歐盟一般數據保護條例
❶ 能否解讀一下歐盟GDPR針對個人數據保護的內容
歐盟GDPR從5月25日開始正式實施。GDPR對數據泄漏有非常重的處罰條例。同時,歐盟企業也希望法規的實施能夠促使數據市場更快更好的發展,使相關業務有法可依。GDPR立法針對個人數據保護的核心問題包括:
第一,數據分布的問題
在接觸過的客戶中,有70%-80%不知道自己的數據在哪裡,更沒有詳細的數據地圖。而數據地圖,我們認為是做個人數據保護的前提,也是非常關鍵的內容。
第二,數據應用檢測
目前不管是個人還是企業,往往會關注個人的敏感數據的保護,但今時今日,大量不敏感的信息通過數據組合,就會得到大量有價值的信息,所以不敏感信息同樣具有重要價值。怎麼能夠看到這些數據有沒有被非法使用?一定要知道有哪些人用了你的數據最終他使用這些數據是為了獲得什麼?做到這點的時候,我們才能看到這個數據有沒有被濫用,個人數據有沒有被泄露。
第三,數據流動監測
目前國內,對於數據的流向,數據流到哪裡?數據流向目標市場是否安全?數據流出之後是否可追溯?目前這個領域基本都是空白,沒有人對流出後的數據進行任何的追溯、審計或者相應保護。
第四,真實數據最小化原則
我們都是搞信息安全,都知道,我們提了很多年的許可權最小化原則,我們給每個人的許可權應該是他用於工作的最小許可權,以此來保障許可權不被濫用。數據應用的時候也應該提倡這樣的原則,真實數據最小化的原則。現在數據應用有一個非常簡單的辦法,充分利用數據脫敏數據,只保留需要使用的數據,將其他數據脫敏,從而保證真實數據的最小化。
第五,全生命周期的審計和評估
這里的審計和評估,是從評估到改善,到再評估,再改善,反復循環的過程。目前國內對於數據進行評估的業務還屬於空白。國際上許多企業已紛紛開展此項業務。
❷ 歐盟GDPR是什麼意思
GDPR定義
GDPR (全稱: General Data Protection Regulation),即《通用數據保護條例》,是一項新法律,規定了企業如何收集,使用和處理歐盟公民的個人數據。該條例在2012年1月份就已經起草,經過4年的探討與協商,歐盟於2016年4月正式通過這一條例並宣布試行,到2018年5月25日正式全面施行。
GDPR適用范圍
1.保護對象:
GDPR保護的僅是「個人數據」(personal data),不涉及個人數據以外的其他數據。
根據GDPR第4條的規定,個人數據是指,與一個已被識別(identified)或者可被識別(identifiable)的自然人相關的任何信息;可被識別的自然人是指,其可以被直接或者間接識別,尤其是藉助姓名、身份證號碼、地理位置、在線標識等身份標識,或者通過與其身體、生理、基因、心理、經濟或者社會身份相掛鉤的一個或者多個因素。這里所指的個人數據僅限於有生命的自然人的個人數據,不包括死者、胎兒等。
同時,個人數據的保護不涉及匿名信息,或者經過匿名化處理以致於不再具有可識別性的個人數據。對於表徵人種或者種族起源、政治意見、宗教或者哲學信仰、商會會員、基因、生物特徵、健康狀況、性生活等事項的特殊類別的個人數據(個人敏感數據),GDPR從收集、使用等角度作出了特殊規定。就個人數據的保護而言,GDPR主要適用於電腦(自動化)處理個人數據的行為,不涉及其他類型的處理行為。
GDPR第4條規定,對個人數據的自動化處理包括:
(1)收集,記錄,整理,組織,存儲;
(2)改編,調整,檢索,查閱,利用;
(3)通過傳輸或者傳播予以披露、提供;
(4)匹配,組合;
(5)限制,刪除,摧毀。
GDPR對個人數據的保護並不絕對,其「序言」部分要求,應當平衡新聞自由、表達自由、商業自由等權利,符合比例原則、法益平衡原則等法律的基本原則。
2.管轄范圍:
