❶ 能否解读一下欧盟GDPR针对个人数据保护的内容
欧盟GDPR从5月25日开始正式实施。GDPR对数据泄漏有非常重的处罚条例。同时,欧盟企业也希望法规的实施能够促使数据市场更快更好的发展,使相关业务有法可依。GDPR立法针对个人数据保护的核心问题包括:
第一,数据分布的问题
在接触过的客户中,有70%-80%不知道自己的数据在哪里,更没有详细的数据地图。而数据地图,我们认为是做个人数据保护的前提,也是非常关键的内容。
第二,数据应用检测
目前不管是个人还是企业,往往会关注个人的敏感数据的保护,但今时今日,大量不敏感的信息通过数据组合,就会得到大量有价值的信息,所以不敏感信息同样具有重要价值。怎么能够看到这些数据有没有被非法使用?一定要知道有哪些人用了你的数据最终他使用这些数据是为了获得什么?做到这点的时候,我们才能看到这个数据有没有被滥用,个人数据有没有被泄露。
第三,数据流动监测
目前国内,对于数据的流向,数据流到哪里?数据流向目标市场是否安全?数据流出之后是否可追溯?目前这个领域基本都是空白,没有人对流出后的数据进行任何的追溯、审计或者相应保护。
第四,真实数据最小化原则
我们都是搞信息安全,都知道,我们提了很多年的权限最小化原则,我们给每个人的权限应该是他用于工作的最小权限,以此来保障权限不被滥用。数据应用的时候也应该提倡这样的原则,真实数据最小化的原则。现在数据应用有一个非常简单的办法,充分利用数据脱敏数据,只保留需要使用的数据,将其他数据脱敏,从而保证真实数据的最小化。
第五,全生命周期的审计和评估
这里的审计和评估,是从评估到改善,到再评估,再改善,反复循环的过程。目前国内对于数据进行评估的业务还属于空白。国际上许多企业已纷纷开展此项业务。
❷ 欧盟GDPR是什么意思
GDPR定义
GDPR (全称: General Data Protection Regulation),即《通用数据保护条例》,是一项新法律,规定了企业如何收集,使用和处理欧盟公民的个人数据。该条例在2012年1月份就已经起草,经过4年的探讨与协商,欧盟于2016年4月正式通过这一条例并宣布试行,到2018年5月25日正式全面施行。
GDPR适用范围
1.保护对象:
GDPR保护的仅是“个人数据”(personal data),不涉及个人数据以外的其他数据。
根据GDPR第4条的规定,个人数据是指,与一个已被识别(identified)或者可被识别(identifiable)的自然人相关的任何信息;可被识别的自然人是指,其可以被直接或者间接识别,尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识,或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。这里所指的个人数据仅限于有生命的自然人的个人数据,不包括死者、胎儿等。
同时,个人数据的保护不涉及匿名信息,或者经过匿名化处理以致于不再具有可识别性的个人数据。对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据(个人敏感数据),GDPR从收集、使用等角度作出了特殊规定。就个人数据的保护而言,GDPR主要适用于电脑(自动化)处理个人数据的行为,不涉及其他类型的处理行为。
GDPR第4条规定,对个人数据的自动化处理包括:
(1)收集,记录,整理,组织,存储;
(2)改编,调整,检索,查阅,利用;
(3)通过传输或者传播予以披露、提供;
(4)匹配,组合;
(5)限制,删除,摧毁。
GDPR对个人数据的保护并不绝对,其“序言”部分要求,应当平衡新闻自由、表达自由、商业自由等权利,符合比例原则、法益平衡原则等法律的基本原则。
2.管辖范围:
GDPR第3条规定,GDPR适用于以下三种情形:
(1)数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;(2)数据控制者、数据处理者未在欧盟设立营业场所,但向欧盟的数据主体提供商品或者服务,或者被追踪的网络行为发生在欧盟的;
(3)虽然数据控制者、数据处理者未在欧盟设立营业场所,但是根据国际公法应当适用欧盟成员国法律的。第二种情形是典型的域外管辖,主要针对美国的互联网企业。
3.数据主体:
在GDPR中,享有数据权利的主体被称为数据主体(data subject),个人数据所指向之自然人为数据主体。数据主体须为欧盟居民,一般要求具有成员国国籍。
4.义务主体:
GDPR主要针对两类义务主体,即数据控制者(controller)和数据处理者(processor)。控制者是指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组织。处理者是指代表控制者,处理个人数据的自然人、法人或者其他组织。
GDPR七个基本原则
合法,公平,透明三原则:与数据主体个人相关的数据信息应当以合法,公正,透明方式处理;
数据收集应当有明确的目的:个人信息收集应当目的特定,明确和合法,任何与上述目的不符合的方式将不能继续处理数据;
数据收集的最小化原则:个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据;
准确性:个人数据应当准确,如果需要尽可能保持最新的数据;
存储限制:在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;
完整性与机密性:以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”);
问责制:控制者(企业或组织)应该对并且能够证明其企业符合GDPR的规定。
数据主体的权利
数据主体指,用户、客户、员工等
