GDPR 和个人信息保护的小知识

从2018年5月25日起，欧盟的《通用数据保护条例》（简称 GDPR，General Data Protection Regulation）开始强制施行。这个规范加强了对个人信息的保护，并且加大了对于数据泄露的处罚力度。

GDPR 是着重于欧盟的数据保护条例，那么对中国的公司有影响吗？

答案是有的！GDPR 的适用范围包括了所有处理欧盟居民个人资料的公司和机构，所以也适用于处于欧盟境外、为欧盟居民提供商品或服务的公司。对于在欧盟有业务的中国公司，在5月25号之后也要遵循 GDPR 的规范。

GDPR 中的内容和现有的很多数据保护条例相似。我们在开发和使用信息系统的时候，考虑到各个方面是非常重要的，否则有可能造成法律和经济方面的双重损失。

对于 GDPR 和个人信息的保护，我们需要注意哪些方面呢？

我们先了解一下个人信息的相关权限：

• 读取权限
• 使用的知情权。比如在用户注册网站的时候，必须同意“隐私条款”。在这些条款中，网站必须通知用户他们的信息会被如何使用
• 删除权。当用户需要删除个人信息的时候，相关的公司和机构必须执行。比如当某人从学校毕业之后，他有权让自己的信息从各类“校友网络”中移除
• 移植权。个人可以要求自己的信息从一个组织机构转移到另一个组织机构
• 限制使用权。当我们不想让自己的信息被某些业务流程使用的时候，我们有权利进行阻止

作为组织机构，在处理个人信息的时候需要遵循以下原则：

• 遵循隐私条款
• 遵循信息的使用目的。比如：在 HR 进行招聘的时候，通过社交网络中的信息来对候选人进行判断，是不合适的，因为社交网络中信息的使用目的是个人生活而非职业
• 使用和保存最少的信息
• 将信息保存尽可能短的时间。一旦个人信息不再被使用，则需要移除
• 保持信息的更新和准确
• 信息使用的透明。这一点和上面提到的“信息被使用的知情权”相对应
• 信息的保密