GDPR 只适用于欧盟用户,是吗?
1 个赞
GDPR 规定了针对有欧盟用户的服务/网站,无论其位于何处。至少理论上是这样。
当然,管理员可以建立一个系统,让欧盟公民遵守不同于其他人的规则。但是……为什么呢?GDPR 实际上是一个很好的系统,应该在全球范围内采用。
4 个赞
我不太了解《通用数据保护条例》(GDPR),但知道即使网站只有一两名欧盟成员,他们也会对其进行监管,这很有帮助。
我的理解是,其主要目的是保护个人隐私,因此我赞成允许人们删除自己的账户或批准用户的此类请求。我知道有一个 Discourse 论坛不向用户提供此服务,其中包含一些欧盟居民,所以似乎并非所有用户都能删除账户是《通用数据保护条例》的要求。
允许用户删除账户并非总是明智之举的主要原因是,如果论坛除了闲聊之外还有其他目的,就需要对用户发布的内容负责。
特别是如果论坛是公开的,任何符合条件的人都可以办理图书证并设置账户,然后可能会发布一些可能需要其所在司法管辖区的执法部门进行审查和回应的内容。
1 个赞
是的,但并不意味着用户可以自己删除。如果有人不遵守规则,那是完全不同的事情。
但正如我所说——理论上。欧盟追究的不是小鱼小虾,而是大鱼大肉。所以,假设一个美国或亚洲的网站即使不遵守规定,也不会受到欧盟的法律诉讼。但同样……为什么有人会像Facebook或X一样,仅仅因为他们喜欢发送一些垃圾邮件?
2 个赞
这是您需要与律师一起做出的决定,我们无法在此提供此类建议,并要求人们谨慎发表未经证实的声明。
我们可以告诉您的是,用户要求删除其个人信息并不一定需要删除其帖子。Discourse 具有出色的匿名化功能,在许多情况下可以满足 GDPR 的要求,而不会对您社区的内容质量产生不利影响。
12 个赞
哦,有意思。
我之所以这么想,是因为我读到了这个,但我想这似乎符合您所说的符合 GDPR 要求的数据匿名化:
无法删除账户。您可以随时停止使用您的账户。如果您是付费会员,您可以在账单周期结束时取消会员资格,降级为免费订阅者。但是,为了保护网站和社区的完整性,我们会保留访问日志以供记录,并且不会应要求删除评论。但是,您可以自由更新您的个人资料信息(修改或删除您的个人简介、显示名称等)。
(这是来自一个我没有任何关联的网站,我自己的论坛还没有会员。)
我并不一定同意 GDPR 应该在全球范围内采用的说法,尽管我对此了解不多。
我支持人们在要求删除或匿名化论坛账户时能够做到这一点,但对大量发帖的账户进行匿名化可能无法有效隐藏某人的身份。
一种方法是强制执行论坛帖子中不得包含个人信息的政策。
我的公司总部在美国,但我使用位于瑞士和德国的邮件服务器,所以我不知道这是否会影响 GDPR。
德国邮件公司有以下法律声明:
瑞士:
Proton 可能会不时根据法律要求向瑞士当局披露某些用户信息,具体详情请参阅我们的隐私政策。如果违反瑞士法律,就可能发生这种情况。正如我们在隐私政策中所述,所有电子邮件、文件和邀请都经过加密,我们无法解密它们。
根据《瑞士刑法典》第 271 条,Proton 不得直接向外国当局传输任何数据,因此我们拒绝所有来自外国当局的请求。瑞士当局可能会不时协助外国当局处理请求,前提是这些请求符合国际法律援助程序的要求,并被确定符合瑞士法律。在这种情况下,合法性的标准再次基于瑞士法律。一般来说,瑞士当局不会协助来自人权侵犯记录国家的外国当局。
我注意到,在 Discourse 中,大多数帖子似乎都无法删除或编辑,至少在默认设置下是这样,我不知道是否有办法更改它?我见过另一种论坛将设置更改为只允许在发布后一小时内编辑帖子,然后帖子就会被冻结。
如果有人要求删除某些帖子,但网站管理员拒绝,可能会引起争议。这些可能需要根据所涉及的国家逐案处理。
这是来自 CERN 的一些令人印象深刻的统计数据,2022 年和 2021 年都对 1000 多个法律命令提出了异议!
