摘要：新法規(guī)旨在提供清晰和一致的隱私規(guī)則，不僅在歐盟范圍內(nèi)，而且還在全球范圍內(nèi)為每個組織處理公民數(shù)據(jù)，作為在歐盟提供產(chǎn)品和服務(wù)的一部分。

??與歐盟的通用數(shù)據(jù)保護(hù)規(guī)定的（GDPR）¹時間越來越近了。從2018年5月25日起，任何一個未能滿足新法規(guī)的組織將面臨高達(dá)全球收入4%的罰款，或者是2000萬歐元——無論哪種罰款——任何進(jìn)一步的數(shù)據(jù)處理活動都將遭受潛在的叫停風(fēng)險。因此無論是否加入了歐盟，只要你正在以任何方式處理歐盟公民的數(shù)據(jù)，就必須服從GDPR的條約。

??也就是說，該規(guī)定不應(yīng)該被視為一些不知名的官文強加的。相反，對于更積極的組織來說，它提供了一個機會來改變他們在數(shù)字經(jīng)濟中與客戶的關(guān)系。

??在接下來的博客系列中，將深入去了解這份規(guī)定，了解這份規(guī)定對我們而言意味著什么：

第1部分，將提供一個GDPR的入門介紹–這將會覆蓋規(guī)定的基本原理和關(guān)鍵措施。

第2部分，將探討GDPR對我們的數(shù)據(jù)平臺意味著什么。

第3部分，我們將討論MongoDB的產(chǎn)品和服務(wù)將如何支持我們的業(yè)務(wù)。

第4部分，我們將探討GDPR將如何幫助客戶去實施，并提供了幾個案例供研究。

如果你不能等到所有的4個部分內(nèi)容，就想現(xiàn)在了解全部的話，可以下載完整的GDPR：Impact to Your Data Management Landscape 白皮書。

??據(jù)預(yù)測，到2021年為止，網(wǎng)絡(luò)犯罪將使全球經(jīng)濟損失6萬億美元，比2016年又增加了3萬億美元。被一些人描述為“對世界上每一家公司的最大威脅”，公眾對數(shù)據(jù)安全的關(guān)注度正在日趨增長——這不僅僅是犯罪分子如何利用偷來的數(shù)據(jù)進(jìn)行欺詐，還涉及到我們所接觸的組織如何使用我們的個人數(shù)據(jù)。許多人在詢問是否可以用以換取貨物、服務(wù)和就業(yè)的數(shù)據(jù)用于：

損害我們的聲譽？

拒絕我們可能需要獲得的醫(yī)療保健或金融服務(wù)？

根據(jù)我們的政治觀點、宗教、社團(tuán)或種族歧視我們？

減少我們的自主、自由和個性？

??歐洲聯(lián)盟（歐盟）的通用數(shù)據(jù)保護(hù)規(guī)定（GDPR）2016 / 679的設(shè)計就是面對這些問題的。保護(hù)個人–GDPR術(shù)語中的“數(shù)據(jù)對象”–變得不只是一個對組織收集和處理數(shù)據(jù)隱私的法律義務(wù)，保護(hù)數(shù)據(jù)隱私同樣也是所有歐盟公民的一項基本人權(quán)。GDPR于2016年5月24日公布，并將自2018年5月25日起執(zhí)行。

??一系列的要求和控制的定義來規(guī)范GDPR收集、存儲、處理、保存、分享歐盟公民的個人數(shù)據(jù)。然而，加特納預(yù)測，超過50%受GDPR影響的公司不會在2018年底–規(guī)定生效后的9個月內(nèi)完全符合。

??現(xiàn)有的歐盟數(shù)據(jù)保護(hù)立法（數(shù)據(jù)保護(hù)方針95/46／EC）于1995年引入，但在今天的隱私要求和未來設(shè)想中，越來越被認(rèn)為是不夠的：

實現(xiàn)在每個成員國之間變化，造成復(fù)雜性、不確定性和成本。不一致既影響了新興數(shù)字經(jīng)濟中的用戶信任，也影響了歐盟在全球市場的競爭力。

過去20多年的技術(shù)改進(jìn)使得私營企業(yè)和當(dāng)局能夠以前所未有的規(guī)模收集和使用個人數(shù)據(jù)，以便開展活動。社交網(wǎng)絡(luò)、云計算、電子商務(wù)、Web服務(wù)、移動設(shè)備和應(yīng)用程序、物聯(lián)網(wǎng)、機器學(xué)習(xí)等等的出現(xiàn)，使得現(xiàn)有的規(guī)章制度不足。

??將GDPR的改革介紹給歐盟公民，使得他們對自己的個人數(shù)據(jù)有更多的控制權(quán)。在這樣的背景下，個人數(shù)據(jù)的范圍已經(jīng)擴大–包括可以唯一地標(biāo)識一個人，如姓名、身份證號碼、位置數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識符，或通過物理、生理、遺傳、心理、經(jīng)濟、文化，或是個人社會認(rèn)同等一個或多個具體元素的。

