数字化浪潮席卷全球,越来越多的企业在利用技术来彻底改变企业的业绩或触角。数据作为数字化转型的根基,对企业来说至关重要。据调查发现,在全球数据泄露事件中,违规事件发生率较高的行业:零售业占16.7%; 金融与保险业占13.1%; 医疗机构占11.9%。(Trustwave 2018年全球安全报告)。而这几个行业正是数字化转型的先驱。发展与风险并存,在数字化过程中对数据的保护成为了企业的头等大事。
2017年6月1日施行的《中华人民共和国网络安全法》,强调了对基础设施及个人信息的保护。2018年5月1日实施的《信息安全技术个人信息安全规范》,从国家标准层面,明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。而在2018年5月25日正式生效的GDPR,被称为欧盟“史上最严”条例,业已产生了巨大的影响:
- Google、Facebook,在GDPR生效日分别收到了欧盟39亿欧元、37亿欧元罚款的诉讼。苹果、亚马逊、LinkedIn等公司也面临隐私监管机构提起的诉讼。
- GDPR生效后,芝加哥时报、洛杉矶时报等多家美国媒体网站在欧洲的服务器关停。
- 微信海外版、新浪微博国际版等多家互联网企业向欧洲区用户更新隐私政策,请求重新授权。QQ停止部分国际版服务,并将推出新版本,提示用户升级。国航、东航均对其APP及官方网站隐私条款进行了更新。
- 海尔、华为早已雇请专门团队应对新规。
为此,安全值&谷安研究院对GDPR深度解读,将要点进行了归纳,助您快速了解GDPR。
1. 适用性(中国企业)
2. 数据相关方
- 数据主体(data subject):享有数据权利的主体,个人数据所指向之自然人为数据主体
- 控制者(controller):义务主体,指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组
- 数据处理者(processor):义务主体,代表控制者,处理个人数据的自然人、法人或者其他组织
- 第三方(Third party):指未对“个人数据”有任何授权的其他方
3. 个人数据定义
“任何指向一个已识别或可识别的自然人的信息”,例如:
- 基本的身份信息:姓名、地址和身份证号码…
- 网络数据:位置、IP地址、Cookie数据和RFID标签…
- 医疗保健和遗传数据;生物识别数据,如指纹、虹膜等;种族或民族数据;政治观点;性取向。
4. 数据处理定义
“指对个人数据或个人数据集合上执行的任何操作”
5. 数据处理原则
确保数据在整个数据生命周期的安全
- 数据收集:收集目的明确、合法,数据主体同意授权
- 数据处理:处理过程合法、透明,具备保障
- 存储:安全、保密,存储期受严格限制
6. 数据主体权利
- 许可权
- 访问权
- 纠正权
- 限制处理权
- 反对权
- 可携权
- 被遗忘权
- 告知权
7. 同意条件
- 数据处理的前提是用户同意,如果用户同意是在包含其他事项的书面声明中,则该书面声明中的同意请求应当具有明显的辨识度并使用清楚、直白的语言,以容易理解且容易获取的方式呈现,否则视为无效。
- 用户有权随时撤回其同意,同意的撤回应当和同意的作出一样容易。
- 儿童的同意:16岁以上儿童的同意可以是处理其个人数据的合法条件,不满16岁的儿童,只有当其监护人授权同意时,处理其个人数据才是合法的。
8. 组织责任
- 监测、审查、评估数据处理程序
- 最小化的数据处理及保留
- 为数据处理建立保障
- 记录数据处理的策略、程序、具体操作
9. 数据保护官(DPO)
如果组织大规模的监控或处理大量的个人数据,则必须任命数据保护官。职责如下(至少包括):
- 向企业和企业员工提供GDPR数据保护方面的信息和建议;
- 对企业GDPR合规以及数据保护方面所做的工作进行监管;
- 对企业DPIAs方面工作的参与和管理;
- 同监督机构合作,负责数据外泄的紧急汇报;
- 协助实现数据主体的数据权利;
10. PIA(隐私影响评估)
当进行有风险的或大规模数据处理时,组织必须进行隐私影响评估。
包括以下步骤:
- A.项目PIA需求分析:分析PIA是否为该项目的必须流程
- B.项目涉及信息描述:包含涉及什么信息、如何收集、用途、是否涉及转移等
- C.风险识别:数据处理对数据主体及企业带来风险的识别
- D.方案评估:评估方案措施、效果及成本
- E.方案执行:执行方案并记录执行过程、相关决策。
- F. PIA结果整合及监控:将PIA结果及整改措施融入项目,并不断监控PIA执行及优化。
11. PBD(隐私设计)
在提供的产品、服务的各个环节,都应充分考虑隐私保护,使之成为组织工作中必不可少的一部分。
12. 关于罚金
监管机构可征收高达2000万欧元的严重处罚,或者上一年全球年营业额的4%,以较高者为准。
制裁相关因素:
- 违规的性质、严重程度和违规的持续时间
- 违规是故意的还是因疏忽导致
- 对个人身份信息处理的控制程度
- 违规是单个事件还是重复事件
- 涉及的数据主体遭遇损害的程度
- 为了减轻损害是否采取行动
- 由违规产生的财务预期或收益
- 与数据保护机构的合作情况
13. 数据外泄通告机制
组织在发生数据外泄时必须在72小时内,即刻通报给监管机构。并且,若外泄会给个人带来风险,也应该及时通知当事人。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】