摘要：新法規旨在提供清晰和一致的隱私規則，不僅在歐盟范圍內，而且還在全球范圍內為每個組織處理公民數據，作為在歐盟提供產品和服務的一部分。

??與歐盟的通用數據保護規定的（GDPR）¹時間越來越近了。從2018年5月25日起，任何一個未能滿足新法規的組織將面臨高達全球收入4%的罰款，或者是2000萬歐元——無論哪種罰款——任何進一步的數據處理活動都將遭受潛在的叫停風險。因此無論是否加入了歐盟，只要你正在以任何方式處理歐盟公民的數據，就必須服從GDPR的條約。

??也就是說，該規定不應該被視為一些不知名的官文強加的。相反，對于更積極的組織來說，它提供了一個機會來改變他們在數字經濟中與客戶的關系。

??在接下來的博客系列中，將深入去了解這份規定，了解這份規定對我們而言意味著什么：

第1部分，將提供一個GDPR的入門介紹–這將會覆蓋規定的基本原理和關鍵措施。

第2部分，將探討GDPR對我們的數據平臺意味著什么。

第3部分，我們將討論MongoDB的產品和服務將如何支持我們的業務。

第4部分，我們將探討GDPR將如何幫助客戶去實施，并提供了幾個案例供研究。

如果你不能等到所有的4個部分內容，就想現在了解全部的話，可以下載完整的GDPR：Impact to Your Data Management Landscape 白皮書。

??據預測，到2021年為止，網絡犯罪將使全球經濟損失6萬億美元，比2016年又增加了3萬億美元。被一些人描述為“對世界上每一家公司的最大威脅”，公眾對數據安全的關注度正在日趨增長——這不僅僅是犯罪分子如何利用偷來的數據進行欺詐，還涉及到我們所接觸的組織如何使用我們的個人數據。許多人在詢問是否可以用以換取貨物、服務和就業的數據用于：

損害我們的聲譽？

拒絕我們可能需要獲得的醫療保健或金融服務？

根據我們的政治觀點、宗教、社團或種族歧視我們？

減少我們的自主、自由和個性？

??歐洲聯盟（歐盟）的通用數據保護規定（GDPR）2016 / 679的設計就是面對這些問題的。保護個人–GDPR術語中的“數據對象”–變得不只是一個對組織收集和處理數據隱私的法律義務，保護數據隱私同樣也是所有歐盟公民的一項基本人權。GDPR于2016年5月24日公布，并將自2018年5月25日起執行。

??一系列的要求和控制的定義來規范GDPR收集、存儲、處理、保存、分享歐盟公民的個人數據。然而，加特納預測，超過50%受GDPR影響的公司不會在2018年底–規定生效后的9個月內完全符合。

??現有的歐盟數據保護立法（數據保護方針95/46／EC）于1995年引入，但在今天的隱私要求和未來設想中，越來越被認為是不夠的：

實現在每個成員國之間變化，造成復雜性、不確定性和成本。不一致既影響了新興數字經濟中的用戶信任，也影響了歐盟在全球市場的競爭力。

過去20多年的技術改進使得私營企業和當局能夠以前所未有的規模收集和使用個人數據，以便開展活動。社交網絡、云計算、電子商務、Web服務、移動設備和應用程序、物聯網、機器學習等等的出現，使得現有的規章制度不足。

??將GDPR的改革介紹給歐盟公民，使得他們對自己的個人數據有更多的控制權。在這樣的背景下，個人數據的范圍已經擴大–包括可以唯一地標識一個人，如姓名、身份證號碼、位置數據、網絡標識符，或通過物理、生理、遺傳、心理、經濟、文化，或是個人社會認同等一個或多個具體元素的。

??在EU的調查中，十個歐洲人中有九個擔心移動應用程序在未經他們同意的情況下收集個人數據，十個人中有七個擔心公司可能對他們所披露的數據做出潛在的用途。的GDPR試圖通過一系列新措施解決這些問題：

個人必須對數據收集提供明確的同意——“默認同意”不再有效。尋求同意的組織還必須提供清楚的資料，說明如何使用這些數據、保留多長時間以及如何與第三方共享數據。個人可以隨時撤回同意，不受任何偏見影響。如果數據用于處理超出原始同意的目的，則必須向個人請求額外的權限。

“被遺忘的權利”，也稱為“刪除權”，就是當所有者要求不再保留數據、要求刪除數據時，組織沒有任何理由拒絕該請求。

組織必須更容易地訪問個人的數據，使他們能夠查看存儲有關它們的數據以及處理方式，與之共享的數據，以及在不受限制的情況下在服務提供商之間遷移該數據的能力。

對于如何根據個人數據進行自動化決策，需要進行審查的權利，例如，通過機器學習算法根據風險分數降低交易。

當個人資料被違反時，必須在72小時內向成員國的“監督機構”（成員國獨立公共機構負責監督國內生產總值執行情況）披露，使個人得到通知并采取適當的補救措施。

數據保護必須通過設計，默認情況下，要求數據保護控制從最早的開發階段構建到產品和服務中，并在收集個人數據的所有應用程序中采用隱私友好的默認設置。

被證實不符合規定的組織將收到懲罰性的金融追索權（例如，全球收入的4％或2000萬歐元）。

??新法規旨在提供清晰和一致的隱私規則，不僅在歐盟范圍內，而且還在全球范圍內為每個組織處理公民數據，作為在歐盟提供產品和服務的一部分。

??GDPR引入了具體術語來定義組織內的角色和責任，包括：

Data Protection Officer（DPO），是由數據控制者或處理者雇用的個人，負責就GDPR規定提供咨詢意見，向最高管理層報告。 DPO最終由當地監管機構負責。

Data controller，通常是與數據主體（個人）共享數據的組織。

Data processor，代表控制器工作的組織和/或個人，例如諸如業務分析師或開發商的直接雇員，或諸如信用評級機構或工資核算處理器的外部服務提供商。 數據處理器是具有訪問個人數據的任何實體或個人。

??了解在這個新規定的背景下，數據泄露意味著什么是非常重要的。 GDPR應用的范圍比僅保密或未經授權處理個人數據的定義更廣泛，表明數據保護方法超出了狹義的訪問概念。 它還包括可用性和完整性。 GDPR文本規定：

*“個人資料泄露”是指違反安全性，導致意外或非法破壞，丟失，更改，未經授權的披露或訪問發送，存儲或以其他方式處理的個人數據*

??這是關于GDPR博客系列的第1部分。 在第2部分中，將研究具體的GDPR要求，并將其映射回一組必需的數據庫功能。

??要了解國內生產總值的規定，作用和責任的全面描述，建議讀者參考“歐盟官方公報”（EU（EU）2016/679）（國際勞工組織（EU）2016/679）的案文，并參考法律 律師解釋規則如何適用于其組織。 此外，為了有效地實現本博客系列中描述的功能，至關重要的是確保根據MongoDB安全文檔中詳細說明的說明和說明實現數據庫。 讀者應考慮聘請MongoDB全球咨詢服務部門協助實施。

本文翻譯自：https://www.mongodb.com/blog/post/gdpr-impact-to-your-data-management-landscape-part-1?jmp=twt