随着科技的快速发展，我们的个人信息也变得越来越容易被获取和利用。为了保护

个人信息的安全，各国都制定了数据保护法案来规范个人信息的收集、存储和使用。
今天，我们将通过一个案例来了解数据保护法案的重要性。
案例背景
某公司在收集客户信息时，未经客户同意就将其个人信息出售给第三方公司。这导
致客户的个人信息被滥用，给客户带来了巨大的损失。客户因此向当地数据保护机
构投诉，并要求公司赔偿损失。
数据保护法案的作用
在这个案例中，数据保护法案起到了至关重要的作用。根据数据保护法案，个人信息
的收集和使用必须经过个人同意，并且必须明确告知个人信息的用途。公司未经客
户同意就出售个人信息，违反了数据保护法案的规定。
案例结果
在数据保护机构的调查下，公司被罚款并被要求赔偿客户的损失。同时，公司也被要
求改善其个人信息收集和使用的流程，以符合数据保护法案的要求。
为什么选择HelpWriting.net？
如果您需要撰写关于数据保护法案的论文或研究报告，我们推荐您使用HelpWriting.net
。这是一个专业的学术写作服务平台，拥有经验丰富的作家团队，可以为您提供高质
量的定制论文。我们保证所有论文都经过严格的抄袭检测，确保原创性。不仅如此，
我们还提供免费的修改和客服支持，让您满意的同时也节省了时间和精力。
在HelpWriting.net，您可以放心地订购论文，我们将为您提供最优质的服务。立即访问
HelpWriting.net，订购您的定制论文吧！
33) 拒不配合数据调取的：由有关主管部门责令改正，给予警告，可以并处 5 万元至 50
万元罚款，对直接负责的主管人员和其他直接责任人员可以处 1 万至 10 万元罚款。 安
华金和数据库防火墙系统（简称 DBFirewall），是一款针对应用异常数据访问的数据库
安全防护产品。DBFirewall 采用主动防御机制，通过学习期行为建模，预定义风险策
略；并结合数据库虚拟补丁、注入规则和应用关联防护机制，实现数据库的访问行为
控制、高危风险阻断和可疑行为审计。 高风险个人数据保护原则 (High-risk personal
information) 注：测试为网络形试考试，学习人员可以自行选择参加，参加测试合格
人员，将发放结业证书。（本次专家咨询讲解为英国皇家品质学会 (CQI) /国际审核员注
册协会 (IRCA)认证培训机构 Hermes infotech Inc.授权） 35）未经审批向境外提供组织数
据的：由有关主管部门给予警告，可以并处 10 万至 100 万元罚款，对直接负责的主管
人员和其他直接责任人员可以处 1 万至 10 万元罚款。造成严重后果的，给予 100 万
至 500 万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，对负责人给
予 5 万至 500 万元罚款。 根据公开报道，2020 年全球数据泄露的平均损失成本为 1145
万美元，2019 年数据泄露事件达到 7098 起，涉及 151 亿条数据记录，比 2018 年增
幅 284%，数据泄漏事件影响大、损失重。 GDPR要求数据控制者采取适当的技术和组
织措施，并能够证明数据处理活动符合GDPR的规定（“问责”）。每种情况下的适当措施
取决于相关处理的性质、范围、内容和目的，以及个体的权利和自由方面的风险。在
实践操作中，这项义务复杂繁琐且意义深远，最好通过实施全面隐私管理计划来
履行。 ● 规范、产业要求，例如欧盟隐私权保护规范(EU GDPR)、物联网安全规
范(IoTProtection Profile) Veritas NetBackup 一直被公认为企业级备份和恢复软件的市场
领导者，旨在保护全球最大、要求最严格的数据中心环境。NetBackup 为虚拟和云环境
带来突破性功能，这是传统备份方法所无法企及的。通过一个直观的管理控制台即
可显示全部的备份和恢复活动，便于您在整个企业中实施一致的策略和服务级别。
这一提案对数字企业的发展来说也是个利好的消息，它在促进数据驱动的创新，消
除数字业务障碍方面做了很多的努力。如对“个人数据”进行了更清晰的定义，将其范
