2016年4月27日，歐盟議會通過《一般數據保護條例》》(General Data Protection Regulation，簡稱GDPR),法律條例并已在2018年5月25日生效。該條例旨在加強對歐盟境內居民的個人數據和隱私保護并直接適用于歐盟各成員國，其取代了1995年頒布的《數據保護指令》。

適用范圍(屬地+屬人原則)：只要在歐盟成員國境內設立的公司，必須保護歐盟成員國居民的個人隱私信息，此為屬地原則。此外，即使公司不在歐盟境內設立，但有涉及接觸歐盟成員國居民的個人隱私信息，也必須遵守GDPR，此為屬人原則。

違規者罰金：違反GDPR的行為，嚴重違規者罰金上限為2000萬歐元或該集團全球年營業額的4%(以兩者較高者為準);一般違規者罰金上限為1000萬歐元或該集團全球年營業額的2%(以兩者較高者為準)。

二、GDPR企業合規指南

本指南描述了如何從技術和管理兩個方向滿足歐盟GDPR通用數據保護條例，旨在設計、編碼、測試、部署，管理各個環節提高企業整體的GDPR合規性，適用于前端與后端的軟件開發、系統測試、系統運維和GDPR合規制度編寫。

1. GDPR技術合規性指南

(1) 終端操作系統層自檢項目

• 與云端的所有通信，特別是OTA更新，都應采用加密協議,例如HTTPS,此外還需要啟用證書合法性檢查，不能信任任意證書;
• 最小化服務組件;
• 最下化開放的端口;
• 禁止開放adb調試接口;
• 終端進程要求以非root運行;
• OTA更新包要進行哈希校驗(建議sha256)和數字簽名(RSA2048)，防止被劫持篡改;
• 要求做好root防護，不允許從普通用戶非法提升到root用戶權限;
• 要求不允許從U盤安裝第三方應用，僅支持從應用商店下載安裝應用;
• 定期更新操作系統的安全補丁，由云端發起，隨OTA更新或進行熱補丁更新;
• 恢復出廠設置后，所有存儲的個人信息需要被徹底刪除;

(2) 終端APP底層自檢項目

• 與云端的所有通信，特別是賬號相關的通信，都應采用TLS加密協議，例如HTTPS，此外還需要啟用證書合法性檢查，不能信任任意證書;
• APP獲取操作系統的能力需要遵循最小化原則，例如：如果不需要定位信息，語音，照相等就不要啟用該能力;
• 遵循最小化原則，只能收集隱私協議中公示的個人數據;
• 盡量不要采集MAC地址，IMEI地址等硬件的全球唯一標識，如果一定要采集，需要在隱私協議中公示其用途，用戶同意后方可采集，并且要在云端后臺進行加密或匿名化處理;
• 確保密碼、密鑰或其敏感信息沒有在緩存和日志中輸出;
• 存儲的個人敏感信息應加密處理;
• 上傳數據建議進行哈希校驗(建議sha256)和數字簽名(RSA2048)，確保完整性;
• 存儲的個人敏感信息必須設置最大保存時間，超過時間必須刪除

(3) 終端APP人機交互層自檢項目

• 開機應提示用戶閱讀隱私協議，隱私協議被瀏覽完才可以顯示同意按鈕，隱私協議中應區分必須采集和不必須采集的兩個部分，不必須采集的部分用戶可以選擇不同意采集;
• 注冊賬號時，應提示用戶閱讀隱私協議，隱私協議被瀏覽完才可以顯示同意按鈕，隱私協議中應區分必須采集和不必須采集的兩個部分，不必須采集的部分用戶可以選擇不同意采集;
• 隱私協議和用戶協議應分開顯示不能混在一起;
• 應具備用戶賬號注銷能力，用戶選擇注銷后，提示用戶其在云端存儲的與個人相關的所有信息將被徹底刪除或采取匿名化處理;
• 應具備撤銷對隱私協議同意的功能，用戶可以方便的撤回同意，同意撤回后，隱私協議中提及的個人信息將不再采集;
• 應具備讓用戶自己選擇刪除部分或全部個人數據的能力，例如刪除其搜索記錄和觀看記錄，云端應將其選擇刪除的數據做徹底刪除或匿名化處理;
• 應具備讓用戶自己查看其個人數據的能力，例如瀏覽其搜索記錄，觀看記錄等;
• 應具備讓用戶自己控制是否開啟根據其個人畫像提供的自動服務，例如廣告推送，節目推薦;
• 應具備讓用戶自己更改個人相關信息的能力，例如昵稱，電話，住址等;
• 對用戶隱私數據的使用目的和范圍，應與用戶隱私條款展示的內容相同，不得采集和使用用戶隱私協議中沒有提及的個人隱私數據，如果有新功能需要采集個人隱私數據，則需要同時更改隱私條款，并在功能更新后提示用戶重新閱讀隱私條款，并重新獲取用戶同意;
• 不得以用戶不同意隱私協議為理由，整體拒絕用戶對APP的使用，用戶不同意隱私協議的情況下，應能提供不需要采集隱私數據就可以實現的功能

