5月25日,全球第一部以正式法典形式出現(xiàn)的歐盟《一般數(shù)據(jù)保護條例》(簡稱GDPR)將正式生效,距離這部堪稱目前這個星球上最先進和最嚴格的隱私保護制度生效,只剩2天啦!
什么是GDPR,在數(shù)據(jù)保護方面的規(guī)定又是什么,它與中國企業(yè)之間有什么關(guān)系,中國企業(yè)應(yīng)該如何防范?今天,敏捷將帶您一一解讀。
什么是GDPR
2016年4月27日,歐盟議會通過了《一般數(shù)據(jù)保護條例》(以下簡稱GDPR)法律條例,用于取代1995年發(fā)布的過時的數(shù)據(jù)保護指令(DPD)。
新的指令完全更新了歐盟成員國以及任何與歐盟各國進行交易或持有公民(歐洲經(jīng)濟區(qū)公民)數(shù)據(jù)的公司必須存儲安全和管理個人數(shù)據(jù)的方式,將在2018年5月25日生效。
GDPR生效后,對個人數(shù)據(jù)的隱私和保護將更加的透明和具有操作性。
GDPR作為歐盟頒布的法律條例和我們中國企業(yè)有什么關(guān)系呢?那就不得不介紹一下GDPR的適用范圍了。
GDPR的適用范圍
1.本法適用于設(shè)立在歐盟內(nèi)的控制者或處理者對個人數(shù)據(jù)的處理,無論其處理行為是否發(fā)生在歐盟內(nèi)。
2.本法適用于對歐盟內(nèi)的數(shù)據(jù)主體的個人數(shù)據(jù)處理,即使控制者和處理者沒有設(shè)立在歐盟內(nèi),其處理行為:
(a)發(fā)生在向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中,無論此項商品或服務(wù)是否需要數(shù)據(jù)主體支付對價;
(b)或是對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行的監(jiān)控的。
3.本法適用于設(shè)立在歐盟之外,但依據(jù)國際公法歐盟成員國法律可適用地的控制者對個人數(shù)據(jù)的處理。
這就意味著只要中國的企業(yè)為歐盟境內(nèi)的數(shù)據(jù)主體提供了服務(wù),即使其在歐盟境內(nèi)沒有設(shè)立任何分支機構(gòu),也依然受到GDPR的管轄,對中國企業(yè)的信息安全管理提出了更高的要求。
在數(shù)據(jù)保護方面的要求
GDPR被稱為“史上最嚴的數(shù)據(jù)保護條例”,從三個方面對企業(yè)數(shù)據(jù)保護提出了嚴格要求:正確的使用數(shù)據(jù);確保數(shù)據(jù)的訪問安全;保證數(shù)據(jù)的可用性。同時,GDPR要求企業(yè)將更大范圍的數(shù)據(jù)納入到數(shù)據(jù)管理體系當中,特別是那些企業(yè)邊緣的個人數(shù)據(jù),而且不僅僅是保證數(shù)據(jù)的可用性,還需要對數(shù)據(jù)具有足夠的洞察力以確保合規(guī)。
① 公司必須設(shè)立一個數(shù)據(jù)保護官(Data Protection Officer,DPO)。數(shù)據(jù)保護官必須直接匯報給最高管理層,其職責(zé)是監(jiān)管和規(guī)范數(shù)據(jù)負責(zé)人和數(shù)據(jù)處理者的數(shù)據(jù)活動。
② 公司需要保留用戶數(shù)據(jù)監(jiān)管信息,并定期刪除無關(guān)數(shù)據(jù)。
③ 公司必須部署合適的工具用以保護數(shù)據(jù),以防數(shù)據(jù)丟失、損壞或泄露。當發(fā)生任何數(shù)據(jù)泄露相關(guān)事件,數(shù)據(jù)管控者與數(shù)據(jù)處理者需要在72小時內(nèi)進行報告。
④ 公司處理個人數(shù)據(jù)必須要有合法理由,包括數(shù)據(jù)主體的同意、為了簽訂或履行合同需要、遵守法定義務(wù)的需要、為公共利益或行事政府授權(quán)以及為追求數(shù)據(jù)控制者的合法利益等。
⑤ 當用戶不再希望個人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒有合法理由保存該數(shù)據(jù),用戶有權(quán)要求公司刪除數(shù)據(jù)。
⑥ 用戶有權(quán)并可以無障礙的將其個人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個信息服務(wù)提供者處轉(zhuǎn)移至另外一個信息服務(wù)提供者處。
