chinesefreesexvideos高潮,欧美极品少妇性运交,久久久国产一区二区三区,99久久婷婷国产综合精品,成人国产一区二区三区

注：GDPR，即《一般數(shù)據(jù)保護條例》，于 2018 年 5 月 25 日正式生效。這是歐盟議會經(jīng)過四年討論，***的全球現(xiàn)有數(shù)據(jù)隱私保護法規(guī)中，覆蓋面最廣、監(jiān)管條件最嚴格的政策。

第一部分： GDPR 法律條款解讀

一、GDPR 法案的適用范圍

歐盟一般數(shù)據(jù)保護法案是歐盟議會推出一部處理個人信息框架性法律，所謂框架性法律就是歐盟范圍內(nèi)確立基礎(chǔ)性的一些原則和處理方法，歐盟成員國根據(jù) GDPR 一般原則來立法，標準不低于 GDPR 的規(guī)定。GDPR 管轄的范圍涵蓋所有處理歐盟居民數(shù)據(jù)的公司，在歐盟地區(qū)的企業(yè)肯定需要遵守 GDPR，歐盟之外的企業(yè)只要處理歐盟居民的數(shù)據(jù)也需要尊重 GDPR。

任何違反 GDPR 的違法行為將導致最高 2000 萬美金或母公司所有營業(yè)額 4% 的罰金，二者取金額大者。這項法律對于用戶保護是最嚴格的，一定程度上將加重企業(yè)的合規(guī)成本，精神是值得贊揚的，但企業(yè)如果真的實施起來成本奇高，尤其對于中國出海創(chuàng)業(yè)企業(yè)更是如此。

二、GDPR基本原則

GDPR法案一共 11 章 99 條款，88 頁，將于 2018 年 5 月 25 日在歐盟范圍內(nèi)生效，雖然條款眾多，但是 GDPR 基本原則也是比較簡單的：

1.  合法，公平，透明三原則：與數(shù)據(jù)主體個人相關(guān)的數(shù)據(jù)信息應(yīng)當以合法，公正，透明方式處理

2.  數(shù)據(jù)收集應(yīng)當有明確的目的：個人信息收集應(yīng)當目的特定，明確和合法，任何與上述目的不符合的方式將不能繼續(xù)處理數(shù)據(jù)。

3.  數(shù)據(jù)收集的最小化原則：個人數(shù)據(jù)收集應(yīng)當僅僅限于一切與數(shù)據(jù)處理目的相關(guān)的必要的數(shù)據(jù)。

4.  準確性：個人數(shù)據(jù)應(yīng)當準確，如果需要盡可能保持最新的數(shù)據(jù)。

5.  存儲限制：在不超過個人數(shù)據(jù)處理目的之必要的情形下，允許以數(shù)據(jù)主體以可識別的形式保存；

6.  完整性與機密性：以確保個人數(shù)據(jù)適度安全的方式處理，包括使用適當?shù)募夹g(shù)或組織措施來對抗未經(jīng)授權(quán)、非法的處理、意外遺失、滅失或損毀的保護措施（“完整性和機密性”）。

7.  問責制：控制者（企業(yè)或組織）應(yīng)該對并且能夠證明其企業(yè)符合GDPR的規(guī)定。

三、GDPR 個人數(shù)據(jù)定義（Personal Data） 

“個人數(shù)據(jù)”是指任何指向一個已識別或可識別的自然人（“數(shù)據(jù)主體”）的信息。該可識別的自然人能夠被直接或間接地識別，尤其是通過參照諸如姓名、身份證號碼、定位數(shù)據(jù)、在線身份識別這類標識，或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經(jīng)濟、文化或社會身份的要素。

個人信息實例：

·      a name and surname; （名字）

·      a home address; 地址

·      an email address such as name.surname@company.com; 郵箱

·      an identification card number; 身份證號

·      location data (for example the location data function on amobile phone)*; 地理位置

·      an Internet Protocol (IP) address; IP地址

·      a cookie ID*; COOKIE ID

·      the advertising identifier of your phone; 廣告 ID

·      根據(jù)用戶畫像可以確定某一類人的信息，均為個人信息。

四、數(shù)據(jù)主體的權(quán)利

1.  信息透明度和信息機制：數(shù)據(jù)處理者或控制者必須保證數(shù)據(jù)主體行使權(quán)利的透明度、交流和模式，也就是讓用戶知道你在收集那些數(shù)據(jù)，為什么收據(jù)數(shù)據(jù)，用于何種目的，另外也需要讓用戶可以隨時對自己的數(shù)據(jù)進行控制。

