跳到正文
>_ITDITDWeb 安全平台

术语表

GDPR 是什么 — 欧盟的个人数据保护规则与泄露时的通知义务

GDPR(欧盟通用数据保护条例)是保护欧盟境内个人数据的综合性法律。本文讲解它适用于谁、要求什么(数据最小化、同意、泄露通知义务、高额罚款),以及防御的基本功:只收集、只持有你真正需要的个人数据。

发布于 2026-07-04 更新于 2026-07-04 1 分钟阅读

GDPR 是只要向欧盟用户提供服务就应当留意的个人数据保护法律。这里把要点,以及技术与运维上应掌握的防御基本功,以不涉及攻击手法的方式来梳理。

它要求什么

比起法律细节,更要抓住那些真正作为防御起作用的运维支柱。

1

不收集、不持有(数据最小化)

只收集、只保留目的所需的最小限度的个人数据。不持有的数据不会泄露——这是最强的防御。不再需要时就删除。

2

安全地保护(加密、访问控制)

把个人数据加密,并用授权收窄到「只有可以触碰的人」。把机密移到公开面之外(→ 不要把机密放进公开目录)。

3

能检测、能通知(72 小时规则)

迅速检测泄露,并持有能追踪影响的日志。准备好在约 72 小时内向监管当局通知的体制。没有检测机制,就无法履行义务。

别把『与我无关』当成安全的假设

只要向欧盟境内的人提供商品/服务、或监测其行为,无论商户位于何处,GDPR 都可能适用。如果你在向欧盟用户提供服务、或在处理其个人数据,『我们不是欧盟公司』并不能让它变得无关。务实的起点,是先盘点自己持有哪些个人数据、以及为何持有。

本站的观点:合规与防御指向同一个方向

GDPR 的要求,与本站日常倡导的防御指向同一个方向最小化个人数据、加密它、用授权收窄、并能检测和记录泄露。这不仅是为了法律,本身就是减少事故的基本功。对小规模运营而言,把监管当作「对自己防御的一次复核」而非「额外的负担」,才是现实的应对姿态。

延伸阅读

出处

FAQ

QGDPR 也会牵涉到欧盟以外的商户吗?
A

可能会。只要向欧盟境内的人提供商品或服务、或监测他们的行为,无论商户位于何处,GDPR 都可能适用。如果你在向欧盟用户提供服务、或在处理欧盟用户的个人数据,就可能在适用范围内——『我们不是欧盟公司』并不自动等于『与我无关』。

QGDPR 在技术上要抓住的要点是什么?
A

大致是:①取得合法依据(如同意)并明确目的;②只收集、只持有最小限度的数据(数据最小化);③用加密与访问控制安全地保护个人数据;④能够响应当事人的查阅、删除请求;⑤能够迅速检测泄露,并原则上在 72 小时内向监管当局通知。

Q一旦发生泄露该怎么办?
A

在 GDPR 下,一旦得知发生个人数据泄露,原则上必须在 72 小时内向监管当局通知(有时还需通知当事人)。正因如此,前提就是要能够『迅速检测』事故、并拥有能『追踪』影响范围的日志。若没有检测与记录的机制,连通知义务都无法履行。