5月25日,全球第一部以正式法典形式出現(xiàn)的歐盟《一般數(shù)據(jù)保護(hù)條例》(簡稱GDPR)將正式生效,距離這部堪稱目前這個(gè)星球上最先進(jìn)和最嚴(yán)格的隱私保護(hù)制度生效,只剩2天啦!
什么是GDPR,在數(shù)據(jù)保護(hù)方面的規(guī)定又是什么,它與中國企業(yè)之間有什么關(guān)系,中國企業(yè)應(yīng)該如何防范?今天,敏捷將帶您一一解讀。
什么是GDPR
2016年4月27日,歐盟議會(huì)通過了《一般數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)法律條例,用于取代1995年發(fā)布的過時(shí)的數(shù)據(jù)保護(hù)指令(DPD)。
新的指令完全更新了歐盟成員國以及任何與歐盟各國進(jìn)行交易或持有公民(歐洲經(jīng)濟(jì)區(qū)公民)數(shù)據(jù)的公司必須存儲(chǔ)安全和管理個(gè)人數(shù)據(jù)的方式,將在2018年5月25日生效。
GDPR生效后,對(duì)個(gè)人數(shù)據(jù)的隱私和保護(hù)將更加的透明和具有操作性。
GDPR作為歐盟頒布的法律條例和我們中國企業(yè)有什么關(guān)系呢?那就不得不介紹一下GDPR的適用范圍了。
GDPR的適用范圍
1.本法適用于設(shè)立在歐盟內(nèi)的控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理,無論其處理行為是否發(fā)生在歐盟內(nèi)。
2.本法適用于對(duì)歐盟內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)處理,即使控制者和處理者沒有設(shè)立在歐盟內(nèi),其處理行為:
(a)發(fā)生在向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中,無論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對(duì)價(jià);
(b)或是對(duì)數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行的監(jiān)控的。
3.本法適用于設(shè)立在歐盟之外,但依據(jù)國際公法歐盟成員國法律可適用地的控制者對(duì)個(gè)人數(shù)據(jù)的處理。
這就意味著只要中國的企業(yè)為歐盟境內(nèi)的數(shù)據(jù)主體提供了服務(wù),即使其在歐盟境內(nèi)沒有設(shè)立任何分支機(jī)構(gòu),也依然受到GDPR的管轄,對(duì)中國企業(yè)的信息安全管理提出了更高的要求。
在數(shù)據(jù)保護(hù)方面的要求
GDPR被稱為“史上最嚴(yán)的數(shù)據(jù)保護(hù)條例”,從三個(gè)方面對(duì)企業(yè)數(shù)據(jù)保護(hù)提出了嚴(yán)格要求:正確的使用數(shù)據(jù);確保數(shù)據(jù)的訪問安全;保證數(shù)據(jù)的可用性。同時(shí),GDPR要求企業(yè)將更大范圍的數(shù)據(jù)納入到數(shù)據(jù)管理體系當(dāng)中,特別是那些企業(yè)邊緣的個(gè)人數(shù)據(jù),而且不僅僅是保證數(shù)據(jù)的可用性,還需要對(duì)數(shù)據(jù)具有足夠的洞察力以確保合規(guī)。
① 公司必須設(shè)立一個(gè)數(shù)據(jù)保護(hù)官(Data Protection Officer,DPO)。數(shù)據(jù)保護(hù)官必須直接匯報(bào)給最高管理層,其職責(zé)是監(jiān)管和規(guī)范數(shù)據(jù)負(fù)責(zé)人和數(shù)據(jù)處理者的數(shù)據(jù)活動(dòng)。
② 公司需要保留用戶數(shù)據(jù)監(jiān)管信息,并定期刪除無關(guān)數(shù)據(jù)。
③ 公司必須部署合適的工具用以保護(hù)數(shù)據(jù),以防數(shù)據(jù)丟失、損壞或泄露。當(dāng)發(fā)生任何數(shù)據(jù)泄露相關(guān)事件,數(shù)據(jù)管控者與數(shù)據(jù)處理者需要在72小時(shí)內(nèi)進(jìn)行報(bào)告。
④ 公司處理個(gè)人數(shù)據(jù)必須要有合法理由,包括數(shù)據(jù)主體的同意、為了簽訂或履行合同需要、遵守法定義務(wù)的需要、為公共利益或行事政府授權(quán)以及為追求數(shù)據(jù)控制者的合法利益等。
⑤ 當(dāng)用戶不再希望個(gè)人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒有合法理由保存該數(shù)據(jù),用戶有權(quán)要求公司刪除數(shù)據(jù)。
⑥ 用戶有權(quán)并可以無障礙的將其個(gè)人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個(gè)信息服務(wù)提供者處轉(zhuǎn)移至另外一個(gè)信息服務(wù)提供者處。
