原則和數據操作的告知權

條例把數據保護作為基本要求，強制企業在業務設計初期就必須考慮。

這包含了兩方面的要求：

第一，在設計新的業務系統、業務流程和服務時，處理個人數據的環節就必須按照條例要求的方式進行構造。企業還必須提供相關信息證明自己滿足了上述要求。

第二，當系統、流程和服務包含了個人數據被共享的多個不同級別時，默認的缺省選項必須是共享內容最小的選項——不共享任何內容，這就是數據保護的最簡化原則。

另外，數據操作的告知權在條例中也進行了嚴格限定。數據操作者(企業或組織)在收集和使用個人數據前必須向數據所有者(用戶)明確告知數據的收集內容和使用方式，并且需要獲得數據所有者的明確同意。

數據所有者(用戶)的個人數據刪除權

數據所有者的個人數據刪除權，(有時也被稱為“數據被遺忘權”，“right to be forgotten”)也在條例中明確提出。當數據所有者(用戶)撤回自己向企業或組織授予的個人數據使用權時，相關企業或組織必須立即無條件刪除所有的個人數據。