摘要：新法規(guī)旨在提供清晰和一致的隱私規(guī)則，不僅在歐盟范圍內(nèi)，而且還在全球范圍內(nèi)為每個組織處理公民數(shù)據(jù)，作為在歐盟提供產(chǎn)品和服務的一部分。

??與歐盟的通用數(shù)據(jù)保護規(guī)定的（GDPR）¹時間越來越近了。從2018年5月25日起，任何一個未能滿足新法規(guī)的組織將面臨高達全球收入4%的罰款，或者是2000萬歐元——無論哪種罰款——任何進一步的數(shù)據(jù)處理活動都將遭受潛在的叫停風險。因此無論是否加入了歐盟，只要你正在以任何方式處理歐盟公民的數(shù)據(jù)，就必須服從GDPR的條約。

??也就是說，該規(guī)定不應該被視為一些不知名的官文強加的。相反，對于更積極的組織來說，它提供了一個機會來改變他們在數(shù)字經(jīng)濟中與客戶的關系。

??在接下來的博客系列中，將深入去了解這份規(guī)定，了解這份規(guī)定對我們而言意味著什么：

第1部分，將提供一個GDPR的入門介紹–這將會覆蓋規(guī)定的基本原理和關鍵措施。

第2部分，將探討GDPR對我們的數(shù)據(jù)平臺意味著什么。

第3部分，我們將討論MongoDB的產(chǎn)品和服務將如何支持我們的業(yè)務。

第4部分，我們將探討GDPR將如何幫助客戶去實施，并提供了幾個案例供研究。

如果你不能等到所有的4個部分內(nèi)容，就想現(xiàn)在了解全部的話，可以下載完整的GDPR：Impact to Your Data Management Landscape 白皮書。

??據(jù)預測，到2021年為止，網(wǎng)絡犯罪將使全球經(jīng)濟損失6萬億美元，比2016年又增加了3萬億美元。被一些人描述為“對世界上每一家公司的最大威脅”，公眾對數(shù)據(jù)安全的關注度正在日趨增長——這不僅僅是犯罪分子如何利用偷來的數(shù)據(jù)進行欺詐，還涉及到我們所接觸的組織如何使用我們的個人數(shù)據(jù)。許多人在詢問是否可以用以換取貨物、服務和就業(yè)的數(shù)據(jù)用于：

損害我們的聲譽？

拒絕我們可能需要獲得的醫(yī)療保健或金融服務？

根據(jù)我們的政治觀點、宗教、社團或種族歧視我們？

減少我們的自主、自由和個性？

??歐洲聯(lián)盟（歐盟）的通用數(shù)據(jù)保護規(guī)定（GDPR）2016 / 679的設計就是面對這些問題的。保護個人–GDPR術語中的“數(shù)據(jù)對象”–變得不只是一個對組織收集和處理數(shù)據(jù)隱私的法律義務，保護數(shù)據(jù)隱私同樣也是所有歐盟公民的一項基本人權。GDPR于2016年5月24日公布，并將自2018年5月25日起執(zhí)行。

??一系列的要求和控制的定義來規(guī)范GDPR收集、存儲、處理、保存、分享歐盟公民的個人數(shù)據(jù)。然而，加特納預測，超過50%受GDPR影響的公司不會在2018年底–規(guī)定生效后的9個月內(nèi)完全符合。

??現(xiàn)有的歐盟數(shù)據(jù)保護立法（數(shù)據(jù)保護方針95/46／EC）于1995年引入，但在今天的隱私要求和未來設想中，越來越被認為是不夠的：

實現(xiàn)在每個成員國之間變化，造成復雜性、不確定性和成本。不一致既影響了新興數(shù)字經(jīng)濟中的用戶信任，也影響了歐盟在全球市場的競爭力。

過去20多年的技術改進使得私營企業(yè)和當局能夠以前所未有的規(guī)模收集和使用個人數(shù)據(jù)，以便開展活動。社交網(wǎng)絡、云計算、電子商務、Web服務、移動設備和應用程序、物聯(lián)網(wǎng)、機器學習等等的出現(xiàn)，使得現(xiàn)有的規(guī)章制度不足。

??將GDPR的改革介紹給歐盟公民，使得他們對自己的個人數(shù)據(jù)有更多的控制權。在這樣的背景下，個人數(shù)據(jù)的范圍已經(jīng)擴大–包括可以唯一地標識一個人，如姓名、身份證號碼、位置數(shù)據(jù)、網(wǎng)絡標識符，或通過物理、生理、遺傳、心理、經(jīng)濟、文化，或是個人社會認同等一個或多個具體元素的。