围限制在：“控制者或处理者在处理時通过合理手段识别的信息；或控制者或处理者
应该知道另一個人可能会因处理而获得信息，並且该个人可能会在处理时通过合理
手段识别该个人”。将可识别的评估限制在控制者和处理者以及可接受信息的人
范围，而不是世界上的任何人。提案还对数据主体访问请求做了一定限制，如果组织
确定这些请求是“无理取闹或过度的”，可以拒绝全部回应或收取费用。这无疑减轻了
企业的处理负担。同时也不能忽视的是，提案还对数据和网络安全提出了更为细致
的规定，如对cookie的规定、自动化决策的要求等等。这些也都值得进一步跟进研究。（
冯潇洒） 在个人数据处理方面，法案将提高执法机构和国家安全机构的数据保护
效率——鼓励在适当情况下更好地使用个人数据，以实现保护公众的目的。法案还在
在通常情况、执法情况以及国家安全数据处理情况之间建立了更明确的一致性，并
清晰了相关机构的义务，由此也增强了公众对其数据使用方式的信心。法案还允许政
府部门建立基于各部门职能的智能数据方案，并制定相关配套性法规，以确保消费者
和企业得到保护，这是与授权第三方之间的客户数据共享，也将为消费者或企业提供
创新服务。 其次，GDPR并没有对DPO提出任何资质要求，不需要DPO是法律人士。 12)
分类分级：国家建立数据分类分级保护制度，对数据实行分类分级保护，并确定重要
数据目录，加强对重要数据的保护。 组织安排：主要人员与责任 (Data Protection Roles
and Responsibilities) 安全处理个人数据 (Security of processing)的要求 InfoQ：从技术和商业
的角度，你们能就该如何应对这些新法规而给大家一些建议吗？ 4) 责任任务：工业、
电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范
，并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承
担数据安全监管职责。网信部门负责统筹协调和监管。 依据数据最小量原则，适切、
相关 (BS 10012:2017 条款 8.2.8) 通过加密保护整个网络中数据的私密性和机密性。对传
输中的数据进行加密可以防止数据嗅探、数据丢失、重放和转接攻击。
Burt：从现在就开始规划。在这些 GDPR 的具体细则背后是对稳私和安全的需求，一旦
各家公司开始认真的准备，他们就必须能够满足这些需求。这就要制定一个路线图，
要从整体和具体使用两方面考虑你们公司准备如何保护她使用的数据，还要考虑你
准备通过什么具体的技术方案来保证你可以安全地保存这些数据。你会要使用并且
投资于这样一些解决方案，要安全，要被事实检验过，要能释放你们公司中的个人
潜力，保证合规性等，而不是成为障碍。而这样的技术方案正是我们一直在 Immuta 努
力做的，我们把这些法律法规融入我们的软件平台，这样数据科学家就可以专注于
将他们的数据价值最大化，而不必分神于这些规定。 2.对DPO设立的问题每个欧盟国
家可能存在特殊的要求。例如，德国的数据保护法案要求，如果企业拥有超过十名员
工需要经常性处理用户数据，那么企业必须设立DPO。 让企业能够以有效和成本效
益的方式，内部回顾对其业务起到关键作用的所有信息。 数据中心认证Data
Centre Certification – TSI 27) 数据开放：构建统一政务数据开放平台，发布数据开放
目录，推动政务数据开放利用。 7月18日，英国下议院提交《数据保护和数字信息法
案》（Data Protection and Digital Information Bill）。英国认为，目前是英国脱欧后的契机，
应当把握机遇，以改变英国独立的数据法。法案对数据保护框架进行了更新，使其更
利于保护国家利益，保护公民权益，减轻业务负担。通过更新，英国将进一步明确负
责任的数据使用，同时保持英国数据保护的高标准。 13) 风险评估：要建立集中统一、
高效权威的数据安全风险评估、报告、信息共享、监测预警机制。 数据安全在未来仍
将是一个重大挑战，人工智能、机器学习和零信任模型的创造性应用将帮助IT和信息