1 个赞
现在有至少四件不同的事情在发生。
是的,如果您有来自欧盟的用户,那么您作为管理员/所有者必须遵守 GDPR。
如果您没有欧盟用户,但您使用欧洲公司进行邮件或托管,则您无需遵守 GDPR,但这些公司即使您不在欧盟境内/来自欧盟也必须遵守 GDPR。
不,GDPR 不强制删除帖子和评论。匿名化就足够了。而且,您不需要编辑备份,但只能在绝对必要时存储备份。所以,不要收集您一两年前的备份并试图声称没问题 
GDPR 规范个人数据。您可以或不可以询问、存储和使用什么,以及如何使用,用于什么以及多长时间。CDCK 可以存储我的 IP(它仍然不是可以识别我的敏感个人数据),他们甚至可以询问我的姓名和国家。但街道地址是受管制的个人信息,在大多数情况下,要求我发送护照或驾照副本是绝对不可以的。
我很抱歉大声说出来,但从欧洲的角度来看,美国的服务,我说的服务是指管理员,是一个非常大且贪婪的问题。以营销和销售的名义进行垃圾邮件发送,使用试图跟踪一个人所做的所有操作的解决方案,这是非常美国的做法。而且,美国人多么坚决地支持独立和“我的家就是我的城堡”,我一直觉得这很有趣。
是的。现在我又完全离题了。而且,Discourse 的设计并不是为了破坏人们的虚拟个人空间。Discourse 实际上与 Mastodon 等平台差不多,并且计划以一种相当负责任的方式运行。匿名化是其中的一部分(并且在没有登录的情况下在所需时间段后自动删除;这实际上值得称赞,因为 CDCK 的 B2B 客户需要它)。
GDPR 是关于可用于识别个人的个人数据的问题。它与主题和评论本身无关。
3 个赞
谢谢你的来信,这很有帮助。
当然,一些美国公司很大而且贪婪,但大多数这些公司当然是由欧洲人创建的。
荷兰东印度公司是最糟糕的。
我的网站主要是为那些没有街道地址的人准备的,但在美国和加拿大,建造许可证都需要街道地址。
除了可以装载在卡车/船上运输的制造房屋外,这就是我的计划,先建造然后出售,一旦出售,人们就可以用永久地址注册,但这可以选。
不过,我们还是回到 GDPR。我从另一个论坛网站引用的这个通知听起来可能在技术上属于违规,但这需要付费咨询律师。\n\n关于这一点,我最后要提到的是,它专门针对那些被写下来以便朗读和回答的问题,有些法律对于口头表达与书面表达可能有所不同。
在美国,有一个联邦贸易委员会(Federal Trade Commission),这是我知道的在美国最接近《通用数据保护条例》(GDPR)的机构。其意图与《通用数据保护条例》保护欧洲人民的意图相似,都是为了“保护美国消费者”。然而,我不认为他们会向非欧盟公民提供帮助。
我正在尝试查找他们关于论坛的政策发布在哪里,但不确定在哪里。我认为有规定禁止在论坛帖子中包含个人信息,特别是如果网站管理员不应要求删除这些信息的话。
负责执行此规定的FBI部门是这个:
- GDPR 适用于身处欧盟地区的人员。如果您不在欧盟境内,GDPR 则不适用于您。
- 顺便说一句,瑞士不是欧盟国家。
2 个赞
感谢您的回复,我不知道瑞士不是欧盟成员国。
英国也不再是成员国了吗?
我还在阿姆斯特丹大学读书时就发生了英国脱欧公投,他们与华盛顿大学有合作关系,所以我有一个荷兰学生证,但它已经过期了。
最后一个问题是,是否必须是欧盟国家公民才有资格。
不。但用户必须居住在欧盟并且有欧盟地址。
所以,如果你的非欧盟成员(指非欧盟公民)一生中攒够了休假天数去巴黎旅行两周,你就不需要遵守GDPR。
这意味着你可以收集和保存任何个人信息,使用选择退出(opt-out)的垃圾邮件会员资格,并且不需要任何同意。所有这些都意味着欧盟不在乎。
实际上……你害怕GDPR什么?如果你应该如何处理数据,尊重用户的基本隐私,告知你存储了什么以及存储多久,保持透明和公开,你就会遵守GDPR。然后你就不需要猜测谁、在哪里以及为什么。
英国仍然有GDPR风格的法规。所以广告管理员/公司我们不能选择加入或随意遵循。据我所知,瑞士也遵循GDPR规定,挪威当然也遵循,即使它们也不在欧盟内。
1 个赞
那时您受到《通用数据保护条例》(GDPR) 的保护。
我不害怕《通用数据保护条例》(GDPR),只是不清楚他们的政策是什么。
请注意,在论坛上获取法律建议存在一定的风险。据我所知,这里没有一位回复者是律师,也没有人提供盖章的法律建议。
我建议您咨询律师,以解答有关 GDPR 管辖权细微差别的问题。
10 个赞
更广泛地说:用户必须 身处 欧盟境内。居住并非必要条件。
This Regulation applies to the processing of personal data of data subjects who are in the Union
嗯,这有点不清楚,但幸运的是 Recital 14 稍作了澄清:
The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data.
但这仍然可能模棱两可,因此还有一项额外的指导方针,非常明确,Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) section 2.a
The wording of Article 3(2) refers to “personal data of data subjects who are in the Union”. The application of the targeting criterion is therefore not limited by the citizenship, residence or other type of legal status of the data subject whose personal data are being processed.
(…)
While the location of the data subject in the territory of the Union is a determining factor for the application of the targeting criterion as per Article 3(2), (…) that the data subject be located in the Union must be assessed at the moment when the relevant trigger activity takes place
因此,身处巴黎度假的美国公民 在逗留期间 须遵守 GDPR(就其逗留期间启动的服务而言)。他们现有的美国手机合同不会突然受到 GDPR 的约束。
1 个赞
美国T-mobile在欧洲有服务,但在两个月后我收到他们的通知,说这仅限于短期服务,在欧元区不得超过2到3个月。
在我看来,这与 GDPR 无关。
2 个赞
也许不是,我只是在回应你关于美国手机合同不会受到 GDPR 管辖的说法,因为有人要去法国或欧洲其他国家旅行。
这与其他人之前的说法相矛盾,即在欧洲提供的任何服务都确实受到 GDPR 管辖。
然而,关键在于服务是在欧洲启动还是在欧洲以外启动。
T-Mobile 和/或其他美国运营商可能有特定的合同,受 GDPR 或其他法规的限制,他们只能在欧洲提供有限天数的服务。
拥有当地的电话号码,并带有旅行国家/地区的国家代码,可以避免国际长途电话,这很有帮助。
总之,我不是在征求任何人的法律建议,算了。