欧盟通用数据保护法案GDPR解读分享

在上个月月底

欧盟发布了史上最严厉的

隐私管理条例GDPR

一时间议论纷纷

有人欢喜有人忧

GDPR的前世今生是怎样的？

对我国企业的影响是什么？

该如何应对？

作为信息安全企业

我们的机会又在哪里？

❈

带着这些疑问，我们邀请到了安恒信息安全服务咨询规划部的咨询顾问和专家，为我们答疑解惑！

❈

和小安一起来了解一下

GDPR 的前世今生

什么是GDPR

通用数据保护条例(GDPR)为欧洲联盟于2018年5月25日出台的条例，前身是欧盟在1995年制定的《计算机数据保护法》。为欧盟公民数据处理制定了一套统一的法律和更严格的规定，包括对违规行为的严厉处罚。

原来GDPR 就是通用数据保护条例

那么这个条例是因何设立的呢？

设立缘由

原来，欧盟历来对个人数据保护都很重视，并在1995年通过了《数据保护指令》也称为“95指令”。但是近年来信息技术的快速发展，云计算、大数据、AI等技术的使用，使个人数据泄露、个人数据非法使用的风险加大，尤其是数据全球化导致大量个人数据被非法利用。使“95指令”收到了极大的冲击，“95指令”已经无法满足欧盟对个人数据的保护要求，因此在这个背景下，GDPR出台了。

GDPR要解决的问题

1. 立法统一性：统一欧盟各国数据安全保护的上层框架，保障立法统一，建立监管机构和数据保护委员会，统一协调，同时增加各国法律差异性的包容；

2. 扩大数据保护地域范围：实现属地管理和属人管理；

3. 应对新数据安全保护环境：增加个人数据主体的权利，扩大数据控制者、处理者的义务；

4. 扩展个人数据定义：《通用数据保护条例》在原“95指令”的基础上，大幅拓展了对于“个人数据”的定义，除了姓名、手机号、用户名、网络IP地址以及定位地址这些常规信息外，还包括健康数据、宗教信仰、政治观点、性取向等特殊种类的个人敏感信息。

GDPR出台过程大事记

▼1995年 欧盟出台《数据保护指令》（第95/46/EC号指令）

▼2012年1月 欧洲议会提出改革欧盟数据保护法规，加强网络隐私权，推动欧洲数字经济

▼2012年1月25日，欧盟公布GDPR草案

▼2016年4月 欧盟理事会和欧洲议会投票通过《通用数据保护条例》（GDPR）

▼ 2016年8月《欧盟网络与信息安全指令》生效

▼2016年12月 致信微软，对Windows10收集的个人数据表示担忧

▼2018年5月 GDPR全面施行

GDPR的作用

GDPR是数据保护领域对一般性数据处理行为进行规制的基本法律，直接适用于所有成员国，提高了法律适用的一致性和数据保护在欧盟范围内的连贯性，在欧盟范围内具有重要的影响。

1.通过明确数据主体权利，数据控制者的义务，达到加强数据主体的数据控制权，充分保障欧盟自然人的个人数据尤其是个人隐私数据保护。

2.提出分散管理公司的数据责任主体为母公司，简化了沟通过程；统一数据使用规则，提高科技创新率；提高欧盟公司数据服务的安全性，提高用户信赖程度，从而降低企业的运营成本。

3.GDPR克服了欧盟成员国之间分散不一致的数据保护规则，减少了商业成本并且创造了数据保护的公平标准，删除了欧盟范围内部市场的障碍。GDPR的有效隐私保护增加了消费者对在线消费的信心，提高了电子商务发展的成功率。信任与经济增长的良性循环又会刺激内部市场，增加就业从而推动技术革新。

4.通过严厉的处罚措施推动数据控制者对个人数据保护的投入，以达到法律的最终目的。

GDPR共包含99个条款

难怪具有如此深远的影响

那么99个条款中

核心条款有哪些呢？

GDPR的核心条款

★ 对违法企业的罚金最高可达2000万欧元（约合人民币1.5亿元）或者其全球营业额的4%，以高者为准；

★ 网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录，并获得用户的同意，否则按“未告知记录用户行为”作违法处理；

★ 企业不能再使用模糊、难以理解的语言，或冗长的隐私政策来从用户处获取数据使用许可；

★ 明文规定了用户的“被遗忘权”（right to be forgotten），即用户个人可以要求责任方删除关于自己的数据记录；

核心条款还不够清楚的了解？

那么小安用一张图

带你读懂GDPR

以上的内容都理解了吗

那么我们回到最初提出来的问题

GDPR的实施

对国内企业走出去

有哪些影响呢

下面就是专家一对一解读时间啦！

中国企业面临的安全挑战

斯诺登事件后，整个全球对个人隐私的重视和保护达到了空前的高度。中国企业走出去，应对全球和欧盟，作为属地和属人管理，无论中国企业在欧盟开办分支机构还是与欧盟进行贸易，均要受到GDPR约束，中国企业作为控制者和处理者，需要加强个人数据保护，保证满足GDPR要求。

如果不满足欧盟GDPR的要求，一方面会面临巨额罚款，另一方面会对企业的竞争力造成影响，严重的甚至造成国际影响，降低我国企业乃至政府在国际和欧盟上的信任度。

中国企业尤其是与欧盟有贸易关系的中国企业，需要特别重视GDPR，敲响个人数据保护警钟，不滥用个人数据。有效保护个人数据。总结下来我们的企业面临以下安全挑战：

1.数据存储和使用安全挑战

2.数据主体权力的安全挑战

3.数据泄露上报的安全挑战

面对如此多的挑战

我国企业在欧盟开展业务

要有什么样的应对措施呢？

专家为你支招！

企业的应对措施

对于适用于GDPR的企业而言，中国公司应遵守他国相关法规，针对欧盟公民信息单独处置，符合他国相关法规。同时企业需要完善个人隐私数据保护相关管理与技术能力，建立隐私数据保护机制，提高企业自身隐私保护安全意识。在数据收集、使用、共享、传输等各方面与数据使用者明确责任，避免数据外泄。具体可以从以下五个方面开展个人隐私数据保护工作：

1. 确定GDPR对企业的适用性

GDPR不仅适用于欧盟的企业，也适用于欧盟以外的所有正在处理个人数据以提供货物和服务，或者监测欧盟内部数据主体的行为。企业应明确自身是否适用于GDPR。

2.任命数据保护官

设立数据保护官员（DPO）

3.建立数据保护机制和问责体系

对照GDPR的要求，从管理体系和技术手段两方面建立数据保护机制，并通过问责体系，落实数据保护机制，开展合规建设、合规评估，持续优化数据保护机制。

4.确保用户行使个人隐私保护的权利

包括知情权、被遗忘权，拒绝权以及数据可移植性的权利。

分享了这么多GDPR的解读

那么安恒能够在GDPR方面

为客户做哪些事情呢？

安恒服务咨询

目前GDPR发布后，全球都在处于GDPR合规的摸索期，安恒认为，想要GDPR合规，首先理清GDPR各条款的要求、相互关系、企业适用性以及企业使用哪些个人数据是前提也是最重要的，而后才是防护、审计、机制的建设和落地运行，因此安恒信息提供了一整套GDPR的安全咨询方案和安全防护体系建设方案，具体看下图吧：

以上就是小安为大家总结的

GDPR的一些要点