安全从业保护数据，以及确保组织和个人数据合规，助力国家数据安全战略落地
实施。 大数据时代，数据资源越来越庞大、多样化。对非结构化数据而言，可以通过
Data Insight、Enterprise Vault、Enterprise Vault.cloud 三款软件对各类平台数据进行实时数
据监控。依据指定的规则实时发现所需数据并执行相应动作。预测恶意行为、减少重
复数 据、提升工作效率、降低运维成本、快速决策等。工具 个人数据隐私风险评鉴
(PIA, Privacy Impact Assessment) 有些误解认为，GDPR 完全是关于数据安全和数据泄
露的。数据安全的确是这项法规的主要组成部分，但事实上它并不是 GDPR 的重要部
分。GDPR 其实是关于数据隐私性的，这就意味着在谈到隐私保护问题时，大家一直
依赖的传统加密和基于角色的访问控制策略都不再足够。相应的，各家企业要衡量
分析型的收益与守法的支出之间的关系，这就需要对数据的分析型目的进行衡量：数
据将如何被使用、为了什么目的、以及期望的收益是什么。这不会像把数据库角色与
所有可能的目的对应起来那么简单——在实现时涉及到所有的公司数据之后，这就
会成为一场噩梦。 GDPR要求数据控制者采取适当的技术和组织措施，并能够证明数
据处理活动符合GDPR的规定（“ 问责”）。每种情况下的适当措施取决于相关处理的性
质、范围、内容和目的，以及个体的权利和自由方面的风险。在实践操作中，这项义务
复杂繁琐且意义深远，最好通过实施全面隐私管理计划来履行。 目前全球已有近 100
个国家和地区制定了数据安全保护的法律，数据安全保护专项立法已成为国际
惯例。 1) 提升学员对于《欧盟一般数据保护法案 (EU GDPR)》的了解。 · 对企业data
protection impact assessments 欧盟隐私权标章认证 Europe Privacy Seal TKSG是英国
皇家品质学会 (The Chartered Quality Institute, CQI)与国际审核员注册协会 (International
Register of Certificated Auditors, IRCA)认证的国际培训训练机构 (Accredited Training Partner,
ATP)，提供的咨询内容涵盖，但不限于下列标准与规范： 超过250名员工的工作，根
据GDPR的规定必须任命数据官，而且应该向CEO或最高管理层汇报。 该法案制定的目
的是加强对欧盟所有人的隐私权保护，物联网的隐私权保护，并且简化数据保护的
管理。究其本质，是想借赋予欧盟公民个人信息保护的基本权利，来增加消费者对在
线服务和电子商务的信心。GDPR 的核心，是对个人数据的收集和之后的存储使用，
规定更高的透明度与管控。对 GDPR 的正面阐释，是公司企业可通过给消费者一种自
身数据被合理存储和保护的安全感，来赢得消费者的信任。GDPR 不是一个负担，相
反，它可被视为在世界第二大贸易集团( 欧盟)增加业务的好机会。 欧洲居民，任何在
欧盟边界内的自然人。例如，现居住在中国的荷兰人，除非他们碰巧回到欧盟，否则
不会被 GDPR 覆盖。一名居住在德国的印度人因为居住在欧盟边境内而被 GDPR
覆盖。因此，在很多情况下，在欧洲度假、工作旅行等是 暂时适用 GDPR 的。
7月18日，英国下议院提交《数据保护和数字信息法案》（Data Protection and Digital
Information Bill）。英国认为，目前是英国脱欧后的契机，应当把握机遇，以改变英国独
立的数据法。法案对数据保护框架进行了更新，使其更利于保护国家利益，保护公民
权益，减轻业务负担。通过更新，英国将进一步明确负责任的数据使用，同时保持英
国数据保护的高标准。 对于非结构化数据，除了使用Data Insight、Veritas Access 外，还
可通过以下软件实现数据数据保护。 24) 特别的，对关基信息基础设施的运营在中华
人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和
国网络安全法》的规定; 其他数据处理者在中华人民共和国境内运营中收集和产生的
