GDPR來(lái)了(le)!這(zhè)些(xiē)隐私保護知(zhī)識你(nǐ)get了(le)麽?
發布時(shí)間: 2018.05.30 | 來(lái)源: 帕拉迪

在過去的一個周末,歐盟史上(shàng)最嚴厲隐私保護法GDPR正式生效。GDPR是二十年來(lái)數據隐私規則領域發生的最重要變化,給歐盟、乃至全世界的企業都将帶來(lái)重大(dà)影響。無論企業是否在歐盟境内,隻要與歐盟企業發生業務往來(lái),或涉及存儲、處理(lǐ)、交換任何歐盟公民的數據,都必須嚴格遵守該條例。

 

想要快(kuài)速了(le)解法案内容?這(zhè)些(xiē)關于GDPR的知(zhī)識點可以幫你(nǐ)快(kuài)速理(lǐ)清脈絡。


 


01什(shén)麽是GDPR?

《一般數據保護法案》(General Data Protection Regulation (GDPR))由歐洲議(yì)會(huì)投票通過,這(zhè)項法案賦予歐盟公民更多的個人數據控制權,另外(wài)對(duì)那些(xiē)收集、處理(lǐ)和(hé)存儲個人數據的公司提出更高(gāo)的責任要求,新法案由11章共99條組成,于2018年5月25日正式生效。(→_→完整法案内容可在文(wén)末獲取查看(kàn))

GDPR作(zuò)爲一套用(yòng)來(lái)保護歐盟普通公民個人隐私信息數據的新法規,對(duì)個人信息的保護及監管達到(dào)了(le)前所未有的高(gāo)度,是史上(shàng)最嚴格的數據保護法案。

 

02适用(yòng)的範圍

    GDPR适用(yòng)的數據主體,不僅僅是企業,也(yě)包括決定和(hé)參與個人數據處理(lǐ)的任何個人、組織,涵蓋政府部門(mén)、公共組織、司法機構及其他(tā)實體。上(shàng)述個人或實體(除歐盟境内企業及機構,隻要涉及向歐盟境内個人提供服務并處理(lǐ)或監控個人數據)作(zuò)爲數據控制者或數據處理(lǐ)者的均在适用(yòng)實體範圍内。

 

03涉及哪些(xiē)個人數據

“個人數據”定義是指任何指向一個已識别或可識别的自(zì)然人信息。該可識别的自(zì)然人能(néng)夠被直接或間接的識别,尤其是通過參照諸如姓名、身份證号碼、定位數據、在線身份認證标識,或者通過參照針對(duì)自(zì)然人的一個或多個要素(物理(lǐ)、生理(lǐ)、遺傳、心理(lǐ)、經濟、文(wén)化或社會(huì)身份)。這(zhè)意味着GDPR擴大(dà)了(le)定義,包括“已識别”和(hé)“可識别”的數據信息,已識别個人數據指傳統個人數據(姓名、照片、電子郵件、電話(huà)号碼、家庭住址、身份證号碼、銀行帳号或社保卡号等),可識别個人的信息是指位置定位數據、移動設備ID以及某些(xiē)情況下(xià)的IP地址、生物特征數據和(hé)遺傳數據等。

 

04對(duì)兒童數據的特别規定

GDPR在“信息社會(huì)服務中适用(yòng)兒童同意的條件”規定,如果直接向兒童提供信息社會(huì)服務時(shí),該兒童的年齡應當爲16周歲以上(shàng)。若兒童未滿16周歲,隻有在征得監護人同意或授權的範圍内其處理(lǐ)才合法。各成員國可以對(duì)上(shàng)述年齡進行調整,但(dàn)是不得低(dī)于13歲。組織如涉及兒童個人數據的處理(lǐ),應予以特别保護。

 

05數據洩露強制通知(zhī)的規定

GDPR規定,在發生個人數據洩露時(shí),除非個人數據的洩露不會(huì)産生危及自(zì)然人權利和(hé)自(zì)由的風(fēng)險,否則數據控制者應在獲知(zhī)洩露之時(shí)起的72小(xiǎo)時(shí)内向監管機構發送通知(zhī)報(bào)告。組織應注意如發生個人數據洩露等安全事(shì)件,需履行的通報(bào)和(hé)告知(zhī)義務。

 

06處罰的規定

不遵守規定的數據隐私法規的後果就是會(huì)受到(dào)嚴厲的制裁和(hé)巨額的罰款。 


07GDPR對(duì)違規組織采取根據情況分級處理(lǐ)的方法:

如果組織未按要求保護數據主體的權益、做好(hǎo)相關記錄,或發生了(le)更爲嚴重的侵犯個人數據安全的行爲,如未獲得客戶同意處理(lǐ)數據,或核心理(lǐ)念違反“隐私設計(jì)”要求,或違反規定将個人數據跨境傳輸,或違反歐盟成員國法律規定的義務等,組織有可能(néng)面臨最高(gāo)2000萬歐元或組織全球年營業額的4%(兩者取其高(gāo))的巨額罰款。


