曾经，关于AWS中国将以约3亿美元出售给光环新网的消息，外媒评价是因为云计算供应商想要站稳中国市场，不懂法规寸步难行。而今，对于在欧盟或与欧盟做生意的企业或个人来说，了解GDPR（一般数据保护条例）也是很必要的。

该条例将于今年5月25日生效，届时数以万计的企业必须遵守GDPR规定的一套全新数据管理规则。

这一规定适用于不在欧盟的公司：事实上，无论公司总部在哪儿，无论数据存储和处理地点在哪儿，只要与身处欧盟的企业做生意，或者监视欧盟公民的行为，就必须遵从GDPR，也就是说GDPR全球适用。

个人数据不仅包括“个人可识别的信息(PII)”：GDPR扩大了受管制数据的范围，包括与“可识别的自然人”相关的信息，即使这些数据不能用于识别那个人。信息，如浏览器cookie和历史，下载的内容，和人口数据都覆盖在GDPR下。

当不清楚这些数据是否属于“个人”时，市场营销人员必须建立特定于市场的指导方针，以确定他们将如何对待这些数据。

营销团队可能被定义为“控制器”：控制器是负责决定如何处理收集到的数据的公司和个人。营销专业人士是最有可能的员工之一，他们决定如何处理公司收集的个人数据，无论是来自客户还是第三方的。

企业IT部门、软件供应商和其他营销子公司都是“处理器”：由GDPR定义的处理器是处理和使用数据的实体。除非明确地指示进行自主决策，否则处理器只能按照控制器的指示使用个人数据。

一个实体可同时兼顾控制器和处理器的角色：如果一个实体对数据的使用做出决策，然后处理数据，那么它就属于这两类。

个人数据的处理是指对数据进行的任何操作：获取、组织、变更、匿名化、转移、分析，甚至破坏数据都处在“处理”的保护伞下。

“分析”活动带有额外的规定：大多数营销人员将参与到此活动中，定义为“任何形式的个人数据自动处理过程，包括使用个人资料来评估有关自然人的某些方面，特别是关于自然人在工作、经济状况、健康、个人喜好、兴趣、可靠性、行为、位置或运动等分析或预测方面。”

任何被归类为分析的活动都赋予了数据主体获取信息，反对某些信息，并拒绝接受其使用的权利。

几乎所有的个人数据都可以被处理，但仍需要许多步骤来确保其遵从性：处理任何个人数据时，控制器必须确定和归档原因及法律理由，确定个人数据处理和使用的原因，确保只有处理器和处理系统可以访问数据，并保证数据不被需要后从系统中删除。

对数据处理的许可必须是免费的、肯定的和具体的：服务的使用必须不依赖于许可(除非特殊情况)。GDPR还明确表示，所有相关方的处理活动和身份都以简单的语言表现出来。在随后的数据处理过程中，应给予同意。

企业可能需要指定一个数据保护官员(DPO)：虽然不是每个组织都需要指定一个，但是大多数组织应该雇佣一个DPO，以确保隐私策略是秘密的，并且数据处理是正确的。在“大规模的对个人行为进行定期和系统监控”的地方，GDPR要求必须包含一个DPO。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。