2.  數(shù)據(jù)訪問權(quán)，控制者應(yīng)當保證數(shù)據(jù)主體可以隨時訪問自己的數(shù)據(jù)。

3.  糾正權(quán)：數(shù)據(jù)主體應(yīng)當有權(quán)要求控制者無不當延誤地糾正有關(guān)其的不準確個人數(shù)據(jù)?？紤]到處理的目的，數(shù)據(jù)主體應(yīng)當有權(quán)使不完整的個人數(shù)據(jù)完整，包括通過提供補充聲明的方式。

4.  被遺忘權(quán)：數(shù)據(jù)主體有權(quán)要求控制者刪除其數(shù)據(jù)，比如谷歌的用戶可以要求谷歌移除關(guān)于其個人不利的搜索結(jié)果。

5.  限制處理權(quán)：數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)主體處理其個人數(shù)據(jù)

6.  關(guān)于糾正或刪除個人數(shù)據(jù)或限制處理的通知義務(wù)：除非被證明不可能完成或者包含不成比例的工作量，控制者應(yīng)當將根據(jù)對個人數(shù)據(jù)進行的任何糾正、刪除或者處理限制，傳達給已向其披露個人數(shù)據(jù)的接收者。如果數(shù)據(jù)主體請求，控制者應(yīng)當通知數(shù)據(jù)主體這些接收者。

7.  反對權(quán)：如果為了直接營銷的目的而處理個人數(shù)據(jù)，數(shù)據(jù)主體有權(quán)在任何時候反對有關(guān)其的個人數(shù)據(jù)為進行此類營銷而被處理，其中包括與此類直接營銷相關(guān)的概況分析。如果數(shù)據(jù)主體反對以直接營銷為目的的處理，則個人數(shù)據(jù)不得再為此目的而被處理。

8.  拒絕權(quán)和自主決定權(quán)。

9.  自主化的個人決策分析。

五、控制者或數(shù)據(jù)處理者的義務(wù)

1.  控制者應(yīng)該在確定處理手段和在處理的同時，實施適當?shù)募夹g(shù)和組織措施，如匿名化，即目的是實施數(shù)據(jù)保護原則，如數(shù)據(jù)最小化，以有效的方式，在處理時實施必要的保障措施，以符合法律要求，保護數(shù)據(jù)主體的權(quán)利。

2.  控制者應(yīng)該實施適當?shù)募夹g(shù)和組織措施以確保，在默認情況下只有對每個特定處理目的有必要的個人數(shù)據(jù)才能被處理。該義務(wù)適用于收集的個人數(shù)據(jù)的數(shù)量，數(shù)據(jù)處理的程度，數(shù)據(jù)的存儲期限和數(shù)據(jù)的可及性。特別是，這些措施應(yīng)確保在沒有個人對無限數(shù)量自然人的干預下，個人數(shù)據(jù)在默認情況是不可訪問的。

3.  在歐盟成員國的范圍內(nèi)指派歐盟代表，可以為合作伙伴，客戶或第三方中介等。

4.  數(shù)據(jù)處理者應(yīng)當以數(shù)據(jù)控制者名義處理數(shù)據(jù)。

5.  數(shù)據(jù)處理活動應(yīng)當有記錄。

6.  和監(jiān)督機構(gòu)合作和配合，應(yīng)當積極配合監(jiān)管機構(gòu)的調(diào)查。

7.  處理過程的安全性：（a）個人數(shù)據(jù)的匿名化和加密；（b）數(shù)據(jù)系統(tǒng)保持持續(xù)的保密性、完整性、可用性以及彈性的能力；（c）在發(fā)生自然事故或者技術(shù)事故發(fā)的情況下，存儲有用信息以及及時獲取個人信息的能力；（d）定期對測試、訪問、評估技術(shù)性措施以及組織性措施的有效性進行處理，力求確保處理過程的安全性。

8.  數(shù)據(jù)泄露 72 小時報告義務(wù)：在個人數(shù)據(jù)泄露的情況下，控制者不能不當延誤，而且至少應(yīng)當在知道之時起 72 小時以內(nèi)，根據(jù)第 55 條向監(jiān)管機構(gòu)進行通知，除非個人數(shù)據(jù)的泄露不會導致自然人權(quán)利和自由的風險。如果通知遲于 72 小時，需要對遲延原因進行解釋。