⑦ 公司禁止收集處理反映個(gè)人種族或民族起源、政治觀點(diǎn)、宗教/哲學(xué)信仰、工會(huì)組織成員的數(shù)據(jù)、個(gè)人基因識(shí)別數(shù)據(jù)、生物數(shù)據(jù)、涉及健康、性生活或性取向的數(shù)據(jù)。但在例外的情況下也可以收集加工以上數(shù)據(jù),如已獲得個(gè)人的明示同意,或數(shù)據(jù)控制者因處理勞動(dòng)關(guān)系、社會(huì)保險(xiǎn)之需要在法律允許的范圍內(nèi)已采取了適當(dāng)?shù)谋Wo(hù)手段等。
⑧ 公司處理16歲以下兒童的個(gè)人數(shù)據(jù),必須獲得該兒童父母或監(jiān)護(hù)人的同意或授權(quán)。各成員國可對(duì)上述年齡進(jìn)行調(diào)整,但是不得低于13歲。
⑨ 公司需要實(shí)現(xiàn)數(shù)據(jù)的“缺省保護(hù)隱私”,即這種數(shù)據(jù)保護(hù)的隱私設(shè)計(jì)需要有默認(rèn)的兩個(gè)原則,一是數(shù)據(jù)采集與數(shù)據(jù)使用目的的一一對(duì)應(yīng)原則;二是數(shù)據(jù)采集的最小化原則。
法案對(duì)于企業(yè)違規(guī)設(shè)置了昂貴的處罰規(guī)定,對(duì)于不遵守GDPR法案的企業(yè)處以嚴(yán)厲的制裁和巨額罰款,根據(jù)違規(guī)性質(zhì)的嚴(yán)重程度,分為一般違法行為和嚴(yán)重違法行為。對(duì)于一般違法行為,處以全年?duì)I收額2%或1000萬歐元的罰款,兩者以高者為限;對(duì)于嚴(yán)重違法行為,處以全年?duì)I收額4%或2000萬歐元的罰款,兩者以高者為限。此外,法案支持所有受企業(yè)違規(guī)影響遭受損失的個(gè)人向企業(yè)提出損失賠償的請(qǐng)求,為民事訴訟提供了法律基礎(chǔ)。
如何高效、簡化、統(tǒng)一的滿足這些數(shù)據(jù)保護(hù)的需求,這將是每個(gè)企業(yè)都將面臨的挑戰(zhàn)。GDPR生效在即,中國企業(yè)如何做到未雨綢繆、對(duì)數(shù)據(jù)進(jìn)行合規(guī)保護(hù)?
中國企業(yè)防范措施
① 制定新的戰(zhàn)略,著眼改善自身業(yè)務(wù)。
為應(yīng)對(duì)法案實(shí)施,中國企業(yè)應(yīng)該從企業(yè)戰(zhàn)略角度,進(jìn)行周密地準(zhǔn)備,包括與歐盟成員國相關(guān)數(shù)據(jù)保護(hù)部門和利益相關(guān)方密切合作,了解其對(duì)GDPR監(jiān)管力度、配套的計(jì)劃等等。符合GDPR合規(guī)要求將成為一項(xiàng)潛在的競爭優(yōu)勢,合規(guī)將提高消費(fèi)者對(duì)企業(yè)的信心,而且,其所需的技術(shù)和流程改進(jìn)應(yīng)該能夠提高組織管理和保護(hù)數(shù)據(jù)的效率。
② 嚴(yán)格自查評(píng)估,制定匯報(bào)GDPR合規(guī)進(jìn)度的計(jì)劃。
GDPR的實(shí)施,必將使業(yè)務(wù)涉及數(shù)據(jù)處理或檢測的企業(yè)受到影響。企業(yè)需要全面檢查自己公司存儲(chǔ)和處理的歐盟公民數(shù)據(jù),評(píng)估安全風(fēng)險(xiǎn)。將自己平臺(tái)數(shù)據(jù)的操作與GDPR的有關(guān)內(nèi)容進(jìn)行嚴(yán)格比對(duì),對(duì)不合規(guī)部分做出整改。清點(diǎn)應(yīng)用程序和完成“處理活動(dòng)記錄”,發(fā)現(xiàn)和調(diào)查與數(shù)據(jù)相關(guān)的任何風(fēng)險(xiǎn),并確定保護(hù)這些數(shù)據(jù)所需的適當(dāng)安全級(jí)別。
③ 制定響應(yīng)機(jī)制和數(shù)據(jù)保護(hù)計(jì)劃。
根據(jù)該法案規(guī)定,企業(yè)需設(shè)立數(shù)據(jù)保護(hù)官等職位,定期審查數(shù)據(jù)相關(guān)政策確保企業(yè)自身符合GDPR并使企業(yè)業(yè)務(wù)順利運(yùn)行。完成數(shù)據(jù)安全漏洞檢測,確保發(fā)生情況時(shí)及時(shí)處置,同時(shí),保持與利益相關(guān)方的有效聯(lián)動(dòng)。
大數(shù)據(jù)時(shí)代,數(shù)據(jù)量呈井噴式增長,數(shù)據(jù)作為企業(yè)的核心資產(chǎn),其隱私問題已經(jīng)成為數(shù)字經(jīng)濟(jì)時(shí)代的頂層問題,自由合法的數(shù)據(jù)流通成為數(shù)字時(shí)代經(jīng)濟(jì)持續(xù)健康發(fā)展的基石。敏捷科技十八年來聚焦“讓數(shù)據(jù)更安全”,專注于為企業(yè)提供合規(guī)的一體化數(shù)據(jù)安全解決方案,全方位保護(hù)和管理數(shù)據(jù)并符合GDPR規(guī)則要求,助力中國企業(yè)海外業(yè)務(wù)布局。