从GDPR谈企业如何进行数据合规?

文|常亮

GDPR(一般数据保护条例),是由欧盟于2018年5月25日出台。该条例在数据科学领域引起了广泛的讨论,这是因为严格的数据条例,将对数据科学项目,尤其是机器学习领域产生巨大的影响。

目前我们平台风控相关业务是以数据为基础,且也会采用机器学习等相关数据分析及建模技术,虽然不在欧盟范围内,也不会使用欧盟地区数据,但条例中提出的个人数据权利及保护等要求,对我们规范业务中的数据使用方法和范围有借鉴意义。可以肯定的是,未来随着个人隐私及数据意思的增强,数据安全保护,及合规要求会越来越细致严格。

“一般数据保护条例”(GDPR)为欧盟公民数据处理制定了一套统一的法律和更严格的规定,也规定了对违规行为的严厉处罚。其罚款范围是1000万到2000万欧元,或企业全球年营业额的2%到4%。欧盟发布这个新规定的主要原因是:

(1)为欧盟公民提供更多使用自己的个人资料的权力

(2)加强数字服务提供者与他们所服务的人之间的信任

(3)为企业提供明确的法律框架,通过在欧盟单一市场上制定统一的法律来消除任何区域差异。确立了欧盟“长臂管辖”原则,即欧盟立法可以管辖欧盟之外向欧盟居民提供服务的企业。

条例的第13-15条中,GDPR一再声明数据主体有权了解关于数据使用的“有意义的信息”和自动化决策带来的“重要和可预见的后果”。第71条序言是该条例中包含的不具约束力一部分,它指出数据主体可以要求自动化决策给出合理的解释,并且数据主体能够质疑这些决策。在GDPR下,所有数据的使用都需要在法律的允许下进行,GDPR第6条规定了六项对应的法律依据。其中有两个最重要的“合法权益”的依据,并且数据主体明确同意使用该数据。这种情况下,当处理数据是依据于数据主体的同意时,数据主体将仍保留对该数据的重要控制权,这意味着他们可以随时撤回同意,处理该数据的合法性将不再存在。

借鉴GDPR条例,我们在数据合规性要注意考虑以下几点:

(1)信息主体明确授权访问、采集和使用

(2)信息主体有权撤回授权,即系统要响应信息主体删除/修改/提供数据副本的请求

(3)对信息主体的评级等决策结果,要能形成有效证据链,并可向信息主体解释

(4)隐私保护认证

(5)数据事件响应计划,如数据泄露须及时通知,限72小时内改正

(6)数据可见性,需要获得在端点,服务器和云应用程序中保护,收集和监视数据的能力。使组织真正了解自己的整体数据攻击面,并且能够对如何部署符合监管的安全机制提供可操作的洞察

(7)安全转移,如数据转移通道,组织需要采用业界领先的基于标准的TLS 1.2和AES 256加密技术,配合简化和集成的密钥管理。

农业时代确立了产权规则,工业时代确立了知识产权规则,人工智能时代呼唤数据规则,而当前该规则正在行成过程中。我们企业需要不断储备和提高数据的获取、处理、应用和安全管理能力,以适应前进中的数据规则。

来源:乾康金融

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180811B160XR00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券