GDPR 基础知识与合规实务指南

GDPR (General Data Protection Regulation) ，即《通用数据保护条例》，是欧盟于 2018 年实施的全球最严厉的隐私保护法。它不仅适用于欧盟境内的公司，也适用于任何向欧盟居民提供产品或服务、或监控其行为的境外组织。

1. 为什么您的企业必须重视 GDPR？

• 巨额罚款： 违规最高可处以 2000 万欧元或全球年营业额 4% 的罚款（以高者为准）。
• 全球标准： 许多国家的隐私法（如中国的 PIPL、巴西的 LGPD）都借鉴了 GDPR，实现 GDPR 合规往往意味着也符合了全球大部分隐私法规。
• 商业信任： 在 B2B 合作中，合规证明已成为进入供应链的“入场券”。

2. 合规的核心原则

在处理任何个人数据时，必须遵循以下原则：

• 合法性、公正性与透明度： 必须有明确的法律依据，并诚实告知用户。
• 目的限制： 数据只能用于收集时声明的特定目的。
• 数据最小化： 只收集实现目的所必需的最少量数据。
• 存储限制： 目的达成后，不得长期保留数据。

3. 数据主体的核心权利

根据 GDPR，用户（数据主体）拥有 8 项基本权利，企业必须建立流程响应这些请求：

1. 知情权： 了解数据如何被处理。
2. 访问权： 获取个人数据的副本。
3. 更正权： 修正错误数据。
4. 被遗忘权（删除权）： 在特定情况下要求删除数据。
5. 限制处理权： 要求停止处理但不删除数据。
6. 数据携带权： 以机器可读格式导出数据。
7. 反对权： 拒绝数据用于直接营销等。
8. 自动化决策相关权利： 不受纯算法决策影响的权利。

法律声明： 本清单仅供自查参考，不构成正式的法律意见。GDPR 合规是一个复杂的系统工程，建议在高风险业务场景下咨询专业的隐私法律顾问。