什么是 GDPR（通用数据保护条例）？

GDPR 可能是迄今为止最全面的数据隐私标准，它对处理欧盟公民个人数据的组织提出了重大挑战—— 无论该组织的总部设在何处。

欧盟的《通用数据保护条例》（GDPR）于 2018 年 5 月生效，旨在改善个人数据保护并提高组织对数据泄露的责任。GDPR 的罚款金额最高可达全球收入的 4% 或 2000 万欧元（以较高者为准），因此其确实具有约束力。无论您的组织位于何处，如果它处理或控制欧盟居民的个人数据，就必须遵守 GDPR，否则将面临巨额罚款，并被要求将数据泄露事件通知受影响方。

GDPR 范围广泛，包括以下 章节和文章：

第一章：总则

• 第 1 条：主题和目标
• 第 2 条：实质范围
• 第 3 条：领土范围
• 第 4 条：定义

第二章：原则

• 第 5 条：个人信息处理相关原则
• 第 6 条：处理的合法性
• 第 7 条：同意条件
• 第 8 条：信息社会服务中儿童同意的适用条件
• 第 9 条：特殊类别个人数据的处理
• 第 10 条：与刑事定罪和犯罪相关的数据处理
• 第 11 条：无需身份识别的处理

第三章：数据主体的权利

• 第 一 节：透明度和模式

• 第 12 条：透明的信息、沟通和行使数据主体权利的方式

• 第 二 节：信息和数据访问

• 第 13 条：从数据主体收集个人数据时应提供的信息

• 第 14 条：在未从数据主体处获取个人数据的情况下应提供的信息

• 第 15 条：数据主体的访问权

• 第 三 节：纠正和删除

• 第 16 条：纠正权

• 第 17 条：删除权（“被遗忘权”）

• 第 18 条：限制处理的权利

• 第 19 条：关于更正或删除个人数据或限制处理的通知义务

• 第 20 条：数据可携权

• 第 四 节：反对权和自动化个人决策

• 第 21 条：反对权

• 第 22 条：自动化个人决策，包括分析

• 第 五 节：限制

• 第23条：限制

第四章：控制者和处理者

• 第 一 节：一般义务

• 第 24 条：控制者的责任

• 第 25 条：设计和默认的数据保护

• 第 26 条：联合控制者

• 第 27 条：未在联盟设立的控制人代表

• 第 28 条：处理者

• 第 29 条：根据控制者或处理者的授权进行处理

• 第 30 条：处理活动记录

• 第 31 条：与监管机构的合作

• 第 二 节：个人信息安全

• 第 32 条：数据处理的安全性

• 第 33 条：向监管机构通报个人数据泄露

• 第 34 条：向数据主体通报个人数据泄露

• 第 三 节：数据保护影响评估与事先咨询

• 第 35 条：数据保护影响评估

• 第 36 条：事先协商

• 第 四 节：数据保护官

• 第 37 条：数据保护官的指定

• 第 38 条：数据保护官的职责

• 第 39 条：数据保护官的职责

• 第 五 节：行为准则和认证

• 第 40 条：行为准则

• 第 41 条：对已获批准的行为准则的监督

• 第 42 条：证明

• 第 43 条：认证机构

第五章：国际组织向第三国转移个人数据

• 第 44 条：转让的一般原则
• 第 45 条：充分性决定依据的转移
• 第 46 条：受适当保障的转让
• 第 47 条：具有约束力的公司规则
• 第 48 条：未经联盟法授权的转让或披露
• 第 49 条：特殊情况的例外
• 第 50 条：个人数据保护的国际合作

