欧盟的GDPR(General Data Protection Regulation)——《一般数据保护法规》,在2016年4月14日经欧洲议会商讨全面通过。这意味着欧盟对个人信息保护及监管达到前所未有的高度,堪称史上最严格的数据保护法案。这个法案将于本月25日正式执行。GDPR对于我国业务范围涉及及欧盟成员领土及其公民的企业进行合规运营、避免高昂处罚,以及对我国与数据相关的法学研究都具有重要的意义。
GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。GDPR的合规要求是相当高的,需要大多数企业投入大量的人力、财力才能得以实现。
GDPR的要求
个人数据:在GDPR下,像处理“毒药”那样处理个人数据。
以前的隐私制度将个人数据定义为姓名、照片、电子邮件地址、电话号码、实际地址或个人身份证号码、银行帐号或社保卡号。
但GDPR扩大了定义,时期包括“已识别”(identified)和“可识别”(identifiable)的数据信息。这意味着个人数据指的是任何可用于识别个人的信息,包括位置数据、移动设备ID以及某些情况下的IP地址。(生物特征数据和遗传数据被认为是“敏感的个人数据”)
匿名数据是一种潜在的合规性信息,即经过散列、加密或以某种技术方法进行匿名处理的个人数据。 通过将其与附加数据相结合后重新定位识别的数据也被视为个人数据。
个人权利:GDPR通过要求数据管理员采取合理步骤,确保参与数据共享的第三方删除,扩大了被删除的权利,也被称为被遗忘的权利。
数据当事人也享有在多个平台数据不自动打通的权利,以及根据要求以电子形式免费获得经处理的个人数据副本的权利,包括这些数据被用于何处,以及使用数据的目的。
记录保存要求:数据管理员和任何外包商必须保存其数据处理活动的书面记录,包括他们处理数据的原因以及他们计划保存数据的时间。 此信息必须根据要求提供给数据保护机构。
问责原则:虽然GDPR并没有详细说明问责制,但数据控制者必须清楚地记录他们所采取的所有行动。GDPR称之为“通过设计和默认的数据保护”。如果监管机构要求提供合规证明,公司必须能够提供。
数据保护官员(DPO):核心活动涉及大规模系统数据监控或处理的组织(如医院,保险公司和银行)必须指定一个DPO。
而这个新规所针对的主体又是谁呢?全世界公司!
全世界各地的公司,无论数据存储和处理地点在哪儿,只要在欧盟成员国境内开展业务时,必须保护欧盟成员国民众的个人资料与隐私,即使公司不在欧盟境内做生意,但只要公司有任何来自欧盟成员国的客户,也必须遵从GDPR。
所以GDPR与中国企业间的距离绝没有看上去的那么遥远,中国企业若漠不关心,未来很有可能“人在家中坐,罚单欧洲来”。如此强大的全球影响力,也正是当初GDPR能够让全世界为之震动的一大原因。
而如果违反GDPR的话,处罚是这样的:
对于违反GDPR的行为,严重违规者罚金将会是上限2000万欧元或该企业全球年营业额的4%(以两者较高者为准);一般违规者罚金将会是上限1000万欧元或该企业全球年营业额的2%(以两者较高者为准)。
作为中国的企业,有必要立刻升级我们的合规体系吗?其实这要看两点:一看企业有没有在欧洲的机构, 二看有没有监控欧洲用户,三看有没有向欧洲提供产品或服务。这里尤其需要关注的是,如果企业提供的产品、网站或者app上显示支持欧洲国家的语言或者货币,那么很可能就被作为认定其向欧洲提供产品和服务的证据。
但在跨境数据运输这一块是需要中国企业格外关注的。中国企业在向欧洲提供产品或服务的过程中,自然会涉及大量的个人数据跨境传输,而考虑到中国一贯不那么尽如人意的数据安保工作,欧盟监管机构也会给予更多“关照”,因此跨境数据传输是重点。
最后,希望各大企业注重数据安全及做好准备工作,未来的大数据监管,将会越来越严。
End
部分来源于网络
深圳市极限网络科技有限公司专注于系统底层和网络攻防技术研究,是一家将网络安全与大数据人工智能运用相结合的信息安全运营服务商,成立至今为我国关键信息基础设施、政府部门、大中型企事业单位以及重点行业提供了全方位的网络安全解决方案以及专业的安全服务。