数字化浪潮席卷全球,越来越多的企业在利用技术来彻底改变企业的业绩或触角。数据作为数字化转型的根基,对企业来说至关重要。据调查发现,在全球数据泄露事件中,违规事件发生率较高的行业:零售业占16.7%; 金融与保险业占13.1%; 医疗机构占11.9%。(Trustwave 2018年全球安全报告)。而这几个行业正是数字化转型的先驱。发展与风险并存,在数字化过程中对数据的保护成为了企业的头等大事。

2017年6月1日施行的《中华人民共和国网络安全法》,强调了对基础设施及个人信息的保护。2018年5月1日实施的《信息安全技术个人信息安全规范》,从国家标准层面,明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。而在2018年5月25日正式生效的GDPR,被称为欧盟“史上最严”条例,业已产生了巨大的影响:

  • Google、Facebook,在GDPR生效日分别收到了欧盟39亿欧元、37亿欧元罚款的诉讼。苹果、亚马逊、LinkedIn等公司也面临隐私监管机构提起的诉讼。
  • GDPR生效后,芝加哥时报、洛杉矶时报等多家美国媒体网站在欧洲的服务器关停。
  • 微信海外版、新浪微博国际版等多家互联网企业向欧洲区用户更新隐私政策,请求重新授权。QQ停止部分国际版服务,并将推出新版本,提示用户升级。国航、东航均对其APP及官方网站隐私条款进行了更新。
  • 海尔、华为早已雇请专门团队应对新规。

为此,安全值&谷安研究院对GDPR深度解读,将要点进行了归纳,助您快速了解GDPR。

1.适用性(中国企业)

2.数据相关方

  • 数据主体(data subject):享有数据权利的主体,个人数据所指向之自然人为数据主体
  • 控制者(controller):义务主体,指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组
  • 数据处理者(processor):义务主体,代表控制者,处理个人数据的自然人、法人或者其他组织
  • 第三方(Third party):指未对“个人数据”有任何授权的其他方

3.个人数据定义

“任何指向一个已识别或可识别的自然人的信息”,例如:基本的身份信息:姓名、地址和身份证号码…

网络数据:位置、IP地址、Cookie数据和RFID标签…

医疗保健和遗传数据;生物识别数据,如指纹、虹膜等;种族或民族数据;政治观点;性取向。

4.数据处理定义

“指对个人数据或个人数据集合上执行的任何操作”

5.数据处理原则

确保数据在整个数据生命周期的安全

  • 数据收集:收集目的明确、合法,数据主体同意授权
  • 数据处理:处理过程合法、透明,具备保障
  • 存储:安全、保密,存储期受严格限制

6.数据主体权利

●许可权 ●访问权 ●纠正权 ●限制处理权

●反对权 ●可携权 ●被遗忘权 ●告知权

7.同意条件

  • 数据处理的前提是用户同意,如果用户同意是在包含其他事项的书面声明中,则该书面声明中的同意请求应当具有明显的辨识度并使用清楚、直白的语言,以容易理解且容易获取的方式呈现,否则视为无效。
  • 用户有权随时撤回其同意,同意的撤回应当和同意的作出一样容易。
  • 儿童的同意:16岁以上儿童的同意可以是处理其个人数据的合法条件,不满16岁的儿童,只有当其监护人授权同意时,处理其个人数据才是合法的。

8.组织责任

  • 监测、审查、评估数据处理程序
  • 最小化的数据处理及保留
  • 为数据处理建立保障
  • 记录数据处理的策略、程序、具体操作

9.数据保护官(DPO)

如果组织大规模的监控或处理大量的个人数据,则必须任命数据保护官。职责如下(至少包括):

  • 向企业和企业员工提供GDPR数据保护方面的信息和建议;
  • 对企业GDPR合规以及数据保护方面所做的工作进行监管;
  • 对企业DPIAs方面工作的参与和管理;
  • 同监督机构合作,负责数据外泄的紧急汇报;
  • 协助实现数据主体的数据权利;

10.PIA(隐私影响评估)

当进行有风险的或大规模数据处理时,组织必须进行隐私影响评估。

包括以下步骤:

A.项目PIA需求分析:分析PIA是否为该项目的必须流程

B.项目涉及信息描述:包含涉及什么信息、如何收集、用途、是否涉及转移等

C.风险识别:数据处理对数据主体及企业带来风险的识别

D.方案评估:评估方案措施、效果及成本

E.方案执行:执行方案并记录执行过程、相关决策。

F. PIA结果整合及监控:将PIA结果及整改措施融入项目,并不断监控PIA执行及优化。

11.PBD(隐私设计)

在提供的产品、服务的各个环节,都应充分考虑隐私保护,使之成为组织工作中必不可少的一部分。

12.关于罚金

监管机构可征收高达2000万欧元的严重处罚,或者上一年全球年营业额的4%,以较高者为准。

制裁相关因素:

  • 违规的性质、严重程度和违规的持续时间
  • 违规是故意的还是因疏忽导致
  • 对个人身份信息处理的控制程度
  • 违规是单个事件还是重复事件
  • 涉及的数据主体遭遇损害的程度
  • 为了减轻损害是否采取行动
  • 由违规产生的财务预期或收益
  • 与数据保护机构的合作情况

13.数据外泄通告机制

组织在发生数据外泄时必须在72小时内,即刻通报给监管机构。并且,若外泄会给个人带来风险,也应该及时通知当事人。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。