系列解读 | 他山之石可以攻玉,GDPR的详细解读来啦
正文共:2935字
热点
导读
近期,许多小伙伴都在关注国家网信办网络安全审查办公室发布对“滴滴”、“运满满”、“货车帮”、“BOSS直聘”实施网络安全审查的公告这件事情。作为网络安全国家队,小安也想针对此事和大家做一些探讨。
对于在海外上市的公司来说,都会涉及数据跨境问题。那么在欧盟做数据跨境业务的时候应该注意些什么呢?
1
GDPR的前世今生
GDPR全称General Data Protection Regulation-欧盟《通用数据保护条例》(下称“GDPR”)于2018年5月25日正式生效。GDPR全文共99条263页。GDPR给欧盟的数据安全带来了全面制度改革,其核心目标是将个人数据保护深度嵌入组织运营,真正将抽象的保护理论转化为实实在在的行为实践。对于企业而言,小至隐私政策、业务流程,大到信息技术系统、战略布局,无一不需要重新审视规划。
2
为什么有了1995年的《个人数据
保护指令》,还要出台GDPR呢?
1995年的《个人数据保护指令》(下称《指令》)共34个简单条文的适用范围取决于属地因素,要么机构的成立地在欧盟,要么利用了欧盟境内的设备进行了个人数据的处理活动(仅仅是传输通道除外)。GDPR不仅考虑属地因素,还增加了属人因素。
3
受GDPR约束的机构有哪些呢?
受GDPR约束的机构主要有三类:一是成立地在欧盟的机构。二是成立地在欧盟以外的机构,只要其在提供产品或者服务的过程中(不论是否收费)处理了欧盟境内个体的个人数据,将同样适用于GDPR。三是服务对象为欧盟境内的用户。任何网站甚至手机软件(APP)只要能够被欧盟境内的个人所访问和使用,产品或服务使用的语言是英语或者特定的欧盟成员国语言、产品标识的价格为欧元,都可以被理解为该产品、服务的目标用户包括欧盟境内用户,从而需要适用GDPR。这也是缘何GDPR在全球引起极大震动的核心原因之一。不论是银行、保险、航空等传统行业,还是电子商务、社交网络等新兴领域,只要涉及向欧盟境内个人提供服务并处理个人数据,都将落入GDPR适用范围,除非放弃欧盟5亿发达人口市场!
4
欧盟颁布GDPR的核心思想是?小安认为,GDPR的核心思想有以下四条:第一,GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。第二,GDPR对如何收集、使用和存储消费者数据,包括在欧盟境内开展业务的外国公司,都提出了严格的要求。第三,发生数据外泄和数据丢失的非合规问题时,将会被严厉处罚。第四, 安全的网络是对数据保护的基本技术基础。
5
GDPR是一部针对个人数据保护的条例,
那什么是个人数据呢?
个人数据,也称为个人信息,是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。值得注意的是根据用户画像可以确定某一类人的信息也是属于个人数据哦。
6
中国企业在什么情况下需要遵循GDPR?
那现在我们假设一下具体场景,来一波Q&A问答,看看需不需要遵循GDPR。Q:在欧盟设有分支机构,但个人处理系统部署在中国,或只处理中国客户的个人信息,是否收到GDPR约束呢?
A:受约束。不论个人信息是否属于欧盟公民,或个人数据的处理是否发生在欧盟境内,只要在欧盟境内注册实体,就会受到GDPR的约束。
Q: 分支机构在国内,为包括欧盟公民在海外市场提供产品和服务,是否受到GDPR约束?
A:受约束。虽然机构实体设立在欧盟境内,但其业务运营目标涉及到处理欧盟公民个人信息,都受到GDPR的约束,无论产品或服务是否免费。
Q:分支机构在国内,其业务运营包括欧盟市场,但并不直接对欧盟境内自然人提供服务,而是帮助欧盟合作伙伴提供大数据分析,或者网站会记录用户的cookies,是否受到GDPR约束?
A:受约束。服务涉及对欧盟境内自然人的追踪和分析,即受到GDPR的约束。如果大数据平台使用了第三方云服务提供商,云服务提供商作为数据处理者也受到GDPR的约束。
Q:分支机构在国内,其产品和服务也只面向国内市场,但不排除有欧盟公民在国内使用服务期间可能涉及欧盟公民的个人信息处理,是否受到GDPR的约束?
A:不受约束。处理欧盟公民的个人信息属于非主观意愿。
7
企业和机构应如何应对GDPR?
● 建立隐私保护体系:基于GDPR中的不同领域评估整改工作,制定隐私保护规划,持续降低风险。
8
GDPR主要规定了哪些责任?GDPR主要规定了数据控制人和处理人的责任,主要有以下几点:● 维护良好的数据处理活动的审计记录;● 识别、评估、规避或降低数据处理活动中的隐私泄露风险;● 在其进行跨境个人数据传送时所应遵循的国际性政策,必须确保数据跨境传输的安全性;● 向数据监管单位提供通知“不能以不正当理由延误通知,至少应当在发现数据泄露事件之时起72小时以内”● 如果数据控制人需要日常性、系统性地处理大规模个人数据,或处理特殊类别的欧盟个人数据时,则必须指派数据保护专员
9
当发生数据泄露的安全事件
应急处置步骤是什么?
首先,对于所泄露的个人数据的性质进行描述,包括数据主体的分类和数量,以及受到影响的个人数据记录;其次,组织数据防护专家对个人数据泄露可能造成的后果进行评估;然后,组织数据防护人员对数据泄露事件进行处置,以减轻可能造成的负面影响;最后,如果数据处理者经历了个人数据泄露,建议尽快通知数据控制者;
10
在欧盟开展业务的机构,
如未遵循GDPR,会受到什么处罚?
1)来自监管机构的处置:● 要求违法者提供相关信息,或者向监管机构提供访问此类信息的接口;现场调查、审计;● 命令修改、删除或者销毁个人数据;● 可以采取临时性的或者限定性的数据处理禁令;2)课以罚金。依据违反的严重性,有两级最高罚款:● 大于全球年营业额的2%或1000万欧元,以较高者为准;● 大于全球年营业额的4%或者2000万欧元,以较高者为准;
3)如果数据主体不满意监管机构作出的决定或者监管机构不作为,数据主体可寻求司法救济。数据主体也可以通过司法途径向数据控制者、数据处理者主张因其违反条例而致使数据主体遭受物质上或者非物质上的损害。
好啦,以上就是本期关于小安就GDPR给大家分享的所有内容啦!关于GDPR小伙伴们有更多想要了解或者讨论的,请在后台给小安留言吧!
感谢您抽出
.
.
来阅读本文
来源 | 卫士通
编审 | 廖婷婷 编辑 | 严天鸽 校对 | 熊盖尧