重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。 ▶ 个人数
据隐私风险评鉴 (PIA, Privacy Impact Assessment) 该公司就受到 GDPR 的管辖。事实上，
无论公司总部在哪儿，无论数据存储和处理地点在哪儿，只要与身处欧盟的人做
生意，或者监视欧盟公民的行为，就必须遵从 GDPR。再进一步解释，如果你收集欧盟
公民的数据，你就受到GDPR 的管辖。除非你的公司非常严格地排除了欧盟，否则你还
是得处理 GDPR 合规问题。 注：测试为网络形试考试，学习人员可以自行选择参加，参
加测试合格人员，将发放结业证书。（本次专家咨询讲解为英国皇家品质学会 (CQI) /
国际审核员注册协会 (IRCA) 认证培训机构 Hermes infotech Inc. 授权） PostgreSQL 提供多
种不同的客户端认证方式。可以基于(客户端)的主机地址、数据库、 用户选择认证方
法。 个人数据与流程盘点 (Data inventory and data flow) 对于 PostgreSQL 数据库，可通过
修改代码逻辑屏蔽敏感数据或减少获取信息，对于 ORACLE 数据库，可采取以下措
施。 因此，组织必须依法要建立一套系统化的管理机制(例如，引用 BS 10012个人数据
管理体系、ISO 29100隐私保护框架等)，符合 GDPR条款 5所要求的个人数据保护原则，
一方面展现企业符合法令、法规要求(例如，建立专人专责负责、个人数据盘点、教育训
练、沟通、告知等)；另一方面，可以有效地落实个人数据保护控制措施( 例如，整合 ISO
27001信息安全管理体系)。 如今，世界各地的企业和组织正在努力确保其运营符合“通
用数据保护法案”（GDPR）， 因为在某些方面将在 2018 年 5 月开始发生彻底变化。 数据
安全 我们不讲解欧盟个人隐私保护法法律条款，讲解的是目前企业最急需解决的
问题——技术方面如何解决产品、服务合规这一难题。 设计及预设之数据保护机制
(Data protection by design and by default)的要求 https://www.pinsentmasons.com/out-law/analysis
/uk-data-protection-digital-information-bill 33) 拒不配合数据调取的：由有关主管部门责令
改正，给予警告，可以并处 5 万元至 50 万元罚款，对直接负责的主管人员和其他直接
责任人员可以处 1 万至 10 万元罚款。 从 2015 年，国务院发布的《促进大数据发展行动
纲要》开始，2018 年国务院发布《科学数据管理办法》，2020 年国务院发布《关于构建更
加完善的要素市场化配置体制机制的意见》，2021 年 3 月 12 日，新华社公布了《中华人
民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，数据安全
政策导向明确，国家数据战略清晰。因此，亟需一部国家的基本法，为中国数字经济
的安全发展保驾护航。 这张图来自安永公司的一份解读报告，主要描述数据保护和
隐私的定义区别，有助于我们对数据保护的理解 Enterprise Vault.cloud 可轻松归档云中
和内部部署资源中保留的数据，例如Microsoft Office 365、Microsoft Exchange、Google G
Suite 邮件、IBM Domino、SharePoint Server、Lync IM 或 Skype 企业版，以及其他形式的统
一通信和社交媒体。内容三 一般企业如何满足欧盟 一般数据保护法案 (EU GDPR)
要求——个人数据管理体系(PIMS, BS 10012) 设备/客户端安全 ● 规范、产业要求，例如
欧盟隐私权保护规范(EU GDPR)、物联网安全规范(IoTProtection Profile) 1.很多SME（中小
型企业）认为自己规模较小无需设立DPO。事实上，如果简单的依据企业规模来确定
