什么是通用数据保护条例（gdpr）(the general data protection regulation (gdpr))？

《一般数据保护条例》（GDPR）是一个法律框架，为收集和处理居住在欧盟（EU）的个人的个人信息制定了指导方针。由于无论网站位于何处，这项规定都适用，因此所有吸引欧洲游客的网站都必须遵守这项规定，即使它们没有专门向欧盟居民推销商品或服务。

GDPR规定，欧盟访客必须得到一些数据披露。该网站还必须采取措施促进欧盟消费者权益，如在个人数据被侵犯时及时通知。该条例于2016年4月通过，经过两年的过渡期后，于2018年5月全面生效。

gdpr的****要求

根据规定，网站必须通过点击“同意”按钮或其他动作，将网站从访问者那里收集的数据通知访问者，并明确表示同意收集信息。 (这一要求在很大程度上解释了网站收集“cookies”（保存个人信息（如网站设置和首选项）的小文件）的信息披露无处不在的现象。）

网站还必须及时通知访问者，如果网站持有的任何个人数据被破坏。 这些欧盟要求可能比现场所在司法管辖区的要求更为严格。

此外，还必须评估网站的数据安全，以及是否需要聘用专门的数据保护官员（DPO）或现有工作人员来履行这一职能。

关于如何联系DPO和其他相关工作人员的信息必须是可访问的，以便访问者可以行使其欧盟数据权利，其中还包括删除他们在网站上的存在的能力，以及其他措施。 (当然，网站还必须增加员工和其他资源，以便能够执行这些请求。）

通用数据保护条例（gdpr）的其他规则和授权

作为对消费者的进一步保护，GDPR还要求网站收集的任何个人识别信息（PII）要么匿名化（该术语暗示为匿名），要么化名化（消费者的身份被化名取代）。 数据的假名化使公司能够进行更广泛的数据分析，例如评估某一特定地区客户的平均负债率——这种计算方法可能超出了为评估贷款信用度而收集的数据的最初目的。

GDPR影响的数据超出了从客户那里收集的数据。最值得注意的是，这项规定可能适用于人力资源部员工的记录。

与gdpr有关的争议

GDPR在某些方面引起了批评。有人说，任命DPO的要求，或者只是评估是否需要这些DPO，给一些公司带来了不应有的行政负担。一些人还抱怨说，这些指导方针在如何最好地处理员工数据方面过于模糊。

此外，数据不能传输到欧盟以外的其他国家，除非接收公司保证欧盟要求的同等程度的保护。这导致人们抱怨商业行为受到了代价高昂的破坏。

另一个问题是，与GDPR相关的成本会随着时间的推移而增加，部分原因是越来越需要对客户和员工进行数据保护威胁和补救措施方面的教育。对于欧盟内外的数据保护机构如何切实可行地协调其对法规的执行和解释，从而确保GDPR发挥更充分作用时的公平竞争环境，也有人持怀疑态度。