《一般数据保护条例》：一份关于数据隐私与安全的焦点条例

《一般数据保护条例》：一份关于数据隐私与安全的焦点条例

2012年1月25日，欧洲议会公布了《一般数据保护条例》草案，商讨四年后，2016年4月，欧洲议会投票通过了该条例，其将在2018年生效。

该草案的内容预示着个人数据保护管理提到了前所未有的高度。条例甚至通过制定详细的管理规范，使其具备了在企业内控和合规管理方面的可操作性，适用对象也从欧盟内的企业扩展到向欧盟用户提供互联网和商业服务的所有企业。

与传统的立法相比，我们可以看到一些关键的变化：

从地域/国家划分转向基于数据内容划分

它开了一个独特的先例：法律管辖范围不是严格按照国家/地域划分，而是按照数据的分布来认定。由于互联网上数据分布本身也是在动态变化的，这还意味着法律管辖范围也有可能按照数据的迁移而不断变化。

进一步严格的内控和监管

企业和组织在对个人数据进行操作时，必须记录所有的操作流程和步骤。对于个人数据被广泛使用的情况下，例如个人数据被公共机构或团体使用、被超过250名雇员的企业使用、或者个人数据在特定目的下被持续和系统地收集监控，那么进行数据处理或控制的企业或组织应该任命有专门数据保护知识的数据保护专员(Data Protection Officer， DPO)。

数据保护的前瞻性要求、最简化原则和数据操作的告知权

条例把数据保护作为基本要求，强制企业在业务设计初期就必须考虑。

这包含了两方面的要求：

第一，在设计新的业务系统、业务流程和服务时，处理个人数据的环节就必须按照条例要求的方式进行构造。企业还必须提供相关信息证明自己满足了上述要求。

第二，当系统、流程和服务包含了个人数据被共享的多个不同级别时，默认的缺省选项必须是共享内容最小的选项——不共享任何内容，这就是数据保护的最简化原则。

另外，数据操作的告知权在条例中也进行了严格限定。数据操作者(企业或组织)在收集和使用个人数据前必须向数据所有者(用户)明确告知数据的收集内容和使用方式，并且需要获得数据所有者的明确同意。

数据所有者(用户)的个人数据删除权

数据所有者的个人数据删除权，(有时也被称为“数据被遗忘权”，“right to be forgotten”)也在条例中明确提出。当数据所有者(用户)撤回自己向企业或组织授予的个人数据使用权时，相关企业或组织必须立即无条件删除所有的个人数据。