是否需要设立DPO是错误且危险的认识。是否必须设立DPO与企业规模大小无直接关
系，还要查一下监管的要求。
Veritas InfoScale Enterprise 利用 Veritas 在世界级可用性和存储管理解决方案方面的悠
久历史，帮助 IT 部门与组织中其他部门一起携手合作，跨越物理、虚拟以及云基础架
构实现更可靠的运营和更好的信息保护。InfoScale Enterprise 远远超越了 Veritas InfoScale
Storage 和 Veritas InfoScale Availability 产品，为客户带来一个整合 解决方案，包括提供
针对 Oracle®Real Application Clusters (RAC) 和 Sybase®ASE 等数据库环境的特定支持。 《
欧盟 一般数据保护法案 (EU GDPR, European General Data Protection Regulation)》 38) 给他
人造成损害：依法承担民事责任，构成犯罪的，依法追究刑事责任。 InfoQ：从技术和商
业的角度，你们能就该如何应对这些新法规而给大家一些建议吗？ ▶ 个人数据隐私
风险评鉴 (PIA, Privacy Impact Assessment) 审计能够实时记录网络上的数据库活动，对数
据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对
攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用
户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数
据资产安全。PostgreSQL 提供了多种审计方法用于安全防护。 ● 数据中心认证 Data
Centre Certification – TSI 数据安全 内容二 欧盟一般数据保护法案 (EU GDPR)个人数据
保护与风险管理原则 通常情况下，PostgreSQL 服务端和客户端之间的数据传输是明文
传送的，存在一定的安全隐患。可借助 openssl 实现加密传输。 相对应地，必须有一层
数据抽象层来加强审计和数据的隐私性，这也是 Immuta 花了许多精力和时间的所在。
想像一下，比如说，一位分析师早上在做着某项工作，这时他可以看见一些与个人信
息有关的数据，因为这些与他当时的工作目的有关。然后在下午，他又开始忙于另外
一项工作，于是即使他使用相同的连接，他也只能看到这份数据的匿名用户版了，因
为做这项工作他并不需要看到那么细节的数据，或者说没有被授权。这就是我们希
望在企业内部可以看到的因分析目的而不同的管理方法。数据备份就是要保存数据
的完整性，防止非法关键，断电，病毒感染等等情况，使数据丢失。在发生异常时可通
过备份将损失的数据还原回来。PostgreSQL 提供了多种备份还原工具，保证数据库的
数据安全。 ▶ 合法、公正、透明地处理 (BS 10012:2017条款 8.2.6) 注：测试为网络形试
考试，学习人员可以自行选择参加，参加测试合格人员，将发放结业证书。（本次专家
咨询讲解为英国皇家品质学会 (CQI) / 国际审核员注册协会 (IRCA) 认证培训机
构 Hermes infotech Inc. 授权） Burt：总之我们现在发现，各家公司才刚刚开始意识
到 GDPR 可能给她们带来的风险，不管是在欧洲内部还是外部。不管是哪里的公司都
已经真正地开始意识到了她们责任的范围，而且由于欧元区包括了世界上的所有最
大的公司，所以 GDPR 实际上适用于所有自认为是全球性公司的企业。 ▶ 个人数据隐
私风险处理 (PRT, Privacy Risk Treatment) Article 29 Working Party (WP29)，作为GDPR合规
的一项，DPO 的设立被监管部门强烈推荐。 提供快速搜索、法律保留、案例管理和电
子发现流程，降低成本并提高诉讼支持员工的工作效率；此次学习的内容将是今后
学习欧盟 《一般数据保护法案 (EUGDPR) 》的基础，是学习人员想继续成为个人数据管
