GDPR中的三大主体：用户，数据所有者，以及数据传输者

不知道发生了神马，一夜之间之前随笔写的GDPR介绍文字竟然多出来了1000+的阅读量，不知道是CSDN坏掉了，还是这个topic突然火了。So，总之，还是继续写点什么吧

GDPR法规主要面向了三个主体，用户（Individual），数据所有者（Data Controller）以及数据传输者（Data Processor）。

首先对于用户，GDPR在法律层面上赋予了其很多权利，主要包括：

• 知情权：主要指数据所有者（Data Controller）必须明确告知用户其收集个人信息的原因，用途，以及保存时效。如果个人信息还将分享给第三方，必须明确通知用户相关情况并让其决定是否同意向第三方发送数据。（license agreement一定要是opt-out的，不能使opt-in哦~）。
• 访问和更正权：用户有权访问其提供的个人信息，并进行修改。当用户递交访问申请时（可以是口头通知，也可以通过写信的方式），数据所有者必须在一个月内对用户申请作出反馈，并且在绝大多数情况下不能对该访问申请收费。
• 删除权：又名“the right to be forgotten”。即用户有权要求数据所有者删除其之前提供的个人信息。特别需要注意，如果用户的信息已经被数据所有者透露给第三方，或者在互联网进行了公开发布，那么当用户行使删除权时，数据所有者必须通知所有拥有该用户数据的第三方一并删除，包括互联网上的相应连接以及数据拷贝等。

相对应的，GDPR对于用户有多少保护权限，就对数据所有者和数据传输者提出了多少要求。在GDPR概念下，数据所有者指的是定义收集个人信息需求的组织或个人。数据传输者指的是代表数据所有者去收集个人信息的组织或个人。

举个例子，律师事务所会收集很多其当事人的个人资料并保存在微软Office 365中的SharePoint站点当中。这里面律师事务所就是数据所有者，而律师事务所和微软共同成为了数据传输者。（因为当事人的信息是律师收集整理记录的，微软主要是负责数据存储，两者合在一起才组成了完整的数据传输者。）

图片来自网络，侵，删。

对于数据所有者，其主要责任包括必须证明其是在GDPR规定范围内进行个人信息收集的，即合法，真实，透明，精准，最小限度的做了收集个人信息的工作。同时还需证明其尽了最大努力的对收集到的个人信息进行了保护，包括制定了严格的数据管理方案，数据保护计划，以及危机应对办法等。

对于数据传输者来说，其必须证明是在数据所有者规定的范围能进数据的收集，传输，存储以及管理等要求。必须按照数据所有者的要求，证明其尽到了数据保护责任。

总的来说，对于GDPR的合规，绝不是IT部门一个单位的事。相反，管理层制定的各种政策才是保证合规的关键所在。如果作为数据所有者的管理层在收集个人信息的政策上就已违规，那么无论IT部门如何努力，也是无法达到GDPR相关要求的。