GDPR不是“狗都怕热”的缩写，而是5月25日即将面世的General Data Protection Regulations（一般数据保护条例）的缩写。如果你在其他一些地方见到过这个热门词但是还不清楚WTF is GDPR，那么这篇文章就是为你准备的。要知道脸书因为剑桥分析差点被罚破产，上月又闹出腾讯关闭欧洲地区的QQ国际版，这都和GDPR有关。一不留神就能罚到你内裤都没了的GDPR就是这样的存在。只要你有机会收集到欧洲消费者、用户的数据你就必须遵循这一条例。我们用最简单的清单的方式为你提供了自检手段。

在进入列表之前，我们先确认一下你的角色。GDPR中有两个角色——数据的控制方🈯和数据的处理方🈺。如果你的组织能够决定存储或处理个人信息的目的，则被视为数据的控制方。如果你的组织代表另一个组织存储或处理个人数据，则你将被视为数据的处理方。当然，你的组织也可能同时具有两种角色。

数据方面

🔶贵公司能提供所拥有的所有个人信息的类型列表📑、列表中每种信息类型的全部来源、您与谁分享这些信息、您对数据的使用情况、您将保留数据的时间。🈯🈺

信息类型列表可能包括姓名、社保号码、地址等。您要提供信息提供给谁和您将保留多长时间⏳。

🔶贵公司有一个保存个人信息的位置📍清单，以及数据在它们之间流动的方式。🈯🈺

这里的位置可能是一个数据库，或者纸质档案。

🔶贵公司拥有可公开访问的隐私政策🔏，概述与个人数据相关的所有流程。🈯🈺

您应该包含有关处理个人信息的所有过程的信息。该文件应包括（或有链接）公司所持有的个人信息的类型以及它们在哪里持有。

🔶贵公司的隐私政策应包括解释公司为何需要处理个人信息的合法依据。🈯

它应该包含数据处理的原因，例如履行合同。

问责制与管理

🔶贵公司已任命数据保护官员（DPO）🈯🈺

此人应该掌握GDPR指导方针的知识以及涉及个人信息的内部流程的知识。[/li]

🔶提高决策者对GDPR准则的认识。🈯🈺

确保关键人员和决策者掌握关于数据保护立法的最新知识。[/li]

🔶确保您的技术安全性是最新的。 🈯🈺

这对每个CTO和网络安全部门都是考验。

🔶培训员工了解数据保护。🈺

所谓人是最大的安全漏洞。许多数据泄露是因为那些有高权限但麻痹大意的人造成。确保你的员工知道这些风险。

🔶贵公司有一个供应商列表，你的隐私政策必须提到你会使用供应商。🈺

您应该通知您的客户您将使用某一供应商。他们必须同意并接受您的隐私政策。举个例子，比如淘宝的数据交由优酷来处理。

🔶如果贵公司在欧盟以外运营，您必须在欧盟🇪🇺境内任命一位代表🕵️‍♂️。 🈯🈺

如果您在欧盟以外的地区开展业务，并且您收集了欧盟公民的数据，则应该在其中一个成员国为您的企业派驻代表。这个人必须负责数据处理相关的所有问题。特别是地方当局应该能够联系到这个人。

🔶您必须向涉及到的地方当局和客户（数据主体）报告所涉及的个人数据泄露。 🈯🈺

个人数据泄露应在72小时内向当地主管部门报告。您应该报告丢失了什么数据，后果是什么以及您采取了什么对策。除非泄露的数据是加密的🔐，否则您还应该向您丢失数据的客户（数据主体）报告违规情况。

