欧盟公民很快会期望他们的个人数据将默认得到更谨慎、更透明地处理，并且只用于他们明确同意的目的。通用数据保护条例（GDPR）对个人数据保护提出了许多改进。服务提供商是否位于欧盟区域内，或提供的服务是付费的还是免费的，这都无关紧要。如果服务对欧盟内的人可用且涉及个人数据，则应适用该法规，并且必须根据GDPR保护个人数据。

最近我们在新闻中看到，数百万Facebook用户的个人数据被第三方未经其同意用于完全不同的范围。欧盟公民的个人数据也包括在内。虽然这是一个不幸的事件，但它却是一个很好的例子，说明了一个不应发生的重大隐私泄露事件，无论是在现行法规下，还是在GDPR生效时更为重要。

确保您的客户/用户在GDPR定义的水平上获得“默认隐私”并不总是一件容易的事情。仅仅采取所有适当的措施可能并不足够。您还需要控制所有参与您网络的第三方，以防他们代表您处理或存储个人数据。如果您的某个合作伙伴故意要滥用数据，那么预防措施很少。但是，作为控制者，您对数据处理者所做的一切完全负责。

GDPR的一个功能需求是默认隐私。技术和组织措施在实现这一需求中发挥着关键作用。工作方式和设计良好的合同中的最佳实践是必不可少的。但如果您不能真正依赖所有合作伙伴来执行法规，那么如果某个合作伙伴违反规则，您为保护自己的组织所付出的努力可能毫无用处。一个重要的决定是：我们与谁合作提供服务。

GDPR中“默认隐私”的精神

为数据主体提供《默认隐私保护》，例如我们的客户、俱乐部会员、员工以及其他由我们的服务收集个人数据的个人，是控制者的主要责任之一。为了更好地理解这一要求，我们提供以下示例：当一位女性访客填写在线表格以订阅新闻通讯列表时，她提交了她的姓名和电子邮件地址或/和关于她自己的任何额外个人信息。她可以默认期望控制者将根据GDPR处理她的个人信息，在点击“提交”按钮并提交她的订阅之前，仅以她同意的方式和目的进行处理。

术语如处理器、控制者、处理和个人数据的定义在第四条以及我们在JCM三月份的文章中都有规定。建议您从那里了解术语。了解控制者或处理器可以是从个人到拥有数万员工的庞大组织，以及遍布全球也是很重要的。个人数据可以与已识别或可识别的自然人（“数据主体”）相关的任何信息。

在GDPR中，《默认隐私保护》的概念在第IV章，控制者和处理器，第25条中定义。控制者负责确保处理个人数据的个人的《默认隐私保护》方法。控制者还负责确保处理器遵守规定。根据第25条，控制者“应采取适当的技术和组织措施，以确保并能够证明处理符合本规定。必要时，应审查和更新这些措施。”

在本文中，我们主要关注组织措施。技术措施将在其他文章中更详细地审查和分析。然而，技术和组织措施的概念是紧密相关的。例如，制定数据保护管理政策、安全流程、涉及隐私的最佳实践等组织措施至关重要，并且通常与技术解决方案一起成功实施。因此，当例如建议在客户网站上安装扩展时，定义和理解客户流程、此扩展如何在不同阶段处理中访问个人数据等是非常重要的。

如果我们的服务正在处理个人数据，一个非常重要的方面是将个人数据的访问限制仅限于已知和授权的人员。这意味着控制者和处理器（在大多数情况下指组织）应向用户提供用户账户管理，以便访问其个人资料并处理其数据。在许多情况下，可以通过仔细定义用户权限（ACL）或使用密码保护来执行限制。如果个人数据也以物理形式存储，例如在打印的纸质列表、笔记本等中，必须控制并限制对这些来源的访问。第25条指出，“...默认情况下，个人数据不会在没有个体干预的情况下无限制地提供给自然人”。应仔细审查，以确保网站访客无法访问任何未经授权的个人数据。

因此，数据最小化是在提供默认隐私保护时的一项关键原则。这意味着只需收集必要的（个人）数据。数据应仅存储必要的期限，并在不再需要时删除或匿名化。

但是，我们如何定义哪些数据是必要的呢？并没有一个确切的规定，这取决于最初收集数据的目的范围。例如，我们在用户注册时请求的个人数据，取决于处理范围。一个运送实体商品的网店需要比仅提供免费下载的网站收集更多客户信息。

另一个例子是访客订阅通讯列表的情况。实际需要哪些个人信息？基本上，邮箱地址就足够将通讯发送给订阅者。另一方面，只要您告诉订阅者您为何需要这些信息，并描述您将如何处理这些数据，添加一些相关的字段到订阅表单上并没有问题。另一个重要的事情是，订阅者将提前以清晰易懂的方式被告知个人数据将用于哪些目的。

默认隐私 - 这对我意味着什么？

处理者和控制者这两个角色在GDPR的第4条中被明确定义，但这些角色在日常生活中的工作角色是如何搭配的呢？为了向我们的组织以及我们的客户提供所谓的默认隐私，我们需要从这个角度定义我们的角色。

网站开发者的提示

上述程序并不总是那么清晰。例如，如果我们为客户设计网站并提出或开发用于网站上的扩展，这些扩展与个人数据有关，我们的角色可能不是，至少不是明确的控制者或处理器。但我们在实施GDPR和默认隐私方面可能具有重要作用。或者，如果客户想要实施我们知道不符合GDPR的解决方案，我们应该怎么做？我们将完全将责任推给客户吗？在许多情况下，我们可能会发现自己比客户更有实施GDPR的专业知识。如果我们希望与客户建立基于相互信任的长期关系，那么分享我们的知识甚至作为一项服务肯定是一个好主意。

管理者的提示

如果在组织中有管理角色，我们可能需要提供必要的组织措施来确定组织将如何实施GDPR。很明显，仅通过设计一些法律文件，如协议和描述，是无法实现默认隐私的。在许多情况下，我们需要终身学习和适当的管理变革来对抗众所周知的变革阻力。首先，我们需要让受我们管理的人学习和理解保护个人数据的重要性，以及它在实践中意味着什么，以及它将如何影响他们的日常工作。

创业者的提示

创业者也可能遇到这种情况。我们可能需要与客户进行讨论，说服他们GDPR确实需要考虑。一个好主意是研究这项法规，以便成为该领域的专家。从5月25日起，GDPR将成为我们生活的一部分，为什么不尽力利用商业和职业机会呢？

法律声明：本文包含有关法律事务的一般信息。信息仅供参考，不构成法律建议。您不应将本文中的信息视为法律建议，不应依赖本文中的信息替代律师或其他专业法律服务机构提供的法律建议。如果您对任何法律事务有具体问题，应咨询您的律师或其他专业法律服务机构。您绝不应因本网站上的信息而推迟寻求法律建议、忽视法律建议或开始或停止任何法律行动。

本文是《"GDPR概述：解读法规系列"。

参考文献

• 通用数据保护条例，（链接）