??在EU的調(diào)查中，十個歐洲人中有九個擔(dān)心移動應(yīng)用程序在未經(jīng)他們同意的情況下收集個人數(shù)據(jù)，十個人中有七個擔(dān)心公司可能對他們所披露的數(shù)據(jù)做出潛在的用途。的GDPR試圖通過一系列新措施解決這些問題：

個人必須對數(shù)據(jù)收集提供明確的同意——“默認(rèn)同意”不再有效。尋求同意的組織還必須提供清楚的資料，說明如何使用這些數(shù)據(jù)、保留多長時間以及如何與第三方共享數(shù)據(jù)。個人可以隨時撤回同意，不受任何偏見影響。如果數(shù)據(jù)用于處理超出原始同意的目的，則必須向個人請求額外的權(quán)限。

“被遺忘的權(quán)利”，也稱為“刪除權(quán)”，就是當(dāng)所有者要求不再保留數(shù)據(jù)、要求刪除數(shù)據(jù)時，組織沒有任何理由拒絕該請求。

組織必須更容易地訪問個人的數(shù)據(jù)，使他們能夠查看存儲有關(guān)它們的數(shù)據(jù)以及處理方式，與之共享的數(shù)據(jù)，以及在不受限制的情況下在服務(wù)提供商之間遷移該數(shù)據(jù)的能力。

對于如何根據(jù)個人數(shù)據(jù)進(jìn)行自動化決策，需要進(jìn)行審查的權(quán)利，例如，通過機器學(xué)習(xí)算法根據(jù)風(fēng)險分?jǐn)?shù)降低交易。

當(dāng)個人資料被違反時，必須在72小時內(nèi)向成員國的“監(jiān)督機構(gòu)”（成員國獨立公共機構(gòu)負(fù)責(zé)監(jiān)督國內(nèi)生產(chǎn)總值執(zhí)行情況）披露，使個人得到通知并采取適當(dāng)?shù)难a救措施。

數(shù)據(jù)保護(hù)必須通過設(shè)計，默認(rèn)情況下，要求數(shù)據(jù)保護(hù)控制從最早的開發(fā)階段構(gòu)建到產(chǎn)品和服務(wù)中，并在收集個人數(shù)據(jù)的所有應(yīng)用程序中采用隱私友好的默認(rèn)設(shè)置。

被證實不符合規(guī)定的組織將收到懲罰性的金融追索權(quán)（例如，全球收入的4％或2000萬歐元）。

??新法規(guī)旨在提供清晰和一致的隱私規(guī)則，不僅在歐盟范圍內(nèi)，而且還在全球范圍內(nèi)為每個組織處理公民數(shù)據(jù)，作為在歐盟提供產(chǎn)品和服務(wù)的一部分。

??GDPR引入了具體術(shù)語來定義組織內(nèi)的角色和責(zé)任，包括：

Data Protection Officer（DPO），是由數(shù)據(jù)控制者或處理者雇用的個人，負(fù)責(zé)就GDPR規(guī)定提供咨詢意見，向最高管理層報告。 DPO最終由當(dāng)?shù)乇O(jiān)管機構(gòu)負(fù)責(zé)。

Data controller，通常是與數(shù)據(jù)主體（個人）共享數(shù)據(jù)的組織。

Data processor，代表控制器工作的組織和/或個人，例如諸如業(yè)務(wù)分析師或開發(fā)商的直接雇員，或諸如信用評級機構(gòu)或工資核算處理器的外部服務(wù)提供商。 數(shù)據(jù)處理器是具有訪問個人數(shù)據(jù)的任何實體或個人。

??了解在這個新規(guī)定的背景下，數(shù)據(jù)泄露意味著什么是非常重要的。 GDPR應(yīng)用的范圍比僅保密或未經(jīng)授權(quán)處理個人數(shù)據(jù)的定義更廣泛，表明數(shù)據(jù)保護(hù)方法超出了狹義的訪問概念。 它還包括可用性和完整性。 GDPR文本規(guī)定：

*“個人資料泄露”是指違反安全性，導(dǎo)致意外或非法破壞，丟失，更改，未經(jīng)授權(quán)的披露或訪問發(fā)送，存儲或以其他方式處理的個人數(shù)據(jù)*

??這是關(guān)于GDPR博客系列的第1部分。 在第2部分中，將研究具體的GDPR要求，并將其映射回一組必需的數(shù)據(jù)庫功能。

??要了解國內(nèi)生產(chǎn)總值的規(guī)定，作用和責(zé)任的全面描述，建議讀者參考“歐盟官方公報”（EU（EU）2016/679）（國際勞工組織（EU）2016/679）的案文，并參考法律 律師解釋規(guī)則如何適用于其組織。 此外，為了有效地實現(xiàn)本博客系列中描述的功能，至關(guān)重要的是確保根據(jù)MongoDB安全文檔中詳細(xì)說明的說明和說明實現(xiàn)數(shù)據(jù)庫。 讀者應(yīng)考慮聘請MongoDB全球咨詢服務(wù)部門協(xié)助實施。

本文翻譯自：https://www.mongodb.com/blog/post/gdpr-impact-to-your-data-management-landscape-part-1?jmp=twt