GDPR第3條規定,GDPR適用於以下三種情形:
(1)數據控制者、數據處理者在歐盟有營業場所的,不論數據處理行為發生在歐盟還是境外;(2)數據控制者、數據處理者未在歐盟設立營業場所,但向歐盟的數據主體提供商品或者服務,或者被追蹤的網路行為發生在歐盟的;
(3)雖然數據控制者、數據處理者未在歐盟設立營業場所,但是根據國際公法應當適用歐盟成員國法律的。第二種情形是典型的域外管轄,主要針對美國的互聯網企業。
3.數據主體:
在GDPR中,享有數據權利的主體被稱為數據主體(data subject),個人數據所指向之自然人為數據主體。數據主體須為歐盟居民,一般要求具有成員國國籍。
4.義務主體:
GDPR主要針對兩類義務主體,即數據控制者(controller)和數據處理者(processor)。控制者是指單獨或者與他人一起,決定個人數據處理之目的和方式的自然人、法人或者其他組織。處理者是指代表控制者,處理個人數據的自然人、法人或者其他組織。
GDPR七個基本原則
合法,公平,透明三原則:與數據主體個人相關的數據信息應當以合法,公正,透明方式處理;
數據收集應當有明確的目的:個人信息收集應當目的特定,明確和合法,任何與上述目的不符合的方式將不能繼續處理數據;
數據收集的最小化原則:個人數據收集應當僅僅限於一切與數據處理目的相關的必要的數據;
准確性:個人數據應當准確,如果需要盡可能保持最新的數據;
存儲限制:在不超過個人數據處理目的之必要的情形下,允許以數據主體以可識別的形式保存;
完整性與機密性:以確保個人數據適度安全的方式處理,包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施(「完整性和機密性」);
問責制:控制者(企業或組織)應該對並且能夠證明其企業符合GDPR的規定。
數據主體的權利
數據主體指,用戶、客戶、員工等
信息透明度和信息機制:數據處理者或控制者必須保證數據主體行使權利的透明度、交流和模式,也就是讓用戶知道你在收集那些數據,為什麼收據數據,用於何種目的,另外也需要讓用戶可以隨時對自己的數據進行控制;
數據訪問權,控制者應當保證數據主體可以隨時訪問自己的數據;
糾正權:數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的方式;
被遺忘權:數據主體有權要求控制者刪除其數據,比如谷歌的用戶可以要求谷歌移除關於其個人不利的搜索結果;
限制處理權:數據主體有許可權制數據主體處理其個人數據;
關於糾正或刪除個人數據或限制處理的通知義務:除非被證明不可能完成或者包含不成比例的工作量,控制者應當將根據對個人數據進行的任何糾正、刪除或者處理限制,傳達給已向其披露個人數據的接收者。如果數據主體請求,控制者應當通知數據主體這些接收者;
反對權:如果為了直接營銷的目的而處理個人數據,數據主體有權在任何時候反對有關其的個人數據為進行此類營銷而被處理,其中包括與此類直接營銷相關的概況分析。如果數據主體反對以直接營銷為目的的處理,則個人數據不得再為此目的而被處理;
拒絕權和自主決定權;
自主化的個人決策分析。
數據控制者或數據處理者的義務
數據控制者和數據處理者,一般指保存和處理用戶數據的公司
控制者應該在確定處理手段和在處理的同時,實施適當的技術和組織措施,如匿名化,即目的是實施數據保護原則,如數據最小化,以有效的方式,在處理時實施必要的保障措施,以符合法律要求,保護數據主體的權利;
控制者應該實施適當的技術和組織措施以確保,在默認情況下只有對每個特定處理目的有必要的個人數據才能被處理。該義務適用於收集的個人數據的數量,數據處理的程度,數據的存儲期限和數據的可及性。特別是,這些措施應確保在沒有個人對無限數量自然人的干預下,個人數據在默認情況是不可訪問的;
