我的位置 首页  >  新闻动态  >  国内新闻

个人信息保护法(下):解读《通用数据保护条例》(GDPR)

来源:科技成果转化中心时间:2018-06-25
      


GDPR 的全称是 General Data Protection Regulation,即《通用数据保护条例》。这项法案在 2012 年 1 月份就已经起草,经过 4 年的探讨与协商,欧盟于 2016 年 4 月正式通过这一条例并宣布试行,到 2018 年 5 月 25 日正式全面施行。该规范比指令更有力,因为它不需要由每个成员国单独采用。相反,自生效之日起,所有成员国的法规将立即适用于法律。由于 GDPR 规定,企业一旦违反这一条例,最高可面临全球营业额 4% 的罚款,因此被冠以“史上最严数据保护条例”的称号。


新规的出现为企业安全团队带来了一些担忧,同时也带来了一些新的期待。例如,GDPR对个人信息的保护及其监管达到了前所未有的高度,同时也扩大了对于用户个人数据的定义,企业必须将用户个人的IP地址或cookie数据等信息置于和其他用户机密数据(姓名、地址以及社会安全号码等)相同的保护等级。


不过,GDPR也留下了许多解释空间。例如,它指出,公司必须为个人数据提供“合理”的保护等级,但是却并未明确界定“合理”的标准。如此一来,在涉及评估数据违规和违规罚款的问题时,就为GDPR管理机构留出了很大的解释余地。


目前,为了强化企业员工对GDPR新规的了解,许多企业的首席安全官(CSO)已经编写了“企业需要了解的GDPR新规内容”以及关于如何满足其要求的建议。虽然新规中的许多要求并不直接涉及信息安全,但是新规对于安全流程和系统的要求可能会对企业现有的安全系统和协议产生一定的影响。


一、什么是GDPR?


《通用数据保护条例》(GDPR)是欧盟旨在加强对欧盟境内居民的个人数据和隐私保护的个人信息保护条例。它通过统一数据和隐私条例来简化对跨国企业的监管框架,并将取代1995年颁布的《数据保护指令》,是近三十年来欧盟数据保护立法的最大变动。


GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。GDPR的合规要求是相当高的,需要大多数企业投入大量的人力、财力才能得以实现。


目前,对于GDPR的正面阐释,是公司企业可通过给消费者一种自身数据被合理存储和保护的安全感,来赢得消费者的信任。GDPR不是一个负担,相反,它被视为在世界第二大贸易集团(欧盟)增加业务的好机会。


二、适用主体是谁?


GDPR对满足以下要求的全世界公司适用:

1.盟成员国有法人实体的公司;

2.盟没有设立实体公司,但因为业务关系而持有欧盟居民个人资料的公司。


也就是说:

全世界各地的公司,无论数据存储和处理地点在哪儿,只要在欧盟成员国境内开展业务时,必须保护欧盟成员国民众的个人资料与隐私,即使公司不在欧盟境内做生意,但只要公司有任何来自欧盟成员国的客户,也必须遵从GDPR。


三、在数据保护方面的主要规定是什么?


GDPR对数据保护方面的要求有:


1.公司须设立一个数据保护官(Data Protection Officer,DPO)。数据保护官必须直接汇报给最高管理层,其职责是监管和规范数据负责人和数据处理者的数据活动;

2.公司需要保留用户数据监管信息,并定期删除无关数据;

3.公司必须部署合适的工具用以保护数据,以防数据丢失、损坏或泄露。当发生任何数据泄露相关事件,数据管控者与数据处理者需要在72小时内进行报告;

4.公司处理个人数据必须要有合法理由,包括数据主体的同意、为了签订或履行合同需要、遵守法定义务的需要、为公共利益或行事政府授权以及为追求数据控制者的合法利益等;

5.公司对用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据,用户有权要求删除数据;

6.用户有权并可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者处;

7.公司禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、工会组织成员的数据、个人基因识别数据、生物数据、涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要在法律允许的范围内已采取了适当的保护手段等;

8.公司处理16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可对上述年龄进行调整,但是不得低于13岁;

9.公司需要实现数据的“缺省保护隐私”,即这种数据保护的隐私设计需要有默认的两个原则,一是数据采集与数据使用目的的一一对应原则;二是数据采集的最小化原则。


四、企业应做哪些准备工作?


1.企业拥有的数据及存储位置

企业应弄清楚自己掌握的是欧盟公民的什么数据,并做好准备,主动关注用户敏感数据的走向。


2.供应链安全

大多数企业的供应链都很长。比如一级金融机构有15000家供应商/合作伙伴,而这些合作伙伴大多都拥有金融机构中的个人信息。在 GDPR 的实施下,数据拥有者和流通者都有义务保护欧盟公民的隐私。企业应确保供应商也有足够的安全防范意识和控制措施。


3.措施及响应计划

为满足 GDPR 合规要求,企业可能需要在内部部署和云基础设施环境中部署一种或多种不同的加密方法,可从以下方面着手:


·服务器:包括对文件、应用、数据库和全磁盘虚拟机加密;

·存储:包括通过网络连接存储和存储区域网络加密;

·介质:通过磁盘加密;

·网络:例如通过高速网络加密。


另外,还需要强密钥管理以保护加密的数据,以及保证删除文件和满足用户被遗忘权。企业还需要一种方式来验证用户身份和交易的合法性,以及证明合规性。所以当前使用的安全控制措施一定要是可以证明和可以审计的。


4.符合 GDPR 法规的安全流程


企业需要提前建立好安全流程,在事件发生的时候才知道具体应该怎么做。因为 GDPR 留给大多数企业的时间只有72小时,并且还要注意 GDPR 中还谈到的公民数据的其他权利,包括数据提供权,删除权,转移通知权和用户知情权。必要时可任命一名数据保护专员。


——END——


       (科技成果转化中心供稿)