GDPR的全称是什么？

通用数据保护条例。

什么是GDPR?

为了应对互联网时代个人数据保护的新挑战，以及为保障数据能高效和安全流动，促进欧盟“单一数据市场”的建立，历经4年的讨论，欧盟议会最终于2016年通过了GDPR，即一系列的法规旨在赋予欧盟境内的“数据主体“更多的权利来保护他们个人数据的隐私，并于2018年5月25日正式生效。

“个人数据”是什么？

“个人数据”是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接的识别，尤其是通过参照诸如姓名，邮箱，地址，银行账号，社保号，身份证号，定位数据，在线身份识别这类标识，或者是通过参照针对自然人一个或多个如物理，生理，遗传，心里，经济，文化或者社会身份的要素。

什么是对GDRP合规？

任何机构或组织要确保“个人数据”的收集是合法且在有严格的条件下进行的，有责任和义务去保护收集和管理的“个人数据”不被误用和利用，以及尊重“数据主体”的权利。对于不遵守如上内容的任何机构或组织会面临监管机构严厉的行政处罚。卢森堡的GDPR监管机构是国家数据保护委员会（CNPD）。

行政处罚都包括哪些？

不遵守GDPR的数据控制者和数据处理者会面临巨额罚款的风险，但不是所有的违规都会导致罚款。

除罚款外，监管当局有一系列的惩罚措施，其中包括警告和批评；实施临时的或者永久的禁止数据处理的禁令；要求提供重新处理过的，有限制的，作过必要内容消除后的数据；暂停数据传送到第三国等。

行政罚款由监管当局酌情决定，本着具体案件具体分析以及有效，公正的原则。有两个不同等级的行政性罚款：

• 罚款上限是1000万欧元或者上一个财政年度全球全年营业收入的2%（两者取数额大者）

• 罚款上限是2000万欧元或者上一个财政年度全球全年营业收入的4%（两者取数额大者）

对于一般性违法，执行较低等级的罚款，而对于严重的违法，比如侵犯了个人的隐私权等会执行较高等级的罚款。

GDRP适用于谁？

不论机构或组织（“数据控制者”或者“数据处理者”）的公司实体或者主营业务是否在欧盟境内，只要其涉及到处理在欧盟境内的个人信息，就都适用于GDPR。

提供以下几个场景帮助更好的理解：

1. 去法国旅游的中国游客将个人信息提供给巴黎的酒店，在办理入驻登记时。

GDPR适用，此酒店是数据“控制者”，而中国游客即为“数据主体”。

2. 常住卢森堡的中资外派人员，注册亚马逊法国站去网购商品。

GDPR适用，亚马逊法国站是数据“控制者”，而此外派人员是“数据主体”。

3. 在法国居住的法国公民，使用亚马逊法国站去网购商品。

GDPR适用，亚马逊法国站是数据“控制者”，而法国公民是“数据主体”。

4. 在中国居住的卢森堡公民，使用亚马逊德国网购商品。

GDPR适用，亚马逊德国是数据“控制者”，而此卢森堡公民是“数据主体”。

5. 在中国居住的卢森堡公民，在日常生活中使用微信。

GDPR不适用，因为此卢森堡公民通过微信产生的相关数据信息都在中国境内，非欧盟境内。

什么是“处理”?

“处理”是指针对个人数据或者个人数据集合的任何一个或者一系列操作，诸如收集、记录、组织、构建，存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用、排列、组合、限制、删除或销毁，无论此操作是否采用自动化的手段。

什么是“控制者”?

“控制者”是能单独或者联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。（比如，当使用消费者信息做纳税申报时，商户会被认为是数据控制者。）

什么是“处理者”?

是指为控制者处理个人数据的自然人、法人，公共机构、行政机关或其他非法人组织。（比如，IT供应商为其客户存储个人信息，那么此IT供应商会被认为是处理者。）

作为卖家的我是否受GDPR的影响？

作为卖家，如果您向欧盟境内销售商品，那么一定要关注GDPR。 如下一些例子帮您更好的理解：

• 中国卖家在亚马逊法国站销售商品，收集消费者（买家）的“个人数据”用于递送，税务，质保，发票或者财务记账需求。GDPR适用，中国卖家是“控制者”而消费者是“数据主体”。

• 中国卖家在亚马逊法国站销售商品并且收集买家的个人信息。与此同时，此卖家将配送服务外包给中国公司并向其提供买家的个人数据。GDPR适用，中国卖家是“控制者”，买家是“数据主体”，配送公司是“处理者”。作为“控制者”的卖家有责任确保“处理者”-配送公司对GDPR法规的遵守。

GDPR如何影响电商平台卖家？

如果您向欧洲境内销售商品，电商平台卖家需要创建并且遵守属于自己的GDPR合规隐私权政策。

自2018年5月25日之后，电商平台（比如亚马逊等）提供了一个额外的界面允许卖家提供自己的隐私权政策和cookies政策，而买家也通过此可以更好的了解卖家是如何遵守GDPR法规的。

