GDPR 通用数据保护条例


  GDPR (全称: General Data Protection Regulation),即《通用数据保护条例》,是一项新法律,规定了企业如何收集,使用和处理欧盟公民的个人数据。

本文内容转载自燕麦云知乎的回答,著作权归作者所有。

针对“互联网公司该如何处理用户数据”,《通用数据保护条例》有以下六条规定:

  1. 数据必须公平地,合法地,透明地进行处理。
  2. 采集数据必须要给出明确的原因和存储时间,数据的使用范围不能超出其原有目的。
  3. 根据数据应用的目的,只采集必要的用户数据,严禁过度采集。
  4. 所采集的数据必须是正确的,而且要采取合理的步骤来确保它的准确性。
  5. 数据必须以一种可以被提取的形态来保存,以便用户在必要的时候将其识别出来。
  6. 必须将数据安全地保护起来,防止非法访问、意外损失或损坏。

对于“用户数据”,《通用数据保护条例》规定了互联网公司和用户双方的权利和义务。

GDPR 赋予互联网用户的 8 点权利:

  1. 被告知权

    互联网公司必须明确地告知用户,收集来了哪些数据,使用了哪些数据,数据的存放时间,以及与哪些第三方分享了数据等。

  2. 数据获取权

    用户将有权要求互联网公司提供用户自身的信息,这些信息包括但不限于用户数据,为什么持有这些数据,这些数据正在被如何处理等。

  3. 数据纠正权

    用户有权要求自己在互联网平台中的信息是正确的,用户一旦发现自己在网上的信息不准确的话,有权要求互联网公司尽快纠正信息。

  4. 数据删除权

    用户有权要求互联网公司部分或全部删除其所持有的关于用户自身的数据,当然,这个并不是用户的绝对权利,在某些情况下,这个要求有可能会被拒绝。

  5. 限制处理权

    即使用户在过去已同意自身数据被互联网公司处理,但用户仍可要求互联网公司停止并限制这种处理。这种权利也不是绝对的,在某些情况下互联网公司可以拒绝这个要求,但互联网公司必须能够清晰地向用户展示,正在拿这些数据在干什么?

  6. 数据转移权

    用户将有权将其在一个互联网平台中的数据,导出至另一个互联网平台使用,因此用户将再也不会因为日积月累的大量数据而被强制绑定到一个无竞争力的互联网服务上。

  7. 反对权用户有权

    要求互联网公司,停止以用户不同意或者反对的方式使用数据,例如,给用户发送垃圾邮件,或者给用户拨打商业骚扰电话等。

  8. 自动化决策和分析相关的权利

    最后,随着大数据技术的不断发展,自动化决策和分析服务将会越来越多,例如精准广告投放、互联网信贷、求职服务等都属于这种服务。当这些自动化服务对用户造成不良影响,尤其是造成了严重法律后果或类似情况时,用户有权反对或提出上诉。