數(shù)字化浪潮席卷全球�,越來(lái)越多的企業(yè)在利用技術(shù)來(lái)徹底改變企業(yè)的業(yè)績(jī)或觸角。數(shù)據(jù)作為數(shù)字化轉(zhuǎn)型的根基�����,對(duì)企業(yè)來(lái)說(shuō)至關(guān)重要��。據(jù)調(diào)查發(fā)現(xiàn)�����,在全球數(shù)據(jù)泄露事件中���,違規(guī)事件發(fā)生率較高的行業(yè):零售業(yè)占16.7%; 金融與保險(xiǎn)業(yè)占13.1%; 醫(yī)療機(jī)構(gòu)占11.9%��。(Trustwave 2018年全球安全報(bào)告)��。而這幾個(gè)行業(yè)正是數(shù)字化轉(zhuǎn)型的先驅(qū)����。發(fā)展與風(fēng)險(xiǎn)并存���,在數(shù)字化過(guò)程中對(duì)數(shù)據(jù)的保護(hù)成為了企業(yè)的頭等大事�����。
十多年的石泉網(wǎng)站建設(shè)經(jīng)驗(yàn)���,針對(duì)設(shè)計(jì)����、前端����、開發(fā)��、售后�、文案、推廣等六對(duì)一服務(wù)�,響應(yīng)快,48小時(shí)及時(shí)工作處理��。網(wǎng)絡(luò)營(yíng)銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同�,自動(dòng)調(diào)整石泉建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端�,在瀏覽器中調(diào)整網(wǎng)站的寬度,無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站,都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)����,從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)公司從事“石泉網(wǎng)站設(shè)計(jì)”,“石泉網(wǎng)站推廣”以來(lái)���,每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行��。
2017年6月1日施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》�,強(qiáng)調(diào)了對(duì)基礎(chǔ)設(shè)施及個(gè)人信息的保護(hù)���。2018年5月1日實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》�����,從國(guó)家標(biāo)準(zhǔn)層面�,明確了企業(yè)收集�����、使用��、分享個(gè)人信息的合規(guī)要求�����,為企業(yè)制定隱私政策及個(gè)人信息管理規(guī)范指明了方向。而在2018年5月25日正式生效的GDPR����,被稱為歐盟“史上最嚴(yán)”條例,業(yè)已產(chǎn)生了巨大的影響:
- Google��、Facebook��,在GDPR生效日分別收到了歐盟39億歐元����、37億歐元罰款的訴訟。蘋果��、亞馬遜���、LinkedIn等公司也面臨隱私監(jiān)管機(jī)構(gòu)提起的訴訟。
- GDPR生效后����,芝加哥時(shí)報(bào)、洛杉磯時(shí)報(bào)等多家美國(guó)媒體網(wǎng)站在歐洲的服務(wù)器關(guān)停���。
- 微信海外版����、新浪微博國(guó)際版等多家互聯(lián)網(wǎng)企業(yè)向歐洲區(qū)用戶更新隱私政策,請(qǐng)求重新授權(quán)����。QQ停止部分國(guó)際版服務(wù),并將推出新版本�����,提示用戶升級(jí)���。國(guó)航�、東航均對(duì)其APP及官方網(wǎng)站隱私條款進(jìn)行了更新���。
- 海爾����、華為早已雇請(qǐng)專門團(tuán)隊(duì)?wèi)?yīng)對(duì)新規(guī)。
為此,安全值&谷安研究院對(duì)GDPR深度解讀�����,將要點(diǎn)進(jìn)行了歸納��,助您快速了解GDPR���。
1. 適用性(中國(guó)企業(yè))
2. 數(shù)據(jù)相關(guān)方
- 數(shù)據(jù)主體(data subject):享有數(shù)據(jù)權(quán)利的主體,個(gè)人數(shù)據(jù)所指向之自然人為數(shù)據(jù)主體
- 控制者(controller):義務(wù)主體���,指單獨(dú)或者與他人一起��,決定個(gè)人數(shù)據(jù)處理之目的和方式的自然人����、法人或者其他組
- 數(shù)據(jù)處理者(processor):義務(wù)主體�,代表控制者,處理個(gè)人數(shù)據(jù)的自然人��、法人或者其他組織
- 第三方(Third party):指未對(duì)“個(gè)人數(shù)據(jù)”有任何授權(quán)的其他方
3. 個(gè)人數(shù)據(jù)定義
“任何指向一個(gè)已識(shí)別或可識(shí)別的自然人的信息”���,例如:
- 基本的身份信息:姓名、地址和身份證號(hào)碼…
- 網(wǎng)絡(luò)數(shù)據(jù):位置��、IP地址��、Cookie數(shù)據(jù)和RFID標(biāo)簽…
- 醫(yī)療保健和遺傳數(shù)據(jù);生物識(shí)別數(shù)據(jù),如指紋�����、虹膜等;種族或民族數(shù)據(jù);政治觀點(diǎn);性取向��。
4. 數(shù)據(jù)處理定義