9.  與數(shù)據(jù)主體進行交流：個人數(shù)據(jù)泄露可能對自然人權(quán)利和自由形成很高的風險時，控制者應(yīng)當毫不延誤地就個人數(shù)據(jù)泄露的主體進行交流。

10.  數(shù)據(jù)保護影響評估以及事先咨詢。

11.  超過 250 人公司或處理海量數(shù)據(jù)的公司必須設(shè)置首席數(shù)據(jù)保護官。

六、轉(zhuǎn)移個人數(shù)據(jù)（歐盟）到第三國或國際組織

1.  數(shù)據(jù)轉(zhuǎn)移到第三國或國際組織，第三國或國際組織應(yīng)當對用戶數(shù)據(jù)隱私和安全提供足夠的保護。

2.  歐盟數(shù)據(jù)委員會會在官網(wǎng)及歐洲聯(lián)盟公報上公布第三國或國際組織是否能夠?qū)€人數(shù)據(jù)提供足夠的保護。

3.  數(shù)據(jù)處理者或控制者擬向第三國或國際組織轉(zhuǎn)移數(shù)據(jù)，而第三國或國際組織沒有列入符合歐盟個人數(shù)據(jù)保護要求的，通過提供適當?shù)陌踩胧约霸诳蓮娭茍?zhí)行的數(shù)據(jù)主體權(quán)利和對數(shù)據(jù)主題的有效法律補救措施時就緒的條件下，一個控制者或處理者可以將個人數(shù)據(jù)轉(zhuǎn)移到第三個國家或國際組織。

4.  轉(zhuǎn)移數(shù)據(jù)通過如下方式傳輸，無需取得任何歐盟當局批準和授權(quán)：a) 政府當局或公共機構(gòu)之間具有法律約束力的、可執(zhí)行的工具；b) 依照第 47 條制定的具有約束力的公司規(guī)則；c) 歐洲委員會根據(jù)第 93 條第 2 款所述審查程序通過的標準數(shù)據(jù)保護條款； d) 監(jiān)察機構(gòu)根據(jù)第 93 條第 2 款所述審查程序通過的標準數(shù)據(jù)保護條款； e) 根據(jù)第 40 條的規(guī)定批準的行為準則，以及第三國控制者或處理者的具有約束力的、可執(zhí)行的，用以采用適當保障措施約定，包括關(guān)于數(shù)據(jù)主體權(quán)利的；或 f) 根據(jù)第 42 條獲得批準的認證機構(gòu)，以及第三國控制者或 處理者的具有約束力的、可執(zhí)行的，用以采用適當保障措施約定，包括關(guān)于數(shù)據(jù)主體權(quán)利的。

七、評估措施、數(shù)據(jù)安全與數(shù)據(jù)泄露通知義務(wù)

1.  評估措施與安全措施

a. GDPR要求所有公司或組織實施最廣泛的措施降低違反GDPR的風險，并保證合規(guī)處理數(shù)據(jù)。

b. 這包括可評估的措施比如數(shù)據(jù)隱私影響評估，審計，政策檢查，活動記錄，任命數(shù)據(jù)官等一些列可衡量的措施。

c. 公司或組織需要部署人員和財力來準備合規(guī)工作

d. Privacy Impact Assessments (PIAs) 開展隱私影響評估工作，需要形成書面文檔

e. 記錄數(shù)據(jù)處理工作，形成工作文檔備查

2.  數(shù)據(jù)泄露通知義務(wù)

a. 數(shù)據(jù)控制者和處理者應(yīng)履行數(shù)據(jù)泄露通知義務(wù)

b. 數(shù)據(jù)處理者必須把數(shù)據(jù)泄露通知給數(shù)據(jù)控制者

c. 數(shù)據(jù)控制者必須把數(shù)據(jù)泄露通知給監(jiān)管當局

d. 數(shù)據(jù)泄露必須 72 小時通知監(jiān)管當局，并根據(jù)情況通知到數(shù)據(jù)泄露的用戶

e. 必須確保有現(xiàn)成的數(shù)據(jù)泄露發(fā)現(xiàn)，調(diào)查，內(nèi)部報告機制（內(nèi)部要有規(guī)范性文檔，流程等）

f. 數(shù)據(jù)泄露必須保存記錄，無論是否有報告義務(wù)

