GDPR重點條例分析
*本文原創作者:LJ_Monica,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載
2018年,歐盟釋出實施了GDPR,一時間引起了軒然大波,先後一些科技巨頭公司紛紛被控訴舉報違反GDPR,遭到罰款處罰。本文主要是結合條例和日常工作,做一個簡單的分析總結。
一、什麼是GDPR
GDPR,英文全稱:General Data Protection Regulation,中文翻譯為:通用資料保護條例。是歐洲聯盟的條例法規,其前身是歐盟在1995年制定的《計算機資料保護法》。
內容就是針對近年來使用者隱私被洩露造成的一系列問題,要求對歐盟所有成員國個人資訊進行收集、儲存、處理及轉移等活動時,要按照要求,採取技術和管理手段對個人敏感隱私資料進行保護。
二、適用範圍
條例原文:
1.本條例適用於在歐盟內部設立的資料控制者或處理者對個人資料的處理,不論其實際資料處理行為是否在歐盟內進行。 2.本條例適用於如下相關活動中的個人資料處理,即使資料控制者或處理者不在歐盟設立: (a)為歐盟內的資料主體提供商品或服務——不論此項商品或服務是否要求資料主體支付對價; (b)對發生在歐洲範圍內的資料主體的活動進行監控。
條例本身比較不好理解,總結一下就兩點:1.歐盟成員國的相關企業和組織在對個人資料進行處理時要遵守該條例。2.不屬於歐盟成員國的企業組織(比如咱們中國的企業)只要提供的商品或服務以及相關專案涉及到了處理歐盟成員國的公民個人資料就也必須遵守該條例
三、違規處罰
條例規定,對違反法規的企業、單位或組織的罰金最高可達2000萬歐元(約合1.5億元人民幣) 或者其上一年全球總營業額4% 的金額罰金,兩者取其最高。
是的,你沒聽錯,也沒有看錯,如果違反相關規定就是要罰這麼多,這麼重的處罰對一個公司或單位必將是重磅的一擊,一般的公司或單位可能根本經受不了這麼重的處罰,大公司的心肝也是顫抖的。
在GDPR剛實施後不久,一些國際巨頭公司如Facebook(臉書)和Google(谷歌)等遭到了舉報和投訴,成為GDPR法案的第一批被告。一些公司甚至直接關閉了針對歐盟使用者的業務。
四、國內動作
在有了Google這樣的大公司被罰的先例後,國內企業也加快了對GDPR學習和執行的步伐,緊鑼密鼓地進行著,生怕也上了被罰的名單。同時,國內近幾年不斷爆出使用者個人隱私資訊被洩露的訊息,大量的個人資訊流經黑市,也因此出現了一系列冒名頂替、電信詐騙等刑事案件。可以預判,國內網路安全監管機構很有可能效仿歐盟,照搬或者自己出臺相關法規,加強對公民個人資訊的保護。
五、條例重點分析
那麼,對於企業或者說企業的安全負責人,如何來實施相關措施來保證符合GDPR的相關規定呢?在這裡,我分享下我個人的見解。
1.資料處理原則
要求企業在進行資料收集、儲存和處理時要提供收集的目的用途、儲存的時間、收集的方式、收集的資料型別、儲存和處理資料的安全技術保障措施、資料操作審批許可權、取得使用者同意、簽訂契約以及針對兒童的相關條件等等。
企業在進行使用者資料的相關活動中必須要了解上述內容要求,並作出相關承諾,在收集之前就要提供類似使用者隱私宣告一類的內容,同時明確自己的責任和義務。
2.禁止的特殊型別資料
除GDPR法規第9條、第10條例外規定的情形,其他情況下應禁止處理這些特殊型別的資料,包括:種族或民族出身、政治觀點、宗教或哲學信仰、工會成員身份、基因資料、為了特定識別自然人的生物性識別資料、和自然人健康、個人性生活或性取向相關的資料等以及涉及犯罪定罪與違法相關的個人資料。
