首先,对冗长的文字表示抱歉。其次,我决定在Stack Overflow上而不是在Law Stack Exchange之类的地方问这个问题,因为问题的原因是GDPR,但问题本身是关于软件体系结构的。
我一直在尝试关注GDPR所必须采取的措施,而我发现的所有内容似乎总是假设人们正在使用用户帐户,即用户在您的网站上注册,并且您需要进行的所有或几乎所有操作从保护您的用户数据出发,关心GDPR从这里开始。我的理解是,一个人必须能够证明其用户按照隐私策略使用他们的数据,甚至是他们同意的隐私策略版本(由于有时会更新),都同意您的使用。这必然意味着有关此同意书的数据必须存储在服务器端。当您具有将数据绑定到的用户帐户时,这很容易做到,但是当您与非注册用户或来宾用户一起工作时,该怎么办?
让我为您的实际问题提供一些背景知识:作为个人项目,我目前正在建立一个小型网站,该网站将允许用户向某些页面添加评论,甚至提交照片。事实是,这是用户唯一可以进行的互动,因此,我既不需要也不需要他们拥有一个帐户,这也使我不必担心并且可以更轻松地与网站互动。对于注释,唯一真正需要的是注释文本本身和一些用户名(可以是真实名称到别名的任何内容,都没有关系)。如果用户希望共享这些信息,我还将添加一个可选字段,供用户说明他们的来源(例如“法国巴黎”)。
无论如何,所有这一切都只是乞讨垃圾邮件,所以我一直在考虑将Akismet和Google的reCAPTCHA集成在一起,因为过去这对我来说非常有效。问题在于,Akismet还要求将电子邮件地址也传递给它,以便它检查评论是否为垃圾邮件,因此我还需要在评论表单上向用户询问其电子邮件地址。由于我实际上只是在检查垃圾邮件时才需要他们的电子邮件,而且无论如何都不会将其公开,因此我会将其保存在数据库中,几天后将其删除,并通过网站的隐私权政策进行沟通。
因此,问题来了。我认为电子邮件地址和上面的其他信息一起被视为PII,并且由于我要存储电子邮件地址并与第三方共享,因此对我来说很明显,我必须征求用户的同意,并且不允许当然,如果他们不同意他们的意见,则要提交他们的评论。但是这里没有实际的用户帐户,因此没有中央位置可以存储此类同意作为证据。那么如何去做呢?我唯一想到的就是在评论表单上有一个复选框,并将其值与评论一起存储。当然,通过适当的验证,存储的值将始终为1,但是仍然需要对其进行显式存储以使其符合GDPR。我不喜欢这样的想法,即用户每次想对某事发表评论时都必须选中一个与隐私策略相一致的复选框,但是我认为我没有其他解决办法。你呢?
非常感谢,再次感谢您的冗长文字。