运营一个网站，有欧洲用户，网站需要如何修改，才符合 GDPR？

看你 collect 什么样的信息。如果是 idfa 之类的，那你需要一定时间内清除掉，保证无法 track user。一般做广告，targeting 之类的会比较蛋疼

主要分两部分：
一. 数据的收集存储：
你需要对收集的信息作出声明，比如 cookies 每一条的作用，有效时间，而通过其他方式比如表单等收集的数据，哪些保存了，保存多久，都需要有明确的声明。小公司，一般不会有人大老远来查，也不会有人黑你的数据库，那么用户提交的这部分数据，你不一定需要明确的声明，但是切记，如果你没有声明，那么就不要再次使用它们。比如你不声明需要保存用户的访问信息，下次用户登录来一条消息，你好，你上一次访问是在几月几号在巴黎使用 Chrome 浏览器，我们发现你的账号存在被盗可能，请进行两步验证。完了，你吃不了兜着走了。
而用户传输个人信息的过程，需要保证安全，简单地说，全站 https 就行了，尤其是表单。
声明解释这些都好办，麻烦的其实是：你需要提供一个链接，让用户可以下载你收集的所有个人信息。比如你声明了你收集用户访问信息，那么这个下载的列表里面就要有，每一条啥时候收集的，啥时候会删除。
你还需要提供一个删除链接，用户点击一下，就能立刻删除所有这些收集的信息，这个更麻烦。当然，如果仅仅是 cookies 的话也好办， 就是一键清除 cookies 嘛。
注意，你不需要保证用户删除了信息之后，所有服务还能正常提供。你可以在删除前做出提示：注意，如果删除了这些数据，那么网站的哪些哪些功能将无法正常运作。
还有就是，你需要注意你声明的保存有效期，如果你声明保存 3 个月，但是 3 个月之后你其实并没有删除，那么你还是吃不了兜着走。
这些个人数据的存储也需要注意。简单地说，你需要把这些数据以加密形式保存，而不可以明文保存。比如你可以简单的对整个服务器存储器加密。


二. 数据的使用：
你需要审核你的程序，确保你按照你声明的时限和用途使用你收集保存的数据。
其实 GDPR 不仅仅针对网站服务，最近讨论更多的其实是类似于 Newsletter 和 Cold Email 这类服务。
所有在 5 月 25 日之前收集并提供服务的 Newsletter 订阅，需要让用户再次确认接受新的条款。为稳妥起见，用户需要进行二次确认。如果用户订阅的只是"服务更新"，那么就不可以发送"促销信息"。
更操蛋的其实是，比如你和一个客户在展销会上交谈，客户递给你一张名片，上面有他的个人联系方式，比如个人的 Email: tom@company.com ，你回到公司，按照新的 GDPR，理论上你不可以直接和这个 Email 联系，因为你没有得对方可以举证的授权(比如书面授权，因为口头说明无法举证)，允许你收集并使用这个数据。
你只能使用该客户的公司网站上提供的公开联系资料比如 sales@company.com 和客户联系。

第三方的服务：
你不需要代替第三方作出使用声明，你只需要说明使用了哪些服务，并连接过去即可。譬如 Google 统计，理论上，Google 届时必须提供相应的说明，下载，删除服务。如果 Google 到时候并没有兼容 GDPR，那么你就需要暂时停止使用这个服务。

总之：GDPR 并不是阻止网站做合法的事情，而只是要求所有网站必须把一切数据收集都清晰化。譬如，你有权利要求用户输入个人手机号码并且保存，你想保存一年都可以，你需要做的事情是，告诉用户，你会把他的手机号码保存一年。而他有权利在这一年里随时通过连接删除他的手机号，你也有权利因为他删除了手机号，所以停止对他的服务。

v2ex 是不是可以删帖了哈哈哈哈哈

@2010 删帖不一定是一个好的操作，尤其是如果其他帖子里面提到了 你的 ID 2010 之类的，全部都删除么？
目前建议的各方都能接受的做法是：譬如，把你的相关帖子发件人，以及提到你的，都改为你的 UID 291893 或显示为"已注销用户"。如果你仍旧发现有遗漏，请自己或通过律师和网站联系。
因为"已注销用户"是无法和某个具体的个人产生关联的。
当然，如果帖子里面涉及了个人信息，在没有 GDPR 的遗忘权之前，也是直接可以要求网站删除的，至少在德国是这样。
GDPR 里面并不全都是新的概念，许多内容都已经在部分欧盟国家实行多年了。

@DeutschXP 照这么说，有不少得改啊？

@ioioioioioioi 多也不多，少也不少。
说少，是因为 GDPR 并不是站在各个商业活动的对立面，不是说新规实施就要不许这个不许那个，并不是这样，保证个人数据使用的透明和安全，这是 GDPR 的目的。所以，那些需要大改业务流程的，要么是从开始就不干净，要么就是过分解读了。譬如，我在德国，有一个公司，因为业务需要，合同签订过程中，需要获得客户的身份资料扫描件，我们从业务开展的第一天，就是严格执行隐私保护的相关条例，合同签订完，扫描件删除，绝不会多耽搁一天。也不会像国内许多企业做法，说是删除，只不过是给你数据库里面做个标记，然后文件放到另外一个存储地方。所以，对于像这样的企业来说，业务流程从开始就是干净规范的，那么就只需要考虑告知用户数据的使用情况即可。

说多，是因为落实数据的使用透明化，这一块工作量确实不少。因为你必须要如实的告诉用户，你保存了哪些数据，为什么保存，怎么使用，谁来使用，使用多久，保存多久。你还需要考虑，怎么实现用户的删除申请，删除了以后，哪些服务不能继续提供，哪些服务不受影响，这些都需要对业务流程做一个梳理。当然，企业正好可以趁这个机会，重新审视一下整个业务流程，不必要的存储就去掉吧。一个美颜相机，为什么要保存通讯录？ GDPR 不会反对厂家索取通讯录，但是如果厂家不能够给出合理的解释，那么用户有权利拒绝，有权利要求删除，而且必须是真正的完全删除。你不能说偷偷的继续保存着，等到另一个通讯录好友注册了，一对比数据库，把你推荐给他，这一推荐，就露馅了。所以说，这种情况你就需要修改，要么大大方方告诉用户，我保存并且要使用你的这些数据，要么，就藏好了，藏的要让任何人都抓不住把柄，无论是封查服务器，还是内部员工举报，都抓不到证据的那种"藏"。

@DeutschXP 多谢。感觉业务这一块有不少要改。 我们是类似阿里巴巴的某个专业领域网站，有 cookie，有注册，有登录，登录后可以添加公司，添加产品。