理体系 (PIMS, BS 10012) 规划、部署专家、审核员的基础必修知识。同时，也是成为个
人数据保护与管理推动小组成员之必要条件之一。
本法一共七章五十五条，其中“总则”、“法律责任”及“附则”三章属于常规章节，另外四
个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全
与开放”来提出要求。 ▶ 组织安排：主要人员与责任 (Data Protection Roles and
Responsibilities) 21) 数据交易：数据服务商或交易机构，要提供并说明数据来源证据，
要审核相关人员身份并留存记录。 38) 给他人造成损害：依法承担民事责任，构成犯
罪的，依法追究刑事责任。 ▶ 依据数据最小量原则，适切、相关 (BS 10012:2017条
款 8.2.8) 通过加密保护整个网络中数据的私密性和机密性。对传输中的数据进行加密
可以防止数据嗅探、数据丢失、重放和转接攻击。 从 2015 年，国务院发布的《促进大数
据发展行动纲要》开始，2018 年国务院发布《科学数据管理办法》，2020 年国务院发布《
关于构建更加完善的要素市场化配置体制机制的意见》，2021 年 3 月 12 日，新华社公
布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲
要》，数据安全政策导向明确，国家数据战略清晰。因此，亟需一部国家的基本法，为
中国数字经济的安全发展保驾护航。 GDPR作为一套用来保护欧盟公民个人隐私和
数据的新法规，其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的
高度，堪称史上最严格的数据保护法案 本次透过参与式 (participate learning) 学习方法，
结合讲解课件、小组讨论、经验交流等活动，培养参加者以下的能力：在科学发展
方面，此次对数据保护法的改革意味着将在英国减少模糊规则的不必要阻碍，并简
化有关研究的法律，使英国科学家摆脱使用个人数据的谨小慎微，对科学研究更有
动力与信心。 欧盟隐私权标章认证 Europe Privacy Seal TKSG是英国皇家品质学
会 (The Chartered Quality Institute, CQI)与国际审核员注册协会 (International Register of
Certificated Auditors, IRCA)认证的国际培训训练机构 (Accredited Training Partner, ATP)，提
供的咨询内容涵盖，但不限于下列标准与规范： 30）危害国家安全和损害合法权益的：
给予 200 万至 1000 万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业
执照，构成犯罪的，追究刑事责任。 因此，组织必须依法要建立一套系统化的管理机
制(例如，引用 BS 10012 个人数据管理体系、ISO 29100 隐私保护框架等)，符合 GDPR 条
款 5 所要求的个人数据保护原则，一方面展现企业符合法令、法规要求( 例如，建立专
人专责负责、个人数据盘点、教育训练、沟通、告知等)；另一方面，可以有效地落实个
人数据保护控制措施( 例如，整合 ISO 27001 信息安全管理体系) 。 对于非结构化数据，
除了使用 Data Insight 外，还可通过以下软件实现数据最小化。 根据策略保留电子邮件
和其他非结构化数据，并以日志记录形式保存到高可用性存储库中，避免数据被意
外删除； 超过250名员工的工作，根据GDPR的规定必须任命数据官，而且应该向CEO或
最高管理层汇报。 ▶ 合法、公正、透明地处理 (BS 10012:2017条款 8.2.6) 建议所有出海的
创业公司及大型互联网公司指派专业人员对数据进行分类整理，搞清楚所有数据
类型，范围，目的，对没有必要收集的数据，应停止收集并向用户发出通知，取得用户
授权。 我们的建议是，DPO最好是对数据保护相关法规（特别是GDPR）有深入了解的、
同时对信息技术和数据保护技术有足够知识的专业人士。 3. 根据European 1）提升参加