在歐盟成員國的范圍內指派歐盟代表,可以為合作夥伴,客戶或第三方中介等;
數據處理者應當以數據控制者名義處理數據;
數據處理活動應當有記錄;
和監督機構合作和配合,應當積極配合監管機構的調查;
處理過程的安全性:
(a)個人數據的匿名化和加密;
(b)數據系統保持持續的保密性、完整性、可用性以及彈性的能力;
(c)在發生自然事故或者技術事故發的情況下,存儲有用信息以及及時獲取個人信息的能力;
(d)定期對測試、訪問、評估技術性措施以及組織性措施的有效性進行處理,力求確保處理過程的安全性;
數據泄露72小時報告義務:在個人數據泄露的情況下,控制者不能不當延誤,而且至少應當在知道之時起72 小時以內,根據第55條向監管機構進行通知,除非個人數據的泄露不會導致自然人權利和自由的風險。如果通知遲於72 小時,需要對遲延原因進行解釋;
與數據主體進行交流:個人數據泄露可能對自然人權利和自由形成很高的風險時,控制者應當毫不延誤地就個人數據泄露的主體進行交流;
數據保護影響評估以及事先咨詢;
超過250人公司或處理海量數據的公司必須設置首席數據保護官。
###################################################
數字化風控咨詢專家
深入耕耘風控、內控、合規領域的數字化咨詢
提供GDPR合規的咨詢及系統的控制體系
❸ 歐盟實施「最嚴數據信息保護條例」對中企有何影響
6至7日,60餘家中國企業負責人聚集中國人民公安大學,參加「個人信息保護:中歐進展與企業合規」公益培訓。
培訓中,何延哲就企業如何對個人信息進行規范收集、保存和存儲作出梳理,並闡釋了企業提升數據安全能力的方法。
數據安全資深從業者方興表示,數據時代來臨後,許多中國企業存在把數據安全理解為信息載體安全,重視數據訪問安全而忽視使用安全,重視事前保護而忽略溯源追責體系等通病。
他強調,全知的數據時代需要整體的安全視角,只有從授權、用途、量級、法律規范等多種角度動態追蹤和分析風險,才可剔除數據在流動過程中埋下的隱患。
此外,多位嘉賓還就「GDPR與個人信息安全規范異同」「數據安全與企業內控」「中外合規產品設計實例與輿情」等主題進行分享。
主辦方介紹,培訓獲得了相關企業的一致好評,未來將每月舉辦一次。
❹ 歐盟要立法保護通用數據了嗎
5月30日有媒體報道說,《歐盟通用數據保護條例》已於5月25日開始生效實施。這個「條例」,被認為是歷史上最嚴格的通用數據保護條例。對於個人而言,這個條例對隱私保護可謂層層設防,嚴防死守。而對公司企業而言,尤其是那些有意或無意集納私人(服務對象)隱私數據的公司企業,則限制多多,對這些數據的集納、分析和使用設置了重重障礙。
對個人隱私信息如此嚴格的保護,以及對網路公司和企業如此嚴格的限制,其實代表了互聯網時代公司企業與個人間的互動關系及其法律調整。這個「條例」的從嚴一面,也反映了歐盟力圖消弭其成員國內部法律在此問題上標准不一的差別。當然,在歐盟內部,不論是大陸法系國家還是普通法系國家,其原有的對個人隱私保護的相關法律也堪稱嚴密,新頒行的「條例」無疑為這些既存法律按上了跟進互聯網時代前進的車輪。
也正是因此,也不乏有質疑上述「條例」對相關公司企業過分嚴厲限制的聲音。歐盟以往對公司企業的過度限制,被認為是歐盟國家在過去20多年中沒能產生跨國互聯網公司企業的原因之一。新頒行「條例」的施行,將不利於美國等大型跨國互聯網公司企業在歐盟成員國的運營,為其市場拓展帶來障礙,但也更加不利於歐盟內部誕生跨國互聯網公司企業,實際上將更加強化美國互聯網公司企業一統歐盟成員國及其市場的格局。
對上述「條例」頒行的全部影響,尚有待觀察。
無下文,待觀察。
消息來自鳳凰網。