 


漢武安全實驗室針對(duì)GDPR中的核心要點深度分析了(le)國内企業的應對(duì)策略。這(zhè)裏的應對(duì)建議(yì)涉及到(dào)系統架構、人員管理(lǐ)、流程管理(lǐ)、風(fēng)險評估、業務邏輯、應急響應等衆多環節,以下(xià)内容可作(zuò)爲企業自(zì)查的一種分析方式

 

1.必須明(míng)确詢問用(yòng)戶,是否允許同意搜集他(tā)們的數據。必須以清晰的方式詢問用(yòng)戶,而不能(néng)以任何方式默認用(yòng)戶授予開(kāi)發者數據使用(yòng)許可權。

2.提供自(zì)助登錄入口,可供查詢、更新個人信息;提供賬戶銷毀/删除功能(néng),确定服務或協議(yì)終結,可允許選擇銷毀賬号及信息,并删除一切有關個人數據,包括第三方賬戶登錄(可以通過加密數據,然後删除密鑰)。

3.需要加強密鑰管理(lǐ)以保護加密的數據,合理(lǐ)區(qū)分數據控制者和(hé)數據處理(lǐ)者,對(duì)權限和(hé)身份進行合理(lǐ)劃分。

4.識别數據存儲的位置(特别需要注意雲計(jì)算(suàn)服務資源),數據的類型及風(fēng)險級别,嚴格把控信息數據的訪問控制。

5.遵守“知(zhī)其所需”(Need to know)原則,隻收集所需要的最少個人數據,并采取技術和(hé)管理(lǐ)措施來(lái)保護數據的存儲安全和(hé)傳輸安全,避免個人數據被篡改、丢失、未經授權披露或被惡意攻擊。

6.設置專門(mén)的隐私保護人員,實施問責機制;建立數據生命周期管理(lǐ),定期更新或銷毀,定義流程及描述以對(duì)數據洩露做出敏捷反應。

7.建立内部隐私管控制度,并與專業數據安全服務公司保持聯系。

8.進行全面的風(fēng)險評估;應用(yòng)關鍵安全控制來(lái)恰當地檢測、管理(lǐ)和(hé)緩解數據處理(lǐ)環境中的任何漏洞;根據企業策略配置系統,并維護該配置;持續監視(shì)日志文(wén)件,警惕任何潛在數據洩露或漏洞。

 

面對(duì)“史上(shàng)最嚴”的數據監管條例,帕拉迪擁有專業資深的數據安全專家團隊爲其保駕護航。在确保企業和(hé)産品滿足GDPR合規要求的前提下(xià),帕拉迪也(yě)将爲渠道(dào)合作(zuò)夥伴和(hé)客戶提供數據安全方面的支持和(hé)建議(yì)。

 

01

帕拉迪的漢武安全實驗室是由一支專業的數據安全專家組成的團隊,該團隊可以幫助客戶對(duì)數據保護條例的具體要求及數據安全現(xiàn)狀進行解讀與分析,協助客戶發現(xiàn)數據安全防護弱點,建立數據安全防護,提升整體信息安全防護能(néng)力與等級。

02

帕拉迪産品從(cóng)設計(jì)之初,就擁有中英操作(zuò)界面,并聯合合作(zuò)夥伴一起打開(kāi)了(le)海外(wài)市場。在産品的海外(wài)銷售過程中,我們根據各國的法律、文(wén)化、政策等要求都做了(le)較爲嚴格的産品整改。從(cóng)使用(yòng)界面、交付流程、報(bào)表展現(xiàn)、底層加固、文(wén)化适應等多方面,與合作(zuò)夥伴一起進行了(le)上(shàng)千項耗時(shí)一年多時(shí)間的整改工(gōng)作(zuò)。帕拉迪的産品不但(dàn)交付到(dào)了(le)亞非拉,同時(shí)也(yě)獲得了(le)歐盟某成員的國電信級用(yòng)戶的信賴支持。面對(duì)新的GDPR法案要求,帕拉迪已具備适用(yòng)的根基,并且有能(néng)力、有經驗根據條例要求進行一系列的整改。

 

Tips:

關于歐盟 GDPR 原文(wén),參見:

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

由漢武安全實驗室整理(lǐ)中文(wén)翻譯版網盤鏈接:

https://pan.baidu.com/s/1W0hvOcGzXfkNhOg8wDtLxg

全國信息安全标準化技術委員會(huì)秘書處發布《網絡安全實踐指南——歐盟GDPR 關注點》:

upload/2018-05-25/1527251794595094938.pdf


Copyright © 2019 All Rights Reserved Designed
杭州卓測網絡科技有限公司