2018年,欧盟发布实施了GDPR,一时间引起了轩然大波,先后一些科技巨头公司纷纷被控诉举报违反GDPR,遭到罚款处罚。本文主要是结合条例和日常工作,做一个简单的分析总结。
一、什么是GDPR
GDPR,英文全称:General Data Protection Regulation,中文翻译为:通用数据保护条例。是欧洲联盟的条例法规,其前身是欧盟在1995年制定的《计算机数据保护法》。
内容就是针对近年来用户隐私被泄露造成的一系列问题,要求对欧盟所有成员国个人信息进行收集、存储、处理及转移等活动时,要按照要求,采取技术和管理手段对个人敏感隐私数据进行保护。
二、适用范围
条例原文:
(1) 本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
(2) 本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:
为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;
对发生在欧洲范围内的数据主体的活动进行监控。
条例本身比较不好理解,总结一下就两点:1.欧盟成员国的相关企业和组织在对个人数据进行处理时要遵守该条例。2.不属于欧盟成员国的企业组织(比如咱们中国的企业)只要提供的商品或服务以及相关项目涉及到了处理欧盟成员国的公民个人数据就也必须遵守该条例
三、违规处罚
条例规定,对违反法规的企业、单位或组织的罚金较高可达2000万欧元(约合1.5亿元人民币)或者其上一年全球总营业额4%的金额罚金,两者取其较高。
是的,你没听错,也没有看错,如果违反相关规定就是要罚这么多,这么重的处罚对一个公司或单位必将是重磅的一击,一般的公司或单位可能根本经受不了这么重的处罚,大公司的心肝也是颤抖的。
在GDPR刚实施后不久,一些国际巨头公司如Facebook(脸书)和Google(谷歌)等遭到了举报和投诉,成为GDPR法案的批被告。一些公司甚至直接关闭了针对欧盟用户的业务。
四、国内动作
在有了Google这样的大公司被罚的先例后,国内企业也加快了对GDPR学习和执行的步伐,紧锣密鼓地进行着,生怕也上了被罚的名单。同时,国内近几年不断爆出用户个人隐私信息被泄露的消息,大量的个人信息流经黑市,也因此出现了一系列冒名顶替、电信诈骗等刑事案件。可以预判,国内网络安全监管机构很有可能效仿欧盟,照搬或者自己出台相关法规,加强对公民个人信息的保护。
五、条例重点分析
那么,对于企业或者说企业的安全负责人,如何来实施相关措施来保证符合GDPR的相关规定呢?在这里,我分享下我个人的见解。
1. 数据处理原则
要求企业在进行数据收集、存储和处理时要提供收集的目的用途、存储的时间、收集的方式、收集的数据类型、存储和处理数据的安全技术保障措施、数据操作审批权限、取得用户同意、签订契约以及针对儿童的相关条件等等。
企业在进行用户数据的相关活动中必须要了解上述内容要求,并作出相关承诺,在收集之前就要提供类似用户隐私声明一类的内容,同时明确自己的责任和义务。
2. 禁止的特殊类型数据
除GDPR法规第9条、第10条例外规定的情形,其他情况下应禁止处理这些特殊类型的数据,包括:种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、基因数据、为了特定识别自然人的生物性识别数据、和自然人健康、个人性生活或性取向相关的数据等以及涉及犯罪定罪与违法相关的个人数据。
企业在进行用户数据处理时一定要明确这些禁止的特殊类型数据,除非符合法规规定的例外情形,否则千万不要试图去收集和处理这些数据,以免受到影响。
3. 数据主体访问权
数据主体应该具有或者说企业应该提供给数据主体访问个人信息的处理目的、数据类型、数据接收者和接收者的类型、存储的期限和依据标准、数据来源信息、数据转移保障措施等。
不管是系统提供的隐私说明或是签订的合同必须能让数据主体或用户能够随时访问到这些信息,只有这样才能保障数据主体的访问权。
4. 数据主体更证权
数据主体要能够或者说企业应该提供给数据主体对其个人数据更正和完善的权利。
当个人信息被收集、存储和处理时,要提供相关接口和入口让数据主体或用户随时能够对自己的个人数据进行修改,比如常见的用户个人中心,可以对个人的资料进行修改更新。
5. 数据主体擦除权(被遗忘权)
除条例第17条21(3)规定的情形,企业要提供给数据主体或用户擦除其个人数据的权利。
大部分企业提供的应用或服务不会让数据主体或用户直接删除个人数据的,基于此,可以提供接收数据主体擦除请求的通道,帮助用户擦除一些不再必要的数据。
6. 数据主体限制处理权
当数据主体对个人数据的准确性有争议、认为处理是非法的、为了提起法律辩护等情形时,企业要提供给用户限制处理权。
当发生这些情况时,用户如果提出要求不让企业继续处理其个人数据时,企业必须接收,停止对其个人数据的处理,可以采取冻结账号及切断和其关联的所有活动。
7. 数据携带权
数据主体要能够或者企业应该提供将已经经过整理、普遍使用和机器可读的数据无障碍地从一个数据控制者到另一个控制者。
就是说企业收集、处理的用户数据要进行格式化整理,并且能够支持格式化导出且机器可读。
8. 数据主体反对权
当企业为了一些直接营销的目的,而未经数据主体或用户同意的情况下直接使用与其相关的用户画像时,数据主体或用户有权反对。
无论采取管理手段或技术手段,在使用用户画像进行营销之前都必须征得用户同意,以免造成不必要的影响。
9. 合规认证
企业要进行相关的隐私认证,积极参与GDPR合规认证,选择有资质的、规范的认证机构,而不是简简单单随便找个“所谓的隐私认证机构”或自认证,通过之后将徽章资质放到官网上面,一定得是GDPR的认证且是权威认证机构。
10. 签署协议
无论数据控制者或者数据处理者,在对个人数据进行处理时,必须签订保密协议。以及在涉及对用户数据进行共享、传输和处理时与第三方或其他合作方进行合作时,必须签订相关的协议,明确责任,确保个人数据的保护得到应有的保证。
11. 数据处理安全
企业在对数据进行收集、处理等活动时应该采取如下安全措施保证个人数据安全。
数据脱敏技术:要对个人数据进行匿名化。
数据加密技术:要对个人数据在存储和传输过程中进行加密。
数据完整性技术:要对个人数据在存储和传输过程中的完整性进行校验,避免被篡改。
数据访问控制技术:要对个人数据设置合理的访问控制策略,避免未授权访问和不正当的访问。
数据备份技术:要对个人数据进行备份,保证可用性。
数据恢复和响应技术:要对个人数据及时进行恢复和响应测试,确保恢复和响应的可行性。
12. 设立数据保护官
企业需要雇佣设立专门的数据隐私保护官员来监督GDPR的执行,以及对涉及的个人数据进行相关的安全防护。
以上,就是我结合GDPR相关条例和我工作当中实施执行的相关分享和心得总结,当然还有很多小的细节没有一一列出来,大家可以以这个为参考继续去详细了解法规内容。以上纯粹个人理解,如有不当之处,请留言或私信我,一起交流,一起提高。
第二十八届CIO班招生
法国布雷斯特商学院MBA班招生 法国布雷斯特商学院硕士班招生 法国布雷斯特商学院DBA班招生