第二部分：企業(yè) GDPR 的合規(guī)工作（以游戲公司為例）

一、事先評估清單：The Assessment

1. 我們存儲和收集哪些數(shù)據(jù)？

2. 我們是否公平獲取數(shù)據(jù)？我們是否獲得必要授權(quán)，數(shù)據(jù)主體是否已被通知我們使用數(shù)據(jù)的特定目的？我們是否清晰沒有模糊向他們說明目的，并告知他們可以隨時撤回授權(quán)。

3. 我們是否遵循了不超過必要限度的最小化數(shù)據(jù)收集原則？

4. 數(shù)據(jù)存儲是否安全？是否采取了加密存儲方式？

5. 我們是否需要收集敏感信息？

6. 我們是否需要轉(zhuǎn)移數(shù)據(jù)到歐盟之外的地區(qū)，是否有采取足夠的管理措施保護數(shù)據(jù)的安全？

二、游戲公司一般會收集那些數(shù)據(jù)？

1. 游戲公司主動收集的數(shù)據(jù)：姓名，郵箱，用戶名，密碼，個人背景信息，游戲內(nèi)聊天信息，客服聊天信息，以及為了玩游戲而獲取的其它個人信息等。

2. 自動收集的信息：游戲進度（游戲數(shù)值），IP地址，設(shè)備ID（蘋果，谷歌廣告ID,MAC地址，IMEI等），地理位置，游戲交互信息等。

3. 從合作伙伴獲得的用戶信息，游戲公司主要合作伙伴分為三大類：買量平臺（FB、谷歌），追蹤平臺（AppsFlyer 等）及 OFFER 平臺（網(wǎng)盟），其中以買量平臺和追蹤平臺為主。在隱私條款中需向用戶披露合作伙伴收集的信息。

三、游戲公司收集個人數(shù)據(jù)的的目的（原因）

1. 為享受游戲服務(wù)，必須從用戶處收集的個人信息比如用戶名，郵箱等。

2. 為提升游戲體驗，需要經(jīng)過用戶授權(quán)收集的信息，比如用戶反饋和留言，游戲內(nèi)交互，設(shè)備兼容適配信息等。

3. 為推廣游戲或展示廣告而收集信息，比如追蹤用戶卸載安裝游戲及針對特定受眾推廣游戲的買量行為。此類信息收集應(yīng)當保障用戶隨時撤銷授權(quán)。

4. 為第三方合作伙伴合作而收集的信息，包括 Appsflyer、買量平臺、云服務(wù)等各種第三方服務(wù)。

5. 其他可能向用戶收集的個人信息。

四、形式合規(guī)

起草一份符合歐盟要求的隱私協(xié)議及服務(wù)條款，其中隱私協(xié)議應(yīng)該列出以下內(nèi)容：

1.  收集和存儲了哪些數(shù)據(jù)；

2.  收集數(shù)據(jù)的目的，盡可能和收集數(shù)據(jù)的類型相匹配，逐條列出具體明確的可分割的目的；

3.  數(shù)據(jù)處理的方式，是否會追蹤用戶的數(shù)據(jù)，是否會采用cookie等類似的用戶畫像技術(shù)辨識客戶；

4.  披露合作伙伴和第三方；

5.  數(shù)據(jù)安全保護措施；

6.  是否轉(zhuǎn)移歐盟用戶到境外，如何保證數(shù)據(jù)安全；

7.  保證GDPR規(guī)定的用戶權(quán)利，訪問權(quán)，更正權(quán)，遺忘權(quán)，撤銷權(quán)等，并在隱私協(xié)議中提供實現(xiàn)方式，如果無法自動實現(xiàn)，可以讓用戶提交反饋表，核實后一個月內(nèi)手動實現(xiàn)；

8.  年齡限制：請說明不收集13歲以下兒童的任何信息（不含13歲），收集13歲以下兒童信息需要監(jiān)護人的同意；

其它可能需要向用戶說明的信息：

1.  Privacy impact assessment form (PIA)：PIA 是一個內(nèi)部隱私評估自查流程，要形成文檔以備歐盟檢查，具體內(nèi)容會在以后的文章中說明；

2.  和第三方或合作伙伴簽訂協(xié)議，明確雙方在數(shù)據(jù)處理中義務(wù)和責任，所有協(xié)議應(yīng)當留檔；

3.  跨境轉(zhuǎn)移政策及流程：形成規(guī)范性文檔；

4.  數(shù)據(jù)泄露應(yīng)急預案：形成規(guī)范性文檔；

5.  個人數(shù)據(jù)保護政策：形成規(guī)范性文檔；

6.  數(shù)據(jù)保留政策：形成規(guī)范性文檔；

7.  數(shù)據(jù)收集用戶授權(quán)表：嵌入到游戲內(nèi)部或以申請表形式要求用戶在線提交。

五、產(chǎn)品合規(guī)

