GDPR來了!這些隐私保護知識你get了麽?
發布時間:
2018.05.30 | 來源:
帕拉迪
在過去的一(yī)個(gè)周末,歐盟史上(shàng)最嚴厲隐私保護法GDPR正式生(shēng)效。GDPR是二十年(nián)來數據隐私規則領域發生(shēng)的最重要變化,給歐盟、乃至全世界的企業(yè)都将帶來重大影響。無論企業(yè)是否在歐盟境内,隻要與歐盟企業(yè)發生(shēng)業(yè)務往來,或涉及存儲、處理、交換任何歐盟公民(mín)的數據,都必須嚴格遵守該條例。
想要快速了解法案内容?這些關于GDPR的知識點可以幫你快速理清脈絡。
01什麽是GDPR?
《一(yī)般數據保護法案》(General Data Protection Regulation (GDPR))由歐洲議會(huì)投票通(tōng)過,這項法案賦予歐盟公民(mín)更多(duō)的個(gè)人數據控制權,另外對那些收集、處理和存儲個(gè)人數據的公司提出更高(gāo)的責任要求,新法案由11章共99條組成,于2018年(nián)5月(yuè)25日正式生(shēng)效。(→_→完整法案内容可在文末獲取查看(kàn))
GDPR作為(wèi)一(yī)套用來保護歐盟普通(tōng)公民(mín)個(gè)人隐私信息數據的新法規,對個(gè)人信息的保護及監管達到(dào)了前所未有的高(gāo)度,是史上(shàng)最嚴格的數據保護法案。
02适用的範圍
GDPR适用的數據主體,不僅僅是企業(yè),也包括決定和參與個(gè)人數據處理的任何個(gè)人、組織,涵蓋政府部門(mén)、公共組織、司法機(jī)構及其他實體。上(shàng)述個(gè)人或實體(除歐盟境内企業(yè)及機(jī)構,隻要涉及向歐盟境内個(gè)人提供服務并處理或監控個(gè)人數據)作為(wèi)數據控制者或數據處理者的均在适用實體範圍内。
03涉及哪些個(gè)人數據
“個(gè)人數據”定義是指任何指向一(yī)個(gè)已識别或可識别的自(zì)然人信息。該可識别的自(zì)然人能(néng)夠被直接或間接的識别,尤其是通(tōng)過參照(zhào)諸如姓名、身份證号碼、定位數據、在線身份認證标識,或者通(tōng)過參照(zhào)針對自(zì)然人的一(yī)個(gè)或多(duō)個(gè)要素(物(wù)理、生(shēng)理、遺傳、心理、經濟、文化或社會(huì)身份)。這意味著(zhe)GDPR擴大了定義,包括“已識别”和“可識别”的數據信息,已識别個(gè)人數據指傳統個(gè)人數據(姓名、照(zhào)片、電(diàn)子郵件(jiàn)、電(diàn)話号碼、家庭住址、身份證号碼、銀(yín)行帳号或社保卡号等),可識别個(gè)人的信息是指位置定位數據、移動設備ID以及某些情況下(xià)的IP地址、生(shēng)物(wù)特征數據和遺傳數據等。
04對兒童數據的特别規定
GDPR在“信息社會(huì)服務中适用兒童同意的條件(jiàn)”規定,如果直接向兒童提供信息社會(huì)服務時,該兒童的年(nián)齡應當為(wèi)16周歲以上(shàng)。若兒童未滿16周歲,隻有在征得監護人同意或授權的範圍内其處理才合法。各成員(yuán)國(guó)可以對上(shàng)述年(nián)齡進行調整,但是不得低(dī)于13歲。組織如涉及兒童個(gè)人數據的處理,應予以特别保護。
05數據洩露強制通(tōng)知的規定
GDPR規定,在發生(shēng)個(gè)人數據洩露時,除非個(gè)人數據的洩露不會(huì)産生(shēng)危及自(zì)然人權利和自(zì)由的風險,否則數據控制者應在獲知洩露之時起的72小(xiǎo)時内向監管機(jī)構發送通(tōng)知報(bào)告。組織應注意如發生(shēng)個(gè)人數據洩露等安全事(shì)件(jiàn),需履行的通(tōng)報(bào)和告知義務。
06處罰的規定
不遵守規定的數據隐私法規的後果就(jiù)是會(huì)受到(dào)嚴厲的制裁和巨額的罰款。
07GDPR對違規組織采取根據情況分級處理的方法:
如果組織未按要求保護數據主體的權益、做好相(xiàng)關記錄,或發生(shēng)了更為(wèi)嚴重的侵犯個(gè)人數據安全的行為(wèi),如未獲得客戶同意處理數據,或核心理念違反“隐私設計”要求,或違反規定将個(gè)人數據跨境傳輸,或違反歐盟成員(yuán)國(guó)法律規定的義務等,組織有可能(néng)面臨最高(gāo)2000萬歐元或組織全球年(nián)營業(yè)額的4%(兩者取其高(gāo))的巨額罰款。
漢武安全實驗室針對GDPR中的核心要點深度分析了國(guó)内企業(yè)的應對策略。這裡(lǐ)的應對建議涉及到(dào)系統架構、人員(yuán)管理、流程管理、風險評估、業(yè)務邏輯、應急響應等衆多(duō)環節,以下(xià)内容可作為(wèi)企業(yè)自(zì)查的一(yī)種分析方式
1.必須明确詢問用戶,是否允許同意搜集他們的數據。必須以清晰的方式詢問用戶,而不能(néng)以任何方式默認用戶授予開(kāi)發者數據使用許可權。
2.提供自(zì)助登錄入口,可供查詢、更新個(gè)人信息;提供賬戶銷毀/删除功能(néng),确定服務或協議終結,可允許選擇銷毀賬号及信息,并删除一(yī)切有關個(gè)人數據,包括第三方賬戶登錄(可以通(tōng)過加密數據,然後删除密鑰)。
3.需要加強密鑰管理以保護加密的數據,合理區分數據控制者和數據處理者,對權限和身份進行合理劃分。
4.識别數據存儲的位置(特别需要注意雲計算(suàn)服務資源),數據的類型及風險級别,嚴格把控信息數據的訪問控制。
5.遵守“知其所需”(Need to know)原則,隻收集所需要的最少個(gè)人數據,并采取技(jì)術(shù)和管理措施來保護數據的存儲安全和傳輸安全,避免個(gè)人數據被篡改、丢失、未經授權披露或被惡意攻擊。
6.設置專門(mén)的隐私保護人員(yuán),實施問責機(jī)制;建立數據生(shēng)命周期管理,定期更新或銷毀,定義流程及描述以對數據洩露做出敏捷反應。
7.建立内部隐私管控制度,并與專業(yè)數據安全服務公司保持聯系。
8.進行全面的風險評估;應用關鍵安全控制來恰當地檢測、管理和緩解數據處理環境中的任何漏洞;根據企業(yè)策略配置系統,并維護該配置;持續監視日志(zhì)文件(jiàn),警惕任何潛在數據洩露或漏洞。
面對“史上(shàng)最嚴”的數據監管條例,帕拉迪擁有專業(yè)資深的數據安全專家團隊為(wèi)其保駕護航。在确保企業(yè)和産品滿足GDPR合規要求的前提下(xià),帕拉迪也将為(wèi)渠道合作夥伴和客戶提供數據安全方面的支持和建議。
01
帕拉迪的漢武安全實驗室是由一(yī)支專業(yè)的數據安全專家組成的團隊,該團隊可以幫助客戶對數據保護條例的具體要求及數據安全現狀進行解讀(dú)與分析,協助客戶發現數據安全防護弱點,建立數據安全防護,提升整體信息安全防護能(néng)力與等級。
02
帕拉迪産品從(cóng)設計之初,就(jiù)擁有中英操作界面,并聯合合作夥伴一(yī)起打開(kāi)了海外市(shì)場。在産品的海外銷售過程中,我們根據各國(guó)的法律、文化、政策等要求都做了較為(wèi)嚴格的産品整改。從(cóng)使用界面、交付流程、報(bào)表展現、底層加固、文化适應等多(duō)方面,與合作夥伴一(yī)起進行了上(shàng)千項耗時一(yī)年(nián)多(duō)時間的整改工(gōng)作。帕拉迪的産品不但交付到(dào)了亞非拉,同時也獲得了歐盟某成員(yuán)的國(guó)電(diàn)信級用戶的信賴支持。面對新的GDPR法案要求,帕拉迪已具備适用的根基,并且有能(néng)力、有經驗根據條例要求進行一(yī)系列的整改。
Tips:
關于歐盟 GDPR 原文,參見(jiàn):
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC
由漢武安全實驗室整理中文翻譯版網盤鏈接:
https://pan.baidu.com/s/1W0hvOcGzXfkNhOg8wDtLxg
全國(guó)信息安全标準化技(jì)術(shù)委員(yuán)會(huì)秘書處發布《網絡安全實踐指南(nán)——歐盟GDPR 關注點》:
static/file/1527251794595094938.pdf