学习人员对于《欧盟一般数据保护法案 (EU GDPR)》 的了解。
此外，GDPR新规是在28个欧盟成员国统一实施生效的，这将使28个欧盟及欧洲经济共
同体成员国的隐私保护法更具有一致性和现代性。 网络安全 3）了解个人数据保护原
则 (Personal Data Protection Principles) 与 个人数据管理体系 (PIMS, BS10012) 之间的关系
因此，组织必须依法要建立一套系统化的管理机制( 例如，引用 BS 10012 个人数据管理
体系、ISO 29100 隐私保护框架等)，符合 GDPR 条款 5 所要求的个人数据保护原则，一
方面展现企业符合法令、法规要求(例如，建立专人专责负责、个人数据盘点、教育
训练、沟通、告知等)；另一方面，可以有效地落实个人数据保护控制措施(例如，整合
ISO 27001 信息安全管理体系)。 此次学习的内容将是今后学习欧盟 《一般数据保护法
案 (EUGDPR)》的基础，是学习人员想继续成为个人数据管理体系(PIMS, BS 10012)
规划、部署专家、审核员的基础必修知识。同时，也是成为个人数据保护与管理推动
小组成员之必要条件之一。 26) 存储加工：委托他人存储、加工或提供政务数据，应当
经过严格审批，并做好监督。受托方不得擅自留存、使用、泄露或向他人提供政 务
数据。 of worldwide annual turnover的处罚（两者取高值）。 25) 管理制度：建立健全全流
程数据安全管理制度，落实数据安全保护责任。 除了法务部要了解外，所有产品和业
务线的员工也需要了解，建议可以邀请专业人士来公司讲解GDPR的法案的基本原则
和重要条款。GDPR共99条款，规定非常细致，完全合规需要巨大的工作量，所以建议一般
的创业公司可以先从保障用户的权利开始。 存储形式不超过允许期限 (BS 10012:2017
条款 8.2.10) 33) 拒不配合数据调取的：由有关主管部门责令改正，给予警告，可以并
处 5 万元至 50 万元罚款，对直接负责的主管人员和其他直接责任人员可以处 1 万
至 10 万元罚款。 有些误解认为，GDPR 完全是关于数据安全和数据泄露的。数据安全
的确是这项法规的主要组成部分，但事实上它并不是 GDPR 的重要部分。GDPR 其实是
关于数据隐私性的，这就意味着在谈到隐私保护问题时，大家一直依赖的传统加密
和基于角色的访问控制策略都不再足够。相应的，各家企业要衡量分析型的收益与
守法的支出之间的关系，这就需要对数据的分析型目的进行衡量：数据将如何被
使用、为了什么目的、以及期望的收益是什么。这不会像把数据库角色与所有可能的
目的对应起来那么简单——在实现时涉及到所有的公司数据之后，这就会成为一场
噩梦。 有专家言论，对数据掌控、利用以及保护能力，已成为衡量国家之间竞争力的
核心要素。 39) 涉及国家秘密的数据：依据《中华人民共和国保守国家秘密法》以及相
关法律法规执行。 GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规，其颁
布意味着欧盟对个人信息的保护及监管达到了前所未有的高度，堪称史上最严格的
数据保护法案 这一提案对数字企业的发展来说也是个利好的消息，它在促进数据驱
动的创新，消除数字业务障碍方面做了很多的努力。如对“个人数据”进行了更清晰的
定义，将其范围限制在：“控制者或处理者在处理時通过合理手段识别的信息；或控制
者或处理者应该知道另一個人可能会因处理而获得信息，並且该个人可能会在处理
时通过合理手段识别该个人”。将可识别的评估限制在控制者和处理者以及可接受信
息的人范围，而不是世界上的任何人。提案还对数据主体访问请求做了一定限制，如
果组织确定这些请求是“无理取闹或过度的”，可以拒绝全部回应或收取费用。这无疑
减轻了企业的处理负担。同时也不能忽视的是，提案还对数据和网络安全提出了更
为细致的规定，如对cookie的规定、自动化决策的要求等等。这些也都值得进一步跟进
研究。（冯潇洒） · 客观独立的履行自己的职责，不应因雇主行政命令而影响客观事实
和结论；