欧美个人数据保护法规简介:GDPR

该条例于2018年5月生效，GDPR的目标是保护欧盟公民免受隐私和数据泄露的影响，同时重塑欧盟的组织机构处理隐私和数据保护的方式。

其中重要的定义有

“个人数据”指与 已经识别（identified）或可被识别（identifiable）的自然人（“数据主体”）相关的任何信息 。

其中，“可被识别的自然人”，指 通过姓名、识别号码、位置数据、在线身份识别码等标识符，或通过针对该自然人的身体、生理、遗传、心理、经济、文化或社会身份等特定相关的一个或多个要素，能够直接或间接地被识别出的个人 。

判断自然人是否可被识别，应考虑数据控制者或另外一人可能合理使用到的所有方式（all the means reasonably likely to be used）。判断何种方式为“可能合理使用到”，应考虑所有客观因素：例如当前现有的技术、技术的发展、识别所需的成本和时间等。

GDPR通过抽象定义对个人信息的管辖范围划定边界，有一定的法例解释空间。

属地管辖”+“属人管辖”+“保护性管辖

可以看出其管辖范围大，关系复杂，

默认 13到16周岁儿童 对个人信息的处理行为不具备完全认知能力，因而需要监护人的授权，企业方能处理其个人信息。

数据的处理以数据主体 “同意” 为原则，数据主体有“撤回同意权”，并且 对敏感数据的处理及直接营销、用户画像的行为拥有反对权 ，偏重于保护用户的数据

其中对行使公务的反对权总以可见GPDR对数据隐私的保护力度之大

国内目前而言，尚未有成熟的数据保护条例和方案，原有的法律条文已经远远落后于当前国内信息产业的发展；一方面是国情使然，另一方面我国数据建设过程一直存在法律建设滞后的现象。

但在当前的国际大背景下，我国应该会很快研究出台相关的严格数据保护条例。

此外作为数据系统及应用研发人员，应该着手研究如何在类似GPDR的保护条例下利用数据发挥价值，这是十分值得研究的课题。