該條例於2018年5月生效,GDPR的目標是保護歐盟公民免受隱私和數據泄露的影響,同時重塑歐盟的組織機構處理隱私和數據保護的方式。
其中重要的定義有
“個人數據”指與 已經識別(identified)或可被識別(identifiable)的自然人(“數據主體”)相關的任何信息 。
其中,“可被識別的自然人”,指 通過姓名、識別號碼、位置數據、在線身份識別碼等標識符,或通過針對該自然人的身體、生理、遺傳、心理、經濟、文化或社會身份等特定相關的壹個或多個要素,能夠直接或間接地被識別出的個人 。
判斷自然人是否可被識別,應考慮數據控制者或另外壹人可能合理使用到的所有方式(all the means reasonably likely to be used)。判斷何種方式為“可能合理使用到”,應考慮所有客觀因素:例如當前現有的技術、技術的發展、識別所需的成本和時間等。
GDPR通過抽象定義對個人信息的管轄範圍劃定邊界,有壹定的法例解釋空間。
屬地管轄”+“屬人管轄”+“保護性管轄
可以看出其管轄範圍大,關系復雜,
默認 13到16周歲兒童 對個人信息的處理行為不具備完全認知能力,因而需要監護人的授權,企業方能處理其個人信息。
數據的處理以數據主體 “同意” 為原則,數據主體有“撤回同意權”,並且 對敏感數據的處理及直接營銷、用戶畫像的行為擁有反對權 ,偏重於保護用戶的數據
其中對行使公務的反對權總以可見GPDR對數據隱私的保護力度之大
國內目前而言,尚未有成熟的數據保護條例和方案,原有的法律條文已經遠遠落後於當前國內信息產業的發展;壹方面是國情使然,另壹方面我國數據建設過程壹直存在法律建設滯後的現象。
但在當前的國際大背景下,我國應該會很快研究出臺相關的嚴格數據保護條例。
此外作為數據系統及應用研發人員,應該著手研究如何在類似GPDR的保護條例下利用數據發揮價值,這是十分值得研究的課題。