(4) 云端應用程序層自檢項目

• 存儲的應用程序日志中的IP,MAC,IMEI信息應進行加密或者匿名化處理(例如IP匿名化可以隱藏掉最后一位);
• 存儲的用戶個人敏感信息應進行加密處理，建議采用AES256算法進行加密，加密秘鑰要妥善保管不能被泄露;
• 存儲的用戶密碼應進行哈希處理，要求采用加隨機鹽的哈希方式進行存儲，算法建議使用sha256,最好能做到哈希摘要與隨機鹽分庫存儲;
• 存儲的用戶個人敏感信息(基于大數據的個人畫像)需要有一定時間限制，不能無限制永久保存，到期后應自動刪除，存儲保留時間應該與隱私協議中描述的一致;
• 應有能力證明用戶對隱私協議的同意情況;
• 建立終端漏洞補丁管理系統，定期收集檢測安全漏洞，下發更新安全補丁;
• 下發數據建議進行哈希校驗(建議sha256)和數字簽名(RSA2048)，確保完整性;

”云端https服務需要導入RSA2048位證書，TLS協議建議配置為使用TLS1.2和1.3，禁止使用SSL1.0,SSL2.0,SSL3.0和TLS1.0，安全協議簇配置配置建議如下：

• 建議秘鑰交換算法配置為ECDHE,禁止使用PSK。
• 建議數字簽名算法配置為RSA。
• 建議對稱加密算法配置為使用AES256-GSM,禁止使用DES,RC4。
• 建議哈希算法配置為使用SHA256或更高位數，禁止使用MD5和SHA1。

(5) 云端系統環境層自檢項目

• 需要部署防火墻，基于ip/端口進行訪問控制，遵循最小化訪問原則只開放必須的IP和端口，遵循最大化控制原則限定訪問來源IP，并要定期核查端口是否還在使用，及時刪除過期規則;
• 需要部署WEB應用防火墻，對http/https協議的載荷進行安全檢查，并定期更新攻擊檢測規則;
• 需要部署入侵檢測系統，至少包含主機入侵檢測和網絡入侵檢測的其中一種，建議同時具備;
• 遠程接入數據中心，至少應該滿足“通過VPN接入”或“限定訪問來源IP”中的其中一種，建議同時具備;
• 遠程接入數據中心，身份驗證要支持雙因素，除了密碼驗證以外還應該同時被另一種驗證方式確認通過后方可判定訪問者身份驗證成功;
• 遠程接入數據中心，要求只能連接跳板機，只有跳板機具備訪問其他主機操作系統的能力，各業務主機之間不允許互相登錄跳轉;
• 運維賬號不能混用，要求一人一號，且所有操作動作要求被記錄并留存至少三個月,需要被記錄的操作包括公有云賬號的運維動作記錄和業務操作系統上的運維命令記錄;
• 數據庫要求開啟審計能力，對所有數據庫操作進行記錄并保留至少三個月;
• 數據中心內部要求根據業務劃分安全域，各業務安全域之間互訪需要遵循最小化原則;
• 操作系統，數據庫，中間件需要進行安全加固;
• 需要部署安全漏洞檢查系統，定期對云端系統的漏洞進行檢查，并部署安全補丁進行修復;
• 需要具備數據備份系統，定期對數據進行備份，并驗證備份集的可恢復性，確保在數據丟失或被破壞時可以恢復成功;
• 數據的備份文件要加密保存;
• 如果運營客戶是歐盟或其他海外用戶，云端數據中心建議部署在美國或歐盟境內，避免跨境數據傳輸的安全風險

2. GDPR管理合規性指南

(1) 基本要求自檢項目

• 要求明確公司在角色上是屬于數據控制者還是數據處理者或者是共同數據控制者，并在相關管理文件中明確該角色和角色權責;
• 基于在歐盟區的業務范圍，建議在相關制度或規范中明確關于個人信息的處理和服務范圍，包括在哪些國家收集哪些個人信息、收集個人信息的目的及使用方式;
• 應當明確在歐盟區的業務范圍內的當地監管機構、聯系方式及溝通機制，并將其寫入相關制度和規范中;
• 應指定數據保護專員，并將其職責寫入相關制度和規范中;
• 應明確向監管機構報告個人數據泄露的義務，并將其寫入相關制度和規范中;
• 應明確向數據主體告知數據泄漏的義務，并將其寫入相關制度和規范中;
• 應對數據處理活動進行記錄留存，并將其寫入相關制度和規范中;
• 應將不允許跨境數據傳輸寫到相關制度和規范中