企業在進行使用者資料處理時一定要明確這些禁止的特殊型別資料,除非符合法規規定的例外情形,否則千萬不要試圖去收集和處理這些資料,以免受到影響。
3.資料主體訪問權
資料主體應該具有或者說企業應該提供給資料主體訪問個人資訊的處理目的、資料型別、資料接收者和接收者的型別、儲存的期限和依據標準、資料來源資訊、資料轉移保障措施等。
不管是系統提供的隱私說明或是簽訂的合同必須能讓資料主體或使用者能夠隨時訪問到這些資訊,只有這樣才能保障資料主體的訪問權。
4.資料主體更證權
資料主體要能夠或者說企業應該提供給資料主體對其個人資料更正和完善的權利。
當個人資訊被收集、儲存和處理時,要提供相關介面和入口讓資料主體或使用者隨時能夠對自己的個人資料進行修改,比如常見的使用者個人中心,可以對個人的資料進行修改更新。
5.資料主體擦除權(被遺忘權)
除條例第17條21(3)規定的情形,企業要提供給資料主體或使用者擦除其個人資料的權利。
大部分企業提供的應用或服務不會讓資料主體或使用者直接刪除個人資料的,基於此,可以提供接收資料主體擦除請求的通道,幫助使用者擦除一些不再必要的資料。
6.資料主體限制處理權
當資料主體對個人資料的準確性有爭議、認為處理是非法的、為了提起法律辯護等情形時,企業要提供給使用者限制處理權。
當發生這些情況時,使用者如果提出要求不讓企業繼續處理其個人資料時,企業必須接收,停止對其個人資料的處理,可以採取凍結賬號及切斷和其關聯的所有活動。
7.資料攜帶權
資料主體要能夠或者企業應該提供將已經經過整理、普遍使用和機器可讀的資料無障礙地從一個數據控制者到另一個控制者。
就是說企業收集、處理的使用者資料要進行格式化整理,並且能夠支援格式化匯出且機器可讀。
8.資料主體反對權
當企業為了一些直接營銷的目的,而未經資料主體或使用者同意的情況下直接使用與其相關的使用者畫像時,資料主體或使用者有權反對。
無論採取管理手段或技術手段,在使用使用者畫像進行營銷之前都必須徵得使用者同意,以免造成不必要的影響。
9.合規認證
企業要進行相關的隱私認證,積極參與GDPR合規認證,選擇有資質的、規範的認證機構,而不是簡簡單單隨便找個“所謂的隱私認證機構”或自認證,通過之後將徽章資質放到官網上面,一定得是GDPR的認證且是權威認證機構。
10.簽署協議
無論資料控制者或者資料處理者,在對個人資料進行處理時,必須簽訂保密協議。以及在涉及對使用者資料進行共享、傳輸和處理時與第三方或其他合作方進行合作時,必須簽訂相關的協議,明確責任,確保個人資料的保護得到應有的保證。
11.資料處理安全
企業在對資料進行收集、處理等活動時應該採取如下安全措施保證個人資料安全。
資料脫敏技術:要對個人資料進行匿名化。
資料加密技術:要對個人資料在儲存和傳輸過程中進行加密。
資料完整性技術:要對個人資料在儲存和傳輸過程中的完整性進行校驗,避免被篡改。
資料訪問控制技術:要對個人資料設定合理的訪問控制策略,避免未授權訪問和不正當的訪問。
資料備份技術:要對個人資料進行備份,保證可用性。
資料恢復和響應技術:要對個人資料及時進行恢復和響應測試,確保恢復和響應的可行性。
12.設立資料保護官
企業需要僱傭設立專門的資料隱私保護官員來監督GDPR的執行,以及對涉及的個人資料進行相關的安全防護。
以上,就是我結合GDPR相關條例和我工作當中實施執行的相關分享和心得總結,當然還有很多小的細節沒有一一列出來,大家可以以這個為參考繼續去詳細瞭解法規內容。以上純粹個人理解,如有不當之處,請留言或私信我,一起交流,一起提高。
*本文原創作者:LJ_Monica,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載