⑦ 公司禁止收集處理反映個人種族或民族起源、政治觀點、宗教/哲學(xué)信仰、工會組織成員的數(shù)據(jù)、個人基因識別數(shù)據(jù)、生物數(shù)據(jù)、涉及健康、性生活或性取向的數(shù)據(jù)。但在例外的情況下也可以收集加工以上數(shù)據(jù),如已獲得個人的明示同意,或數(shù)據(jù)控制者因處理勞動關(guān)系、社會保險之需要在法律允許的范圍內(nèi)已采取了適當?shù)谋Wo手段等。
⑧ 公司處理16歲以下兒童的個人數(shù)據(jù),必須獲得該兒童父母或監(jiān)護人的同意或授權(quán)。各成員國可對上述年齡進行調(diào)整,但是不得低于13歲。
⑨ 公司需要實現(xiàn)數(shù)據(jù)的“缺省保護隱私”,即這種數(shù)據(jù)保護的隱私設(shè)計需要有默認的兩個原則,一是數(shù)據(jù)采集與數(shù)據(jù)使用目的的一一對應(yīng)原則;二是數(shù)據(jù)采集的最小化原則。
法案對于企業(yè)違規(guī)設(shè)置了昂貴的處罰規(guī)定,對于不遵守GDPR法案的企業(yè)處以嚴厲的制裁和巨額罰款,根據(jù)違規(guī)性質(zhì)的嚴重程度,分為一般違法行為和嚴重違法行為。對于一般違法行為,處以全年營收額2%或1000萬歐元的罰款,兩者以高者為限;對于嚴重違法行為,處以全年營收額4%或2000萬歐元的罰款,兩者以高者為限。此外,法案支持所有受企業(yè)違規(guī)影響遭受損失的個人向企業(yè)提出損失賠償的請求,為民事訴訟提供了法律基礎(chǔ)。
如何高效、簡化、統(tǒng)一的滿足這些數(shù)據(jù)保護的需求,這將是每個企業(yè)都將面臨的挑戰(zhàn)。GDPR生效在即,中國企業(yè)如何做到未雨綢繆、對數(shù)據(jù)進行合規(guī)保護?
中國企業(yè)防范措施
① 制定新的戰(zhàn)略,著眼改善自身業(yè)務(wù)。
為應(yīng)對法案實施,中國企業(yè)應(yīng)該從企業(yè)戰(zhàn)略角度,進行周密地準備,包括與歐盟成員國相關(guān)數(shù)據(jù)保護部門和利益相關(guān)方密切合作,了解其對GDPR監(jiān)管力度、配套的計劃等等。符合GDPR合規(guī)要求將成為一項潛在的競爭優(yōu)勢,合規(guī)將提高消費者對企業(yè)的信心,而且,其所需的技術(shù)和流程改進應(yīng)該能夠提高組織管理和保護數(shù)據(jù)的效率。
② 嚴格自查評估,制定匯報GDPR合規(guī)進度的計劃。
GDPR的實施,必將使業(yè)務(wù)涉及數(shù)據(jù)處理或檢測的企業(yè)受到影響。企業(yè)需要全面檢查自己公司存儲和處理的歐盟公民數(shù)據(jù),評估安全風(fēng)險。將自己平臺數(shù)據(jù)的操作與GDPR的有關(guān)內(nèi)容進行嚴格比對,對不合規(guī)部分做出整改。清點應(yīng)用程序和完成“處理活動記錄”,發(fā)現(xiàn)和調(diào)查與數(shù)據(jù)相關(guān)的任何風(fēng)險,并確定保護這些數(shù)據(jù)所需的適當安全級別。
③ 制定響應(yīng)機制和數(shù)據(jù)保護計劃。
根據(jù)該法案規(guī)定,企業(yè)需設(shè)立數(shù)據(jù)保護官等職位,定期審查數(shù)據(jù)相關(guān)政策確保企業(yè)自身符合GDPR并使企業(yè)業(yè)務(wù)順利運行。完成數(shù)據(jù)安全漏洞檢測,確保發(fā)生情況時及時處置,同時,保持與利益相關(guān)方的有效聯(lián)動。
大數(shù)據(jù)時代,數(shù)據(jù)量呈井噴式增長,數(shù)據(jù)作為企業(yè)的核心資產(chǎn),其隱私問題已經(jīng)成為數(shù)字經(jīng)濟時代的頂層問題,自由合法的數(shù)據(jù)流通成為數(shù)字時代經(jīng)濟持續(xù)健康發(fā)展的基石。敏捷科技十八年來聚焦“讓數(shù)據(jù)更安全”,專注于為企業(yè)提供合規(guī)的一體化數(shù)據(jù)安全解決方案,全方位保護和管理數(shù)據(jù)并符合GDPR規(guī)則要求,助力中國企業(yè)海外業(yè)務(wù)布局。