在上个月月底
欧盟发布了史上最严厉的
隐私管理条例GDPR
一时间议论纷纷
有人欢喜有人忧
GDPR的前世今生是怎样的?
对我国企业的影响是什么?
该如何应对?
作为信息安全企业
我们的机会又在哪里?
❈
带着这些疑问,我们邀请到了安恒信息安全服务咨询规划部的咨询顾问和专家,为我们答疑解惑!
❈
和小安一起来了解一下
GDPR 的前世今生
什么是GDPR
通用数据保护条例(GDPR)为欧洲联盟于2018年5月25日出台的条例,前身是欧盟在1995年制定的《计算机数据保护法》。为欧盟公民数据处理制定了一套统一的法律和更严格的规定,包括对违规行为的严厉处罚。
原来GDPR 就是通用数据保护条例
那么这个条例是因何设立的呢?
设立缘由
原来,欧盟历来对个人数据保护都很重视,并在1995年通过了《数据保护指令》也称为“95指令”。但是近年来信息技术的快速发展,云计算、大数据、AI等技术的使用,使个人数据泄露、个人数据非法使用的风险加大,尤其是数据全球化导致大量个人数据被非法利用。使“95指令”收到了极大的冲击,“95指令”已经无法满足欧盟对个人数据的保护要求,因此在这个背景下,GDPR出台了。
GDPR要解决的问题
1. 立法统一性:统一欧盟各国数据安全保护的上层框架,保障立法统一,建立监管机构和数据保护委员会,统一协调,同时增加各国法律差异性的包容;
2. 扩大数据保护地域范围:实现属地管理和属人管理;
3. 应对新数据安全保护环境:增加个人数据主体的权利,扩大数据控制者、处理者的义务;
4. 扩展个人数据定义:《通用数据保护条例》在原“95指令”的基础上,大幅拓展了对于“个人数据”的定义,除了姓名、手机号、用户名、网络IP地址以及定位地址这些常规信息外,还包括健康数据、宗教信仰、政治观点、性取向等特殊种类的个人敏感信息。
GDPR出台过程大事记
▼1995年 欧盟出台《数据保护指令》(第95/46/EC号指令)
▼2012年1月 欧洲议会提出改革欧盟数据保护法规,加强网络隐私权,推动欧洲数字经济
▼2012年1月25日,欧盟公布GDPR草案
▼2016年4月 欧盟理事会和欧洲议会投票通过《通用数据保护条例》(GDPR)
▼ 2016年8月《欧盟网络与信息安全指令》生效
▼2016年12月 致信微软,对Windows10收集的个人数据表示担忧
▼2018年5月 GDPR全面施行
GDPR的作用
GDPR是数据保护领域对一般性数据处理行为进行规制的基本法律,直接适用于所有成员国,提高了法律适用的一致性和数据保护在欧盟范围内的连贯性,在欧盟范围内具有重要的影响。
1.通过明确数据主体权利,数据控制者的义务,达到加强数据主体的数据控制权,充分保障欧盟自然人的个人数据尤其是个人隐私数据保护。
2.提出分散管理公司的数据责任主体为母公司,简化了沟通过程;统一数据使用规则,提高科技创新率;提高欧盟公司数据服务的安全性,提高用户信赖程度,从而降低企业的运营成本。
3.GDPR克服了欧盟成员国之间分散不一致的数据保护规则,减少了商业成本并且创造了数据保护的公平标准,删除了欧盟范围内部市场的障碍。GDPR的有效隐私保护增加了消费者对在线消费的信心,提高了电子商务发展的成功率。信任与经济增长的良性循环又会刺激内部市场,增加就业从而推动技术革新。
4.通过严厉的处罚措施推动数据控制者对个人数据保护的投入,以达到法律的最终目的。
GDPR共包含99个条款
难怪具有如此深远的影响
那么99个条款中
核心条款有哪些呢?
GDPR的核心条款
★ 对违法企业的罚金最高可达2000万欧元(约合人民币1.5亿元)或者其全球营业额的4%,以高者为准;
★ 网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录,并获得用户的同意,否则按“未告知记录用户行为”作违法处理;
★ 企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可;
★ 明文规定了用户的“被遗忘权”(right to be forgotten),即用户个人可以要求责任方删除关于自己的数据记录;
核心条款还不够清楚的了解?
那么小安用一张图
带你读懂GDPR
以上的内容都理解了吗
那么我们回到最初提出来的问题
GDPR的实施
对国内企业走出去
有哪些影响呢
下面就是专家一对一解读时间啦!
中国企业面临的安全挑战
斯诺登事件后,整个全球对个人隐私的重视和保护达到了空前的高度。中国企业走出去,应对全球和欧盟,作为属地和属人管理,无论中国企业在欧盟开办分支机构还是与欧盟进行贸易,均要受到GDPR约束,中国企业作为控制者和处理者,需要加强个人数据保护,保证满足GDPR要求。
如果不满足欧盟GDPR的要求,一方面会面临巨额罚款,另一方面会对企业的竞争力造成影响,严重的甚至造成国际影响,降低我国企业乃至政府在国际和欧盟上的信任度。
中国企业尤其是与欧盟有贸易关系的中国企业,需要特别重视GDPR,敲响个人数据保护警钟,不滥用个人数据。有效保护个人数据。总结下来我们的企业面临以下安全挑战:
1.数据存储和使用安全挑战
2.数据主体权力的安全挑战
3.数据泄露上报的安全挑战
专家为你支招!
企业的应对措施
对于适用于GDPR的企业而言,中国公司应遵守他国相关法规,针对欧盟公民信息单独处置,符合他国相关法规。同时企业需要完善个人隐私数据保护相关管理与技术能力,建立隐私数据保护机制,提高企业自身隐私保护安全意识。在数据收集、使用、共享、传输等各方面与数据使用者明确责任,避免数据外泄。具体可以从以下五个方面开展个人隐私数据保护工作:
1. 确定GDPR对企业的适用性
GDPR不仅适用于欧盟的企业,也适用于欧盟以外的所有正在处理个人数据以提供货物和服务,或者监测欧盟内部数据主体的行为。企业应明确自身是否适用于GDPR。
2.任命数据保护官
设立数据保护官员(DPO)
3.建立数据保护机制和问责体系
对照GDPR的要求,从管理体系和技术手段两方面建立数据保护机制,并通过问责体系,落实数据保护机制,开展合规建设、合规评估,持续优化数据保护机制。
4.确保用户行使个人隐私保护的权利
包括知情权、被遗忘权,拒绝权以及数据可移植性的权利。
分享了这么多GDPR的解读
那么安恒能够在GDPR方面
为客户做哪些事情呢?
安恒服务咨询
目前GDPR发布后,全球都在处于GDPR合规的摸索期,安恒认为,想要GDPR合规,首先理清GDPR各条款的要求、相互关系、企业适用性以及企业使用哪些个人数据是前提也是最重要的,而后才是防护、审计、机制的建设和落地运行,因此安恒信息提供了一整套GDPR的安全咨询方案和安全防护体系建设方案,具体看下图吧:
以上就是小安为大家总结的
GDPR的一些要点