在阿布扎比召開的ICANN 60會(huì)議上，一個(gè)專有名詞突然闖入與會(huì)者的眼簾，并被多次提出和討論，這個(gè)專有名詞叫做“GDPR”。 \r\nICANN甚至為此發(fā)出官方合規(guī)聲明，表明其進(jìn)行多項(xiàng)努力以評(píng)估GDPR對(duì)ICANN合規(guī)方面的影響。

GDPR，全稱為General DataProtection \r\nRegulation，通用數(shù)據(jù)保護(hù)條例，此條例在2016年4月被歐盟通過(guò)，實(shí)際上是1995年歐盟「EU法規(guī)95/46/c」法規(guī)（數(shù)據(jù)保護(hù)指令）的更新版本，該法規(guī)將于2018年5月25日開始正式生效并實(shí)施。

據(jù)有關(guān)調(diào)查顯示，歐盟的GDPR被大家稱為是目前這個(gè)星球上最先進(jìn)和最嚴(yán)格的隱私保護(hù)制度，但卻有高達(dá)96%的公司承認(rèn)他們并不理解GDPR的規(guī)定。對(duì)于GDPR，您又了解多少？

適用主體：

GDPR要求：

1、在歐盟成員國(guó)有法人實(shí)體的公司；

2、在歐盟沒(méi)有設(shè)立實(shí)體公司，但因?yàn)闃I(yè)務(wù)關(guān)系而持有歐盟居民個(gè)人資料的公司。

也就是說(shuō)，全世界各地的公司，在歐盟成員國(guó)境內(nèi)開展業(yè)務(wù)時(shí)，必須保護(hù)歐盟成員國(guó)民眾的個(gè)人資料與隱私，即使您的公司不在歐盟境內(nèi)做生意，但只要您的公司有任何來(lái)自歐盟成員國(guó)的客戶，你就受到GDPR的管轄。

對(duì)數(shù)據(jù)保護(hù)方面的主要規(guī)定：

GDPR要求：

1、公司必須設(shè)立一個(gè)數(shù)據(jù)保護(hù)官(Data Protection \r\nOfficer，DPO)。數(shù)據(jù)保護(hù)官必須直接匯報(bào)給最高管理層，其職責(zé)是監(jiān)管和規(guī)范數(shù)據(jù)負(fù)責(zé)人和數(shù)據(jù)處理者的數(shù)據(jù)活動(dòng)。

2、公司需要保留用戶數(shù)據(jù)監(jiān)管信息，并定期刪除無(wú)關(guān)數(shù)據(jù)。

3、公司必須部署合適的工具用以保護(hù)數(shù)據(jù)，以防數(shù)據(jù)丟失、損壞或泄露。當(dāng)發(fā)生任何數(shù)據(jù)泄露相關(guān)事件，數(shù)據(jù)管控者與數(shù)據(jù)處理者需要在72小時(shí)內(nèi)進(jìn)行報(bào)告。

4、公司處理個(gè)人數(shù)據(jù)必須要有合法理由，包括數(shù)據(jù)主體的同意、為了簽訂或履行合同需要、遵守法定義務(wù)的需要、為公共利益或行事政府授權(quán)以及為追求數(shù)據(jù)控制者的合法利益等；

5、當(dāng)用戶不再希望個(gè)人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒(méi)有合法理由保存該數(shù)據(jù)，用戶有權(quán)要求刪除數(shù)據(jù)。

6、用戶有權(quán)并可以無(wú)障礙的將其個(gè)人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個(gè)信息服務(wù)提供者處轉(zhuǎn)移至另外一個(gè)信息服務(wù)提供者處。

7、公司禁止收集處理反映個(gè)人種族或民族起源、政治觀點(diǎn)、宗教/哲學(xué)信仰、工會(huì)組織成員的數(shù)據(jù)、個(gè)人基因識(shí)別數(shù)據(jù)、生物數(shù)據(jù)、涉及健康、性生活或性取向的數(shù)據(jù)。但在例外的情況下也可以收集加工以上數(shù)據(jù)，如已獲得個(gè)人的明示同意，或數(shù)據(jù)控制者因處理勞動(dòng)關(guān)系、社會(huì)保險(xiǎn)之需要在法律允許的范圍內(nèi)已采取了適當(dāng)?shù)谋Ｗo(hù)手段等。

8、公司處理16歲以下兒童的個(gè)人數(shù)據(jù)，必須獲得該兒童父母或監(jiān)護(hù)人的同意或授權(quán)。各成員國(guó)可對(duì)上述年齡進(jìn)行調(diào)整，但是不得低于13歲。