信息透明度和信息机制:数据处理者或控制者必须保证数据主体行使权利的透明度、交流和模式,也就是让用户知道你在收集那些数据,为什么收据数据,用于何种目的,另外也需要让用户可以随时对自己的数据进行控制;
数据访问权,控制者应当保证数据主体可以随时访问自己的数据;
纠正权:数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式;
被遗忘权:数据主体有权要求控制者删除其数据,比如谷歌的用户可以要求谷歌移除关于其个人不利的搜索结果;
限制处理权:数据主体有权限制数据主体处理其个人数据;
关于纠正或删除个人数据或限制处理的通知义务:除非被证明不可能完成或者包含不成比例的工作量,控制者应当将根据对个人数据进行的任何纠正、删除或者处理限制,传达给已向其披露个人数据的接收者。如果数据主体请求,控制者应当通知数据主体这些接收者;
反对权:如果为了直接营销的目的而处理个人数据,数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理,其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的的处理,则个人数据不得再为此目的而被处理;
拒绝权和自主决定权;
自主化的个人决策分析。
数据控制者或数据处理者的义务
数据控制者和数据处理者,一般指保存和处理用户数据的公司
控制者应该在确定处理手段和在处理的同时,实施适当的技术和组织措施,如匿名化,即目的是实施数据保护原则,如数据最小化,以有效的方式,在处理时实施必要的保障措施,以符合法律要求,保护数据主体的权利;
控制者应该实施适当的技术和组织措施以确保,在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量,数据处理的程度,数据的存储期限和数据的可及性。特别是,这些措施应确保在没有个人对无限数量自然人的干预下,个人数据在默认情况是不可访问的;
在欧盟成员国的范围内指派欧盟代表,可以为合作伙伴,客户或第三方中介等;
数据处理者应当以数据控制者名义处理数据;
数据处理活动应当有记录;
和监督机构合作和配合,应当积极配合监管机构的调查;
处理过程的安全性:
(a)个人数据的匿名化和加密;
(b)数据系统保持持续的保密性、完整性、可用性以及弹性的能力;
(c)在发生自然事故或者技术事故发的情况下,存储有用信息以及及时获取个人信息的能力;
(d)定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理,力求确保处理过程的安全性;
数据泄露72小时报告义务:在个人数据泄露的情况下,控制者不能不当延误,而且至少应当在知道之时起72 小时以内,根据第55条向监管机构进行通知,除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72 小时,需要对迟延原因进行解释;
与数据主体进行交流:个人数据泄露可能对自然人权利和自由形成很高的风险时,控制者应当毫不延误地就个人数据泄露的主体进行交流;
数据保护影响评估以及事先咨询;
超过250人公司或处理海量数据的公司必须设置首席数据保护官。
###################################################
数字化风控咨询专家
深入耕耘风控、内控、合规领域的数字化咨询
提供GDPR合规的咨询及系统的控制体系
❸ 欧盟实施“最严数据信息保护条例”对中企有何影响
6至7日,60余家中国企业负责人聚集中国人民公安大学,参加“个人信息保护:中欧进展与企业合规”公益培训。
培训中,何延哲就企业如何对个人信息进行规范收集、保存和存储作出梳理,并阐释了企业提升数据安全能力的方法。
数据安全资深从业者方兴表示,数据时代来临后,许多中国企业存在把数据安全理解为信息载体安全,重视数据访问安全而忽视使用安全,重视事前保护而忽略溯源追责体系等通病。
他强调,全知的数据时代需要整体的安全视角,只有从授权、用途、量级、法律规范等多种角度动态追踪和分析风险,才可剔除数据在流动过程中埋下的隐患。
此外,多位嘉宾还就“GDPR与个人信息安全规范异同”“数据安全与企业内控”“中外合规产品设计实例与舆情”等主题进行分享。
主办方介绍,培训获得了相关企业的一致好评,未来将每月举办一次。
❹ 欧盟要立法保护通用数据了吗
5月30日有媒体报道说,《欧盟通用数据保护条例》已于5月25日开始生效实施。这个“条例”,被认为是历史上最严格的通用数据保护条例。对于个人而言,这个条例对隐私保护可谓层层设防,严防死守。而对公司企业而言,尤其是那些有意或无意集纳私人(服务对象)隐私数据的公司企业,则限制多多,对这些数据的集纳、分析和使用设置了重重障碍。
对个人隐私信息如此严格的保护,以及对网络公司和企业如此严格的限制,其实代表了互联网时代公司企业与个人间的互动关系及其法律调整。这个“条例”的从严一面,也反映了欧盟力图消弭其成员国内部法律在此问题上标准不一的差别。当然,在欧盟内部,不论是大陆法系国家还是普通法系国家,其原有的对个人隐私保护的相关法律也堪称严密,新颁行的“条例”无疑为这些既存法律按上了跟进互联网时代前进的车轮。
也正是因此,也不乏有质疑上述“条例”对相关公司企业过分严厉限制的声音。欧盟以往对公司企业的过度限制,被认为是欧盟国家在过去20多年中没能产生跨国互联网公司企业的原因之一。新颁行“条例”的施行,将不利于美国等大型跨国互联网公司企业在欧盟成员国的运营,为其市场拓展带来障碍,但也更加不利于欧盟内部诞生跨国互联网公司企业,实际上将更加强化美国互联网公司企业一统欧盟成员国及其市场的格局。
对上述“条例”颁行的全部影响,尚有待观察。
无下文,待观察。
消息来自凤凰网。