🔶贵公司必须与您共享数据的任何数据的处理方都签署合同。🈯

合同中应包含数据的处理方存储或处理数据的明确说明。例如，这可能包括与您的网站托管服务提供商签订的合同。

新的权力

🔶您的客户可以轻松请求访问🉑他们的个人信息。🈯🈺

也就是说您保存和产生的任何关于该客户的信息都可以让该客户轻松获得。轻松是指不受刁难和障碍。

🔶您的客户可以轻松更新🉑自己的个人信息以保持其准确性。🈯🈺

也就是说您的客户对其个人信息不但有读的权利，还有新建和修改的权利。

🔶您必须自动删除🉑您的业务不再使用的数据。 🈯🈺

您应该自动删除不再需要的数据。例如，您应该自动删除合同未续订客户的数据。

🔶您的客户可以轻松请求删除🉑其个人数据。🈯🈺

可读可写，必须可删。Right To Be Forgotten。

🔶您的客户可以轻松请求您停止处理🉑其数据。🈯🈺

也就是说这数据您也只能保存看看，不能用来广告定位和建模。

🔶您的客户可以轻松要求将他们的数据交付🉑给他们自己或第三方。 🈯🈺

如果客户要个copy，您必须要给；客户要您分享给第三方，您也要给。

🔶您的客户有权要求您停止🉑那些对其有潜在影响的个人数据进行分析并利用其个人数据进行自动化决策。 🈯

如果因为客户用水果手机贵公司就提价，那么客户有权让您停止这种机制。㊙

获得许可

🔶当您开始收集、处理个人信息时需征得当事人同意。🈯

如果您的网站以某种方式收集个人信息，您应该有一个容易看到的隐私政策链接，并确认用户接受您的条款和条件。以往那种一个CheckBox一行小字的“最佳实践”不再适用。蒙混过关的想法会招致许可的无效。客户必须非常明确地同意你的隐私条款和使用条件。

🔶您的隐私政策应以清晰易懂的条款书写。🈯

它应该以清晰和简单的语言写成，而不是以任何方式隐瞒它的意图。否则完全可能使协议失效。在向儿童提供服务时，隐私政策应该足够简单，以便他们了解。

🔶对于您的客户来说，撤销同意❎就像期初同意✅时一样简单。 🈯

比如您的隐私条款页面应该提供让客户撤销同意的按钮。

🔶如果您收集或处理儿童的个人资料，请验证他们的年龄并征得其法定监护人🚸的同意。🈯

对于16岁以下的儿童，您需要确保法定监护人同意进行数据收集和处理。如果该许可通过您的网站获得，您应该尝试确保由法定监护人（而不是由孩子）实际批准。

🔶当您更新隐私政策时，💁‍♀️您需要通知现有客户。🈯

例如，通过电子邮件发送即将对您的隐私政策进行的更改。你的沟通应该以简单的方式解释发生了什么变化。

维护和跟进

🔶您需要定期审查政策，了解变更，有效性，处理数据的变化以及数据流向其他国家/地区事态的变化。🈯

您应该遵循最佳实践和对当地环境中的政策进行更改。

特殊情况

🔶您的企业了解何时必须执行DPIA以对敏感数据进行高风险处理。🈯

这只适用于进行大规模数据处理，画像分析和其他对人权和自由风险较高的活动的企业。在这些情况下应该进行特别的评估。

🔶将数据传输至欧盟以外的国家时，该国家必须提供适当级别的保护。🈯🈺

您同时还应该在隐私政策中披露这些跨境数据流。

总结

对企业总的来说GDPR并不可怕，只是麻烦。如果您的企业本身就怀着一颗尊重客户的心，努力建立数据保护机制，那么GDPR只是让您再度审视自己做得够不够好而已。GDPR的推出也诞生了一个个帮助企业部署GDPR的咨询公司，这会是一个新产业。像谷歌这样的广告公司也趁着GDPR巩固自己的广告生态圈。

对网民来说，GDPR并不能让广告变少，只是或许更加不相关了。可能不会有太多隐私被窥视的感觉了。各种不便，多少会换来一些内心的踏实。

反过来，正如李彦宏所说😂“我想中国人可以更加开放，对隐私问题没有那么敏感，如果他们愿意用隐私交换便捷性，很多情况下他们是愿意的，那我们就可以用数据做一些事情。但我们要遵循一定的原则，如果数据会使用者收益，他也愿意，我们就会去做，这是我们的基本原则，这就是什么该做的，什么不该做。”

想要下载DMA版的Checklist，点击阅读原文。