查看原文
其他

GDPR高压下业务合规指南已出炉,接下来从跨境电商开始聊To C应用怎么出海?

微软科技 2020-02-14


  致即将出航的各位舵手

《企业出海必看11课》已陆续起航,阅读今日份的“GDPR合规出海”干货前,扫描二维码报名将于本周五直播的:《企业出海必看11课(四)| 以跨境电商为例,聊透To C应用出海有多大空间?》


占好坐了?接下里就来回顾上周五直播的《企业出海必看11课(三)| GDPR天价罚单高压下,企业如何合规出海?》提纯后干货!读前划重点:

  • 什么是 GDPR 及 GDPR 的覆盖范围

  • GDPR 生效未满一年,欧盟已经开出罚单

  • 微软云对你的业务数据有哪些保障?

  • 规避 GDPR 风险四步法

内容来源:微软全渠道事业部资深云解决方案架构师 赵俊伟

配图来源:讲师直播PPT

*经「微软商业视角」整理编辑后推送


- 领航员介绍 -

2018年5月25日,一部新的欧洲隐私保护法正式宣告生效,为全球的隐私权、安全性和合规性树立了新标杆。

欧盟《一般数据保护条例》(GDPR)的根本宗旨是保护和实现个人的隐私权。GDPR 在尊重个人选择的同时,就如何管理和保护个人数据(不论数据的发送、处理或存储地点),设定了严格的全球性隐私保护要求。

这将意味着:企业不仅仅需要保证用户隐私信息的透明度,还必须采取必要操作保护数据,一旦发生信息泄露,可以强制企业提供对应的泄露报告,如果企业没有按照上述做法执行,违反了该规定,将有可能承担巨额违规罚金。

一、适用的地区范围:GDPR 不止针对欧盟境内的企业,它适用于所有为欧盟境内居民提供商品和服务、或收集和分析与欧盟居民有关数据的公司、政府机构、非营利组织及其他组织机构。就是说就算你的公司在中国,就算公司的所有员工都在国内,但是你的服务范围内有欧盟居民,也属于 GDPR 的管辖范围!

二、哪些个人信息和数据属于隐私数据?根据 GDPR 的标准:“个人数据”的定义非常广泛,指与已识别或者可识别的自然人有关的任何资料。

#举个例子#个人数据无处不在:包含客户信息的数据库、客户反馈的问卷、邮件正文或者附件的文档,照片、摄像头监控的存储设备、会员系统奖励记录、HR 的统计资料......所以不仅仅在企业的业务系统里面会有个人隐私数据,员工的 PC、外置的存储设备等等,都有可能存有这类数据。

GDPR 的具体要求可以总结为4个部分(快背!要罚考的):

· 根据 GDPR 规定,个人有权知道某一组织是否正在处理其个人数据,并了解其处理目的。个人有权要求删除或更正其数据,要求不再处理其数据,反对将其数据用于直接营销,并且有权撤销对其数据的某些使用的同意。数据可携权赋予了个人将其数据迁移至其他地点,并就此获得协助的权利。

· GDPR 要求组织机构根据数据的敏感度确保个人数据的安全。发生数据泄露事件时,数据控制者通常须在72小时内通知相关主管部门。此外,如果泄露事件可能给个人权利和自由造成高风险,组织机构还需要立即通知受影响的个人。

· 处理个人数据必须有合法依据。对于处理个人资料的任何同意必须“自由给予、具体、知情且明确”。为保护儿童,GDPR 规定了特殊的同意要求。

· 组织机构必须进行数据保护影响评估,以预测项目的隐私影响,并根据需要采取风险消减措施。必须就处理活动、处理数据的同意以及 GDPR 合规情况保存相关记录。

· GDPR 合规不是一次性活动,它是一个持续的过程。不遵守 GDPR 可能招致重大罚款。为确保 GDPR 的合规,我们鼓励组织机构建立隐私文化,保护个人对其个人数据享有的权益。

可以看到, GDPR 是一个非常全面,要求非常严格的法规。要符合 GDPR,企业不仅仅需要对内部的信息系统去做完善,对于自身管理和业务流程也需要做对应的调整。

微软在遵守复杂法规方面拥有丰富的经验,并乐于与客户分享这些经验,帮你的组织机构制定最佳路径,以符合 GDPR 的隐私要求。

凭借着云服务提供商中最为全面的合规和安全产品,以及广泛的合作伙伴生态系统,微软已做好随时为你的隐私和安全举措提供支持的充分准备:

在开展 GDPR 合规准备工作时,微软可以提供:

·满足你需求的技术。你可以充分利用我们广泛的企业云服务组合,以履行你根据 GDPR 承担的各方面义务,包括删除、更正、转移、访问个人数据和处理数据主体提出的反对处理其个人数据的请求。此外,你在使用微软技术时,还可以通过我们广泛的全球合作伙伴生态系统获得专家支持。

·契约式承诺。我们通过对云服务的契约式承诺为你提供支持,包括根据新的 GDPR 要求及时提供安全支持和通知。早在2017年3月,我们的微软全球云服务客户许可协议承诺在 GDPR 开始施行之前实现对该条例的合规。

·分享我们的经验。我们将分享我们的 GDPR 合规历程,以便你借鉴我们的经验,帮助贵组织机构制定最佳合规路径。

在开展 GDPR 合规工作前,首先要全面考察相关要求以及所有监管和法律隐私义务。例如,GDPR 所要求的用于防止、检测和响应漏洞和数据泄露的安全控制措施,与其他数据保护标准(例如 ISO 27018云隐私标准)要求的控制措施类似。


上图即为规避GDPR合规性风险四步法:

· 发现——识别持有的个人数据并确认其存储位置

· 管理——对个人数据的使用和访问进行管理

· 保护——设立安全控制措施,防范、监测并响应漏洞和数据泄露

· 报告——执行数据请求,提供数据泄露通知,并保留所需的文档记录

Microsoft Azure(微软公有云平台)提供的一项完全托管的云服务——“数据目录”,即可以帮你轻松地发现和识别数据源,可以将其作为数据源的注册系统和发现系统。数据源在 Microsoft Azure 数据目录完成注册后,其元数据将由服务编入索引,你便可以借此进行搜索,发现所需的数据。

· 身份和访问管理:微软云的 *Azure Active Directory 负责云中的身份和访问管理。该解决方案管理身份并控制对 Microsoft Azure、本地及其他云资源、数据和应用程序的访问。借助 Azure Active Directory Privileged Identity Management,你可以为符合条件的用户分配临时的实时(JIT)管理权限,以管理 Azure 资源。

扫描二维码了解

 *Azure Active Directory 

· 访问权限管理:*Azure基于角色的访问控制(RBAC)可帮你管理对Azure资源的访问。这使你可以根据向用户分配的角色,向其授予相应的访问权限,因此可以轻松地将授予用户的权限限制在执行作业所需的范围内。还可以根据你组织机构的业务模式和风险承受度对 RBAC 进行个性化定义。

扫描二维码了解

 *Azure基于角色的访问控制(RBAC)

> 阅读更多:*《数据分类》白皮书为 Azure 的数据分类提供了具体指导,并介绍了数据分类技术、流程、术语和实施的基本原理。该文档同时提供了大量其他信息和链接。

扫描二维码观看白皮书

*《数据分类》

· · ·

01

篇幅有限,更多关于第三步“数据保护”和第四步“报告”的实用工具与方法,扫描二维码观看课程录播或下载本课 PPT!

(*认真观看回放,触发隐藏《企业出海白皮书》)

02.

你的企业或已经出海,或即将出海,或还在观望机会......

如希望在业务合规或高效出海领域与微软合作,识别二维码完善合作意向表单即可。

03.

再次提醒——本周五15:00即将上线《企业出海必看11课(四)》以跨境电商为例,聊透To C应用出海有多大空间?》

抓紧最后报名机会(↓),触发报名福利:1)直播前自动收取直播间链接;2)直播后可下载讲师 PPT 及免费《企业出海白皮书》3)And...?


- 领航员介绍 -

出海第四课

企业出海必看11课:以跨境电商为例,聊透To C应用出海有多大空间? 

直播时间

2019.04.19   15:00-16:00

重点剧透

• 跨境电商的行业发展情况及机会分析

• 跨境电商系统整体的架构及其面临的挑战

• 跨境电商系统关键系统的架构建议和最佳实践

• 跨境电商案例分析


扫码报名《企业出海必看11课(四) | 以跨境电商为例,聊透To C应用出海有多大空间? 》

加群方式

> 加群收益:与群内专家讲师近距离、随时与企业出海同路者交流经验、获取学习资料、及时获取课程提醒

> 长按识别以下二维码加小助手“微爷”微信>截图告诉小助手你已报名《企业出海必看11课》>微爷审核后,帮你加入企业出海学习交流群


推荐阅读

挖掘数字宝藏,黄金矿山的智能炼金术

人工智能让食品 “零浪费” 的梦想成真

保护濒危河狸,还有机会把数千元豪礼抱回家?


最新活动

玩转微软市场资讯?用这个就够了!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存