第六章：独立监管机构

• 第 一 节：独立地位

• 第 51 条：监督机构

• 第 52 条：独立

• 第 53 条：监管机构成员的一般条件

• 第 54 条：监管机构设立规则

• 第 二 节：权限、任务和权力

• 第 55 条：权限

• 第 56 条：主管监管机构的权限

• 第 57 条：任务

• 第 58 条：权力

• 第 59 条：活动报告

第七章：合作与一致性

• 第 一 节：合作

• 第 60 条：主管监管机构与其他相关监管机构之间的合作

• 第 61 条：相互协助

• 第 62 条：监管机构的联合行动

• 第 二 节：一致性

• 第 63 条：一致性机制

• 第 64 条：委员会意见

• 第 65 条：仲裁委员会的争议解决

• 第 66条：紧急程序

• 第 67 条：信息交换

• 第 三 节：欧洲数据保护委员会

• 第 68 条：欧洲数据保护委员会

• 第 69 条：独立

• 第 70 条：委员会的任务

• 第 71 条：报告

• 第 72 条：程序

• 第 73 条：主席

• 第 74 条：主席的职责

• 第 75 条：秘书处

• 第 76 条：保密

第八章：救济、责任和制裁

• 第 77 条：向监管机构投诉的权利
• 第 78 条：针对监管机构寻求有效司法救济的权利
• 第 79 条：针对控制者或处理者获得有效司法救济的权利
• 第 80 条：数据主体的代表
• 第 81 条：中止诉讼
• 第 82 条：获得赔偿和责任的权利
• 第 83 条：行政罚款的一般条件
• 第 84 条：处罚

第九章：与特定数据处理情况有关的规定

• 第 85 条：信息和表达自由
• 第 86 条：公文的处理和公开获取
• 第 87 条：国民身份证号码的处理
• 第 88 条：就业背景下的数据处理
• 第 89 条：为公共利益、科学或历史研究目的或统计目的而进行存档处理的相关保障和豁免
• 第 90 条：保密义务
• 第 91 条：教会和宗教团体现行的数据保护规定

第十章：授权法案和实施法案

• 第 92 条：代理权的行使
• 第 93 条：委员会程序

第十一章：最后条款

• 第 94 条：废除 95/46/EC 指令
• 第 95 条：与 2002/58/EC 指令的关系
• 第 96 条：与先前缔结的协议的关系
• 第 97 条：委员会报告
• 第 98 条：审查其他欧盟数据保护法律
• 第 99 条：入境效力及适用

第 32 条 的主要规定

GDPR 的一些主要规定第 32 条 要求：

1. 个人数据的假名化和加密；

2. 确保处理系统和服务的持续机密性、完整性、可用性和弹性的能力；

3. 在发生物理或技术事故时及时恢复个人数据的可用性和访问权限的能力；

4. 定期测试、评估和评价确保处理安全的技术和组织措施的有效性的过程。

第 34 条 的主要规定

该法规第 34 条 详细说明了组织必须采取哪些措施，以避免在发生违规时必须通知相关方。

1. 当个人数据泄露可能对自然人的权利和自由造成较高风险时，控制者应当毫不拖延地向数据主体通报个人数据泄露情况。
2. 本条 第 1 款所述的与数据主体的沟通应以清晰、通俗的语言描述个人数据泄露的性质……
3. 如果满足以下任何一项条件，则无需根据第 1 款向数据主体进行沟通：
   1. 控制者已经实施了适当的技术和组织保护措施，并且这些措施已经应用于受个人数据泄露影响的个人数据，特别是那些使个人数据对于任何无权访问的人来说无法理解的措施，例如加密；
   2. 控制者已采取后续措施，确保第 1 段所述的对数据主体的权利和自由的高风险不再可能实现；
   3. 这将需要付出不成比例的努力。在这种情况下，应采取公开沟通或类似措施，以同样有效的方式告知数据主体。

什么是假名化（Pseudonymisation）

假名化通常与欧盟的《通用数据保护条例》（GDPR）相关，该条例要求使用假名化来保护个人身份信息（PII）。根据 《GDPR 商定文本》的“第 4 条：，定义” ：

“假名化”是指以这样一种方式处理个人数据，即如果不使用额外信息，个人数据就无法再归属于特定的数据主体，但前提是这些额外信息是单独保存的，并受到技术和组织措施的约束，以确保个人数据不会归属于已识别或可识别的自然人。

“个人数据”和“数据主体”定义：

“个人数据”是指与已识别或可识别的自然人（“数据主体”）有关的任何信息；可识别的自然人是指可直接或间接识别的人，特别是通过姓名、身份证号、位置数据、在线标识符或特定于自然人身体、生理、遗传、精神、经济、文化或社会身份的一个或多个特定因素来识别。

揽阁信息拥有20年的信息安全行业经验，可为您提供定制化的安全解决方案，欢迎联系我们获取更多专业支持。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• CipherTrust Transparent Encryption对于数据保护和隐私合规的重要性
• 解读数据泄露的真相：防患于未然
• 从防御到进攻：2025 年 CISO 的由内而外的数据安全策略
• 加密物料清单 (CBOM)：保护软件供应链的关键
• 如何有效解决针对 AWS S3 数据的非勒索软件攻击
• 集中化、可扩展、合规：通过企业密钥管理确保数据更安全