1.  按照 GDPR 的基本原則來收集數(shù)據(jù)；

2.  加入明確授權(quán)和撤回按鈕，讓用戶可隨時撤回授權(quán)，隨時訪問數(shù)據(jù)，更正數(shù)據(jù)，刪除，注銷賬戶等。以 GDPR 數(shù)據(jù)主體權(quán)利為基準保證產(chǎn)品符合規(guī)定。網(wǎng)站或 APP 可加入隱私及數(shù)據(jù)控制面板，讓用戶可以隨時訪問、糾正、刪除自己的數(shù)據(jù)等；

3.  所有用戶授權(quán)與同意，應(yīng)留存證據(jù)，可以以電子形式保存（截圖，電子合同等）；

4.  保證產(chǎn)品中的 SDK 及第三方合作伙伴數(shù)據(jù)收集也符合 GDPR 規(guī)定；

5.  產(chǎn)品隱私及數(shù)據(jù)安全技術(shù)措施處理；

6.  保證產(chǎn)品數(shù)據(jù)存儲安全。

第三部分：總結(jié)

一、合規(guī)工作

1.  GDPR 合規(guī)工作需要涉及到方方面面，從產(chǎn)品調(diào)整到隱私政策，從內(nèi)部數(shù)據(jù)安全到跨境傳輸，是一個系統(tǒng)工程。中小企業(yè)或歐盟業(yè)務(wù)量不大的游戲公司可參考行業(yè)內(nèi)領(lǐng)先公司的做法，先把形式工作做好，隨著歐盟用戶量增加逐步進行產(chǎn)品調(diào)整。

2.  形式合規(guī)工作需要業(yè)務(wù)團隊和法務(wù)（外部律師）配合一起完成，業(yè)務(wù)團隊應(yīng)把數(shù)據(jù)收集整個過程梳理清楚，法務(wù)（外部律師）幫忙起草相關(guān)文件，尤其是隱私條款和服務(wù)協(xié)議。隱私條款和服務(wù)協(xié)議應(yīng)當發(fā)布在官網(wǎng)或游戲內(nèi)。

3.  產(chǎn)品或業(yè)務(wù)線應(yīng)預先做好準備工作，以配合GDPR整體合規(guī)工作。

4.  GDPR 法規(guī)學習工作，GDPR 合規(guī)不是一個人的工作，公司可以請外部律師或法務(wù)對公司涉及歐盟業(yè)務(wù)線的高管和骨干進行培訓，尤其是產(chǎn)品線和技術(shù)線員工。

二、惡意競爭和市場壁壘

1.  競爭對手的惡意舉報可能成為市場競爭一種手段，尤其歐盟本土企業(yè)可能利用此種手段打擊中國出海企業(yè)；

2.  歐盟可能以 GDPR 不合規(guī)問題設(shè)置行業(yè)壁壘，大家都知道歐盟沒有巨型互聯(lián)網(wǎng)企業(yè)，所以 GDPR 主要防備美國和中國的互聯(lián)網(wǎng)企業(yè)，畢竟數(shù)據(jù)不掌握在自己手上，誰也不會放心。

三、那些企業(yè)是歐盟重點的監(jiān)管對象？

1.  巨型互聯(lián)網(wǎng)企業(yè)：FB、GOOGLE、TWITTER、ALIBABA等；

2. 收到用戶舉報的企業(yè)，可能來自于競爭對手的惡意舉報；

3. 可能存在數(shù)據(jù)泄露或已發(fā)生數(shù)據(jù)泄露的企業(yè)。

* 資源匯總：

個人數(shù)據(jù)收集委員會英國辦公室官網(wǎng)（民間獨立機構(gòu)）: 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr

GDPR 信息站點： https://www.eugdpr.org

GDPR 英文全文（可按章節(jié)查看）：https://gdpr-info.eu

歐盟官網(wǎng)：https://ec.europa.eu/info/law/law-topic/data-protection_en