(2) 基本原則自檢項目

• 合法、公平和透明性原則：合法地、公平地并且以公開透明的方式對數據主體的個人數據進行處理。針對該原則的應對要寫入相關制度和規范中。
• 目的限制原則：基于具體、明確、合法的目的收集個人數據，且隨后不得以與該目的相違背的方式進行處理。針對該原則的應對要寫入相關制度和規范中。
• 最小范圍原則：數據應是充足的、相關的并且限于數據處理目的最小必要范圍。針對該原則的應對要寫入相關制度和規范中。
• 準確性原則：數據應是準確的，且若有必要應保持適時更新，采取一切合理措施確保與數據處理目的相悖的錯誤數據被及時清除或更正。針對該原則的應對要寫入相關制度和規范中。
• 存儲限制原則：以可識別數據主體身份的形式存儲的數據的存儲時間不能長于實現個人數據處理目的所必需的時間。針對該原則的應對要寫入相關制度和規范中。
• 完整和保密原則：數據處理應當以確保個人數據的適當安全性的方式進行，包括采取適當的技術或組織措施以保護數據免遭未經授權或非法的處理以及意外的丟失、銷毀或破壞。針對該原則的應對要寫入相關制度和規范中。
• 兒童信息處理原則：只有對年齡不小于16周歲的兒童的個人數據進行的處理行為才是合法的。對年齡不滿16周歲的兒童，處理行為只有或至少在獲取了該兒童的監護人的同意或授權時才是合法的。針對該原則的應對要寫入相關制度和規范中。

(3) 數據主體的權利自檢項目

• 訪問權：數據主體有權從數據控制者處獲得有關他或她的個人數據是否被處理的確認結果。針對該權利的應對要寫在相關制度和規范中。
• 更正權：數據主體有權要求數據控制者立即更正與其有關的錯誤的個人數據。針對該權利的應對要寫在相關制度和規范中。
• 清除權(被遺忘權)：數據主體有權請求數據控制者立即清除與其相關的個人數據，同時數據控制者有義務立即清除相關個人數據。針對該權利的應對要寫在相關制度和規范中。
• 限制處理權：數據主體有權限制數據控制者的處理行為。針對該權利的應對要寫在相關制度和規范中。
• 持續控制權(可攜帶權)：如果數據主體向某數據控制者提供與其有關的個人數據，那么該數據主體有權從該數據控制者處獲取結構化、通用化和可機讀的上述數據;同時，數據主體有權將這些數據轉移給其他數據控制者，原數據控制者不得進行阻礙。針對該權利的應對要寫在相關制度和規范中。
• 拒絕權：數據主體有權基于其自身特殊情況隨時對其實施的涉及其個人數據的處理行為，其中包括識別分析行為。針對該權利的應對要寫在相關制度和規范中。
• 自動化的個人自決權：數據主體有權不受僅基于自動化處理行為得出的決定的制約，以避免對個人產生法律影響或與之相類似的顯著影響，該自動化處理包括識別分析。針對該權利的應對要寫在相關制度和規范中。
• 應建立在進行更正/限制處理/刪除個人數據時，通知個人數據接收者的機制，以及在基于用戶的請求執行相應操作后，及時通知其他數據接收者同步處理用戶個人數據的機制。

(4) 個人信息事件處理自檢項目

• 應建立建立對于終端用戶投訴個人信息相關問題的處理流程;
• 應針對歐盟業務制定個人信息安全事件的協調處理流程、事件報告流程、事件分類分級、事件發生后與監管機構或數據控制者的對接流程、上報時間限制等處理機制。

3. 其他信息安全保護規范

• 需要有安全補丁的管理規定，明確發現安全漏洞后，安全補丁修復的流程;
• 應該在公司相關制度和規定文件中明確使用個人數據的管理要求，尤其是對使用個人數據進行測試的情況加以控制，包括測試系統的訪問、申請使用測試數據的流程、數據使用后的銷毀與處置、使用記錄的保留等內容;
• 應保留操作系統和數據庫的操作記錄，包括操作時間、操作人、操作賬號、操作內容等信息，并定期對操作記錄進行復核，保留復核記錄;
• 應建立完善關于權限管理相關制度文件，應明確賬號管理原則、賬號管理要求、賬號管理流程(申請、審批、變更、關閉)等內容，在執行層面通過建立權限清單和權限復核機制，控制訪問權限;
• 應建立完善密碼安全相關的管理要求，例如完善密碼設置規則、密碼更改要求、密碼重置要求;
• 應建立完善定期對開啟的端口及服務進行復核的管理要求，在發現未關閉的端口及服務后，須及時通知運維人員予以管理;
• 應建立數據備份恢復相關的管理規定