如果您在电商平台之外处理“个人数据”，比如为了配送，报税，质保，发票或者财务记账方面的需要，当欧盟境内的买家提出了具体要求时，您需要提供或者删除欧盟买家的个人信息。

对于销量较大的卖家，建议咨询相关专业律师以便更好遵守GDPR的相关规定。

作为卖家，您一定希望向客户或潜在客户宣传自己的商品。

如您计划投放促销推广信息，要牢记一点，必须要先征得接收广告的目标消费者的同意。

B2C模式下的营销信息：

• 如果目标消费者是现有客户并且将要推荐的服务与目前已经存在的服务类似，则如上的要求可豁免。

• 在收集目标消费者的联系方式时，必须通知并且征得目标消费者的同意，同意将其联系方式用于接收广告营销。

• 在收集目标消费者的联系方式时，为消费者提供易于选择的自由退出方式，如在意向调查表中提供拒绝选项。

B2B模式下的营销信息：

• 在收集目标消费者的联系方式时，必须通知并且征得目标消费者的同意，同意将其联系方式将用于接收广告营销。

• 在收集目标消费者的联系方式时，为消费者提供易于选择的自由退出方式。

• 一般的联系方式，比如该公司的联系邮箱、公司地址等，则不受此法规约束。

如您计划通过服务商来宣传您的产品，需确保服务商的合同及隐私条款符合GDPR要求。与不符合GDPR要求的服务商合作推广也会导致您违反GDPR的相关要求。建议您参考附表检验广告服务商是否符合GDPR要求。

如果您不借助服务商，而是自己直接向客户做直接营销，则需要完成数据隐私影响评估（DPIA，Data Privacy Impact Assessment）。数据隐私影响评估是一套帮助卖家识别、控制数据隐私方面风险的评估流程。作为卖家，您有责任证明自己已采取一切必要措施去满足GDPR的相关要求。而数据隐私影响评估就是这样一个用于鉴别筛查数据处理流程是否合规的很好的工具。

作为卖家，您一定需要物流公司来运送产品到客户手里。在此过程中，物流公司会被认定为是以您的名义进行数据处理。 同样，您需要核实其合同及隐私条款，确保您委托的物流公司是遵守GDPR要求的。如果您委托的物流公司未遵守GDPR规定，也会导致您违反GDPR的相关要求。 为确保您选择了一个合适的商业伙伴负责物流相关业务，建议您参考附表检验物流公司是否符合GDPR要求

作为商家，ERP系统一定是您工作上必不可少的，而GDPR的生效也会影响到ERP系统。

GDPR实施后，消费者可以要求从您的ERP系统删除自己信息，因此您需要可以在您的ERP系统查看数据，从而可以准确而迅速的定位和移除相关信息，按客户的要求完成信息删除。

鉴于ERP系统相对较复杂，作为卖家的您需要清楚其数据处理流程中的每一环节，包括如何存储消费者的数据，如何保证存储和传输中的数据安全，谁可以访问这些数据以及如何在系统中追踪和记录访问者。如果您不了解ERP的数据处理流程以及不能确定数据是如何保护、是否安全，那么您将不符合GDPR的法规要求。

建议您更新到最近或较新的ERP系统，因为老旧的ERP版本已难以满足新法规的要求。主流ERP已充分考虑了隐私权设定等新功能，可使您更好的满足GDPR的要求。即需即用软件（SaaS）基本都提供的是较新版本的ERP系统。

建议您参考附表检验ERP服务商及ERP软件是否符合GDPR要求。

在之前的GDPR总体介绍中，我们已就个人数据如何保护进行了解释，而个人数据中支付相关的数据可能是其中一种最敏感的隐私数据。

在GDPR的规定下，支付机构（PSP）基于业务的需要、合同的规定以及当地监管的要求（比如防止欺诈）有权处理消费者个人数据。但是，例外情况如发送营销广告则需要获得数据主体的同意才可以，因为营销广告并非履行支付协议的必须措施。

今年6月13日起在欧洲生效的Payment Service Directive 2（PSD2）也包含了数据保护方面的内容。例如，在PSD2法规中的第94条规定了支付机构（PSP）即使是为了履行合约的义务，也必须先获得用户明确的同意后才可以获取/处理/保留必要的数据。而在GDPR中，则允许在法律义务、合法权益或履行合同的前提下，支付机构可以不用征得客户的同意。两相结合，支付机构仍需取得用户的明确书面同意。

客户可以在任何时间提出删除他们个人信息的要求，而支付机构也应按要求删除相关的支付记录。客户繁荣这一权利在有些情况下会受到限制，例如按照法律要求保留客户的支付数据。

为确保您选择的支付机构是合规的，建议您参考附表检验支付机构是否符合GDPR要求。

基于在欧洲市场提供支付服务的丰富经验，在产品及服务设计之初，PingPong就已充分考虑了GDPR和PSD2的监管要求并将其融合在了自身的产品及服务中，确保PingPong向用户提供的服务是安全且合规的。PingPong还专门任命了专业的数据保护官（DPO），愿意解答您关于隐私权方面的任何问题。