??在EU的調(diào)查中，十個歐洲人中有九個擔心移動應用程序在未經(jīng)他們同意的情況下收集個人數(shù)據(jù)，十個人中有七個擔心公司可能對他們所披露的數(shù)據(jù)做出潛在的用途。的GDPR試圖通過一系列新措施解決這些問題：

個人必須對數(shù)據(jù)收集提供明確的同意——“默認同意”不再有效。尋求同意的組織還必須提供清楚的資料，說明如何使用這些數(shù)據(jù)、保留多長時間以及如何與第三方共享數(shù)據(jù)。個人可以隨時撤回同意，不受任何偏見影響。如果數(shù)據(jù)用于處理超出原始同意的目的，則必須向個人請求額外的權限。

“被遺忘的權利”，也稱為“刪除權”，就是當所有者要求不再保留數(shù)據(jù)、要求刪除數(shù)據(jù)時，組織沒有任何理由拒絕該請求。

組織必須更容易地訪問個人的數(shù)據(jù)，使他們能夠查看存儲有關它們的數(shù)據(jù)以及處理方式，與之共享的數(shù)據(jù)，以及在不受限制的情況下在服務提供商之間遷移該數(shù)據(jù)的能力。

對于如何根據(jù)個人數(shù)據(jù)進行自動化決策，需要進行審查的權利，例如，通過機器學習算法根據(jù)風險分數(shù)降低交易。

當個人資料被違反時，必須在72小時內(nèi)向成員國的“監(jiān)督機構”（成員國獨立公共機構負責監(jiān)督國內(nèi)生產(chǎn)總值執(zhí)行情況）披露，使個人得到通知并采取適當?shù)难a救措施。

數(shù)據(jù)保護必須通過設計，默認情況下，要求數(shù)據(jù)保護控制從最早的開發(fā)階段構建到產(chǎn)品和服務中，并在收集個人數(shù)據(jù)的所有應用程序中采用隱私友好的默認設置。

被證實不符合規(guī)定的組織將收到懲罰性的金融追索權（例如，全球收入的4％或2000萬歐元）。

??新法規(guī)旨在提供清晰和一致的隱私規(guī)則，不僅在歐盟范圍內(nèi)，而且還在全球范圍內(nèi)為每個組織處理公民數(shù)據(jù)，作為在歐盟提供產(chǎn)品和服務的一部分。

??GDPR引入了具體術語來定義組織內(nèi)的角色和責任，包括：

Data Protection Officer（DPO），是由數(shù)據(jù)控制者或處理者雇用的個人，負責就GDPR規(guī)定提供咨詢意見，向最高管理層報告。 DPO最終由當?shù)乇O(jiān)管機構負責。

Data controller，通常是與數(shù)據(jù)主體（個人）共享數(shù)據(jù)的組織。

Data processor，代表控制器工作的組織和/或個人，例如諸如業(yè)務分析師或開發(fā)商的直接雇員，或諸如信用評級機構或工資核算處理器的外部服務提供商。 數(shù)據(jù)處理器是具有訪問個人數(shù)據(jù)的任何實體或個人。

??了解在這個新規(guī)定的背景下，數(shù)據(jù)泄露意味著什么是非常重要的。 GDPR應用的范圍比僅保密或未經(jīng)授權處理個人數(shù)據(jù)的定義更廣泛，表明數(shù)據(jù)保護方法超出了狹義的訪問概念。 它還包括可用性和完整性。 GDPR文本規(guī)定：

*“個人資料泄露”是指違反安全性，導致意外或非法破壞，丟失，更改，未經(jīng)授權的披露或訪問發(fā)送，存儲或以其他方式處理的個人數(shù)據(jù)*

??這是關于GDPR博客系列的第1部分。 在第2部分中，將研究具體的GDPR要求，并將其映射回一組必需的數(shù)據(jù)庫功能。

??要了解國內(nèi)生產(chǎn)總值的規(guī)定，作用和責任的全面描述，建議讀者參考“歐盟官方公報”（EU（EU）2016/679）（國際勞工組織（EU）2016/679）的案文，并參考法律 律師解釋規(guī)則如何適用于其組織。 此外，為了有效地實現(xiàn)本博客系列中描述的功能，至關重要的是確保根據(jù)MongoDB安全文檔中詳細說明的說明和說明實現(xiàn)數(shù)據(jù)庫。 讀者應考慮聘請MongoDB全球咨詢服務部門協(xié)助實施。

本文翻譯自：https://www.mongodb.com/blog/post/gdpr-impact-to-your-data-management-landscape-part-1?jmp=twt