9、公司需要實(shí)現(xiàn)數(shù)據(jù)的“缺省保護(hù)隱私”，即這種數(shù)據(jù)保護(hù)的隱私設(shè)計(jì)需要有默認(rèn)的兩個(gè)原則，一是數(shù)據(jù)采集與數(shù)據(jù)使用目的的一一對(duì)應(yīng)原則；二是數(shù)據(jù)采集的最小化原則。

GDPR的處罰規(guī)則：

對(duì)于違反GDPR的行為，嚴(yán)重違規(guī)者罰金將會(huì)是上限2000萬(wàn)歐元或該企業(yè)全球年?duì)I業(yè)額的4%（以兩者較高者為準(zhǔn)）；一般違規(guī)者罰金將會(huì)是上限1000萬(wàn)歐元或該企業(yè)全球年?duì)I業(yè)額的2%（以兩者較高者為準(zhǔn)）。舉個(gè)例子，蘋果公司最近兩年的年收入都超過(guò)了2000億美元，如果蘋果公司嚴(yán)重違反了GDPR的規(guī)定，那么罰金就有可能高達(dá)80億美元。

與其形成對(duì)比的是，如果在美國(guó)觸犯了隱私保護(hù)條例，那通常情況下罰金的大概范圍是幾十萬(wàn)到幾百萬(wàn)美金。而在中國(guó)，至今依然沒(méi)有專門的《個(gè)人信息保護(hù)法》。2017年6月1日正式實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》首次在法律層面確立了一般意義上“個(gè)人信息”的概念，根據(jù)網(wǎng)絡(luò)安全法，侵害個(gè)人信息相關(guān)權(quán)利時(shí)，對(duì)直接責(zé)任人員的罰款數(shù)額上限為10萬(wàn)元人民幣，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的罰款數(shù)額上限為100萬(wàn)元人民幣。

域名注冊(cè)相關(guān)領(lǐng)域在GDPR正式執(zhí)行后對(duì)國(guó)內(nèi)的影響：

主要影響 ICANN 實(shí)施 WHOIS 政策的方式。域名WHOIS資料的收集，展示，以及 ICANN 可能產(chǎn)生新的合規(guī)要求，導(dǎo)致域名注冊(cè)局 \r\n(Registry)，域名注冊(cè)商 (Registrar)，域名注冊(cè)人 (Registrant) 在提供域名WHOIS信息，使用WHOIS信息上，有了本質(zhì)性的改變。

具體的影響以及其牽動(dòng)的域名注冊(cè)流程改變，目前正由ICANN 與社群研議中，各ICANN 簽約單位也須將調(diào)整方案提交給 ICANN 合規(guī)組備案審查。原本 \r\nICANN 針對(duì)老舊 WHOIS 結(jié)構(gòu)(如.com域名 / .net域名)的更新工作，也將暫停六個(gè)月；目前已有位于歐洲的頂級(jí)域名停止提供公眾 WHOIS \r\n查詢服務(wù)。

對(duì)于未來(lái)不符合 GDPR 規(guī)范的域名服務(wù)商，歐盟將對(duì)其提出高達(dá)兩千萬(wàn)歐元或年?duì)I收 4% 的罰金制裁。

對(duì)于合規(guī)工作會(huì)產(chǎn)生的業(yè)務(wù)信息改變，流程改變，服務(wù)價(jià)格調(diào)整以及各項(xiàng)合規(guī)需求等，中域?qū)㈦S時(shí)發(fā)函通知客戶與合作伙伴的合規(guī)法律部門。 \r\n目前所知，可能產(chǎn)生的影響包括但不限于：

中國(guó)企業(yè)以：

- 歐洲自然人名義注冊(cè)任何 gTLD(頂級(jí)域名) / ccTLD 域名(國(guó)別域名)；

- 中國(guó)公司或中國(guó)自然人注冊(cè)任何歐洲ccTLD；

* 以中國(guó)為司法管轄地，對(duì)歐洲自然人提供域名注冊(cè)服務(wù)的注冊(cè)局與注冊(cè)商

* 因 ICANN 實(shí)施新的合規(guī)政策，導(dǎo)致各 gTLD 注冊(cè)局，注冊(cè)商的 WHOIS 信息結(jié)構(gòu)在短期間的不一致 (目前預(yù)估為 2019.5 之前) \r\n，造成域名管理，移轉(zhuǎn)，回購(gòu)，監(jiān)控，UDRP 業(yè)務(wù)處理方式的改變；

* 其他衍伸商業(yè)問(wèn)題（如企業(yè)投資或并購(gòu)時(shí)需要對(duì)域名持有人進(jìn)行查核）

需要特別提醒的是，GDPR所牽涉的范圍極廣，域名注冊(cè)僅是其中的一小部分。