“指對(duì)個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集合上執(zhí)行的任何操作”
5. 數(shù)據(jù)處理原則
確保數(shù)據(jù)在整個(gè)數(shù)據(jù)生命周期的安全
- 數(shù)據(jù)收集:收集目的明確�����、合法����,數(shù)據(jù)主體同意授權(quán)
- 數(shù)據(jù)處理:處理過(guò)程合法、透明����,具備保障
- 存儲(chǔ):安全、保密��,存儲(chǔ)期受嚴(yán)格限制
6. 數(shù)據(jù)主體權(quán)利
- 許可權(quán)
- 訪問(wèn)權(quán)
- 糾正權(quán)
- 限制處理權(quán)
- 反對(duì)權(quán)
- 可攜權(quán)
- 被遺忘權(quán)
- 告知權(quán)
7. 同意條件
- 數(shù)據(jù)處理的前提是用戶同意�����,如果用戶同意是在包含其他事項(xiàng)的書面聲明中�,則該書面聲明中的同意請(qǐng)求應(yīng)當(dāng)具有明顯的辨識(shí)度并使用清楚���、直白的語(yǔ)言,以容易理解且容易獲取的方式呈現(xiàn)�,否則視為無(wú)效。
- 用戶有權(quán)隨時(shí)撤回其同意�,同意的撤回應(yīng)當(dāng)和同意的作出一樣容易。
- 兒童的同意:16歲以上兒童的同意可以是處理其個(gè)人數(shù)據(jù)的合法條件����,不滿16歲的兒童,只有當(dāng)其監(jiān)護(hù)人授權(quán)同意時(shí)��,處理其個(gè)人數(shù)據(jù)才是合法的����。
8. 組織責(zé)任
- 監(jiān)測(cè)、審查����、評(píng)估數(shù)據(jù)處理程序
- 最小化的數(shù)據(jù)處理及保留
- 為數(shù)據(jù)處理建立保障
- 記錄數(shù)據(jù)處理的策略、程序�����、具體操作
9. 數(shù)據(jù)保護(hù)官(DPO)
如果組織大規(guī)模的監(jiān)控或處理大量的個(gè)人數(shù)據(jù)�,則必須任命數(shù)據(jù)保護(hù)官。職責(zé)如下(至少包括):
- 向企業(yè)和企業(yè)員工提供GDPR數(shù)據(jù)保護(hù)方面的信息和建議;
- 對(duì)企業(yè)GDPR合規(guī)以及數(shù)據(jù)保護(hù)方面所做的工作進(jìn)行監(jiān)管;
- 對(duì)企業(yè)DPIAs方面工作的參與和管理;
- 同監(jiān)督機(jī)構(gòu)合作���,負(fù)責(zé)數(shù)據(jù)外泄的緊急匯報(bào);
- 協(xié)助實(shí)現(xiàn)數(shù)據(jù)主體的數(shù)據(jù)權(quán)利;
10. PIA(隱私影響評(píng)估)
當(dāng)進(jìn)行有風(fēng)險(xiǎn)的或大規(guī)模數(shù)據(jù)處理時(shí),組織必須進(jìn)行隱私影響評(píng)估�。
包括以下步驟:
- A.項(xiàng)目PIA需求分析:分析PIA是否為該項(xiàng)目的必須流程
- B.項(xiàng)目涉及信息描述:包含涉及什么信息�����、如何收集����、用途、是否涉及轉(zhuǎn)移等
- C.風(fēng)險(xiǎn)識(shí)別:數(shù)據(jù)處理對(duì)數(shù)據(jù)主體及企業(yè)帶來(lái)風(fēng)險(xiǎn)的識(shí)別
- D.方案評(píng)估:評(píng)估方案措施��、效果及成本
- E.方案執(zhí)行:執(zhí)行方案并記錄執(zhí)行過(guò)程�、相關(guān)決策。
- F. PIA結(jié)果整合及監(jiān)控:將PIA結(jié)果及整改措施融入項(xiàng)目���,并不斷監(jiān)控PIA執(zhí)行及優(yōu)化��。
11. PBD(隱私設(shè)計(jì))
在提供的產(chǎn)品�����、服務(wù)的各個(gè)環(huán)節(jié)�����,都應(yīng)充分考慮隱私保護(hù)����,使之成為組織工作中必不可少的一部分。
12. 關(guān)于罰金
監(jiān)管機(jī)構(gòu)可征收高達(dá)2000萬(wàn)歐元的嚴(yán)重處罰��,或者上一年全球年?duì)I業(yè)額的4%�,以較高者為準(zhǔn)。
制裁相關(guān)因素:
- 違規(guī)的性質(zhì)�����、嚴(yán)重程度和違規(guī)的持續(xù)時(shí)間
- 違規(guī)是故意的還是因疏忽導(dǎo)致
- 對(duì)個(gè)人身份信息處理的控制程度
- 違規(guī)是單個(gè)事件還是重復(fù)事件
- 涉及的數(shù)據(jù)主體遭遇損害的程度
- 為了減輕損害是否采取行動(dòng)
- 由違規(guī)產(chǎn)生的財(cái)務(wù)預(yù)期或收益
- 與數(shù)據(jù)保護(hù)機(jī)構(gòu)的合作情況
13. 數(shù)據(jù)外泄通告機(jī)制
組織在發(fā)生數(shù)據(jù)外泄時(shí)必須在72小時(shí)內(nèi)����,即刻通報(bào)給監(jiān)管機(jī)構(gòu)。并且�����,若外泄會(huì)給個(gè)人帶來(lái)風(fēng)險(xiǎn)�����,也應(yīng)該及時(shí)通知當(dāng)事人。
【本文是專欄作者“”李少鵬“”的原創(chuàng)文章����,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
網(wǎng)站題目:GDPR通用數(shù)據(jù)保護(hù)條例-要點(diǎn)總結(jié)
路徑分享:
http://uogjgqi.cn/article/ccieegh.html
