GDPR來了!這些隐私保護知識你get了麽?
發布時間: 2018.05.30 | 來源: 帕拉迪

在過去(qù)的(de)一(yī)個周末,歐盟史上最嚴厲隐私保護法GDPR正式生效。GDPR是二十年(nián)來數據隐私規則領域發生的(de)最重要變化,給歐盟、乃至全世界的(de)企業都将帶來重大影響。無論企業是否在歐盟境內(nèi),隻要與歐盟企業發生業務往來,或涉及存儲、處理(lǐ)、交換任何歐盟公民的(de)數據,都必須嚴格遵守該條例。

 

想要快速了解法案內(nèi)容?這些關于GDPR的(de)知識點可(kě)以幫你快速理(lǐ)清脈絡。


 


01什麽是GDPR?

《一(yī)般數據保護法案》(General Data Protection Regulation (GDPR))由歐洲議會投票(piào)通過,這項法案賦予歐盟公民更多的(de)個人數據控制權,另外對那些收集、處理(lǐ)和(hé)存儲個人數據的(de)公司提出更高(gāo)的(de)責任要求,新法案由11章(zhāng)共99條組成,于2018年(nián)5月25日正式生效。(→_→完整法案內(nèi)容可(kě)在文末獲取查看)

GDPR作為(wèi)一(yī)套用來保護歐盟普通公民個人隐私信息數據的(de)新法規,對個人信息的(de)保護及監管達到了前所未有(yǒu)的(de)高(gāo)度,是史上最嚴格的(de)數據保護法案。

 

02适用的(de)範圍

    GDPR适用的(de)數據主體,不僅僅是企業,也包括決定和(hé)參與個人數據處理(lǐ)的(de)任何個人、組織,涵蓋政府部門、公共組織、司法機(jī)構及其他實體。上述個人或實體(除歐盟境內(nèi)企業及機(jī)構,隻要涉及向歐盟境內(nèi)個人提供服務并處理(lǐ)或監控個人數據)作為(wèi)數據控制者或數據處理(lǐ)者的(de)均在适用實體範圍內(nèi)。

 

03涉及哪些個人數據

“個人數據”定義是指任何指向一(yī)個已識别或可(kě)識别的(de)自(zì)然人信息。該可(kě)識别的(de)自(zì)然人能夠被直接或間接的(de)識别,尤其是通過參照諸如(rú)姓名、身份證号碼、定位數據、在線身份認證标識,或者通過參照針對自(zì)然人的(de)一(yī)個或多個要素(物理(lǐ)、生理(lǐ)、遺傳、心理(lǐ)、經濟、文化或社會身份)。這意味着GDPR擴大了定義,包括“已識别”和(hé)“可(kě)識别”的(de)數據信息,已識别個人數據指傳統個人數據(姓名、照片、電子(zǐ)郵件、電話号碼、家庭住址、身份證号碼、銀行(xíng)帳号或社保卡号等),可(kě)識别個人的(de)信息是指位置定位數據、移動設備ID以及某些情況下的(de)IP地(dì)址、生物特征數據和(hé)遺傳數據等。

 

04對兒童數據的(de)特别規定

GDPR在“信息社會服務中适用兒童同意的(de)條件”規定,如(rú)果直接向兒童提供信息社會服務時,該兒童的(de)年(nián)齡應當為(wèi)16周歲以上。若兒童未滿16周歲,隻有(yǒu)在征得監護人同意或授權的(de)範圍內(nèi)其處理(lǐ)才合法。各成員國(guó)可(kě)以對上述年(nián)齡進行(xíng)調整,但是不得低(dī)于13歲。組織如(rú)涉及兒童個人數據的(de)處理(lǐ),應予以特别保護。

 

05數據洩露強制通知的(de)規定

GDPR規定,在發生個人數據洩露時,除非個人數據的(de)洩露不會産生危及自(zì)然人權利和(hé)自(zì)由的(de)風險,否則數據控制者應在獲知洩露之時起的(de)72小時內(nèi)向監管機(jī)構發送通知報告。組織應注意如(rú)發生個人數據洩露等安全事件,需履行(xíng)的(de)通報和(hé)告知義務。

 

06處罰的(de)規定

不遵守規定的(de)數據隐私法規的(de)後果就是會受到嚴厲的(de)制裁和(hé)巨額的(de)罰款。 


07GDPR對違規組織采取根據情況分級處理(lǐ)的(de)方法:

如(rú)果組織未按要求保護數據主體的(de)權益、做(zuò)好相關記錄,或發生了更為(wèi)嚴重的(de)侵犯個人數據安全的(de)行(xíng)為(wèi),如(rú)未獲得客戶同意處理(lǐ)數據,或核心理(lǐ)念違反“隐私設計”要求,或違反規定将個人數據跨境傳輸,或違反歐盟成員國(guó)法律規定的(de)義務等,組織有(yǒu)可(kě)能面臨最高(gāo)2000萬歐元或組織全球年(nián)營業額的(de)4%(兩者取其高(gāo))的(de)巨額罰款。


 


漢武安全實驗室針對GDPR中的(de)核心要點深度分析了國(guó)內(nèi)企業的(de)應對策略。這裏的(de)應對建議涉及到系統架構、人員管理(lǐ)、流程管理(lǐ)、風險評估、業務邏輯、應急響應等衆多環節,以下內(nèi)容可(kě)作為(wèi)企業自(zì)查的(de)一(yī)種分析方式

 

1.必須明确詢問用戶,是否允許同意搜集他們(men)的(de)數據。必須以清晰的(de)方式詢問用戶,而不能以任何方式默認用戶授予開發者數據使用許可(kě)權。

2.提供自(zì)助登錄入口,可(kě)供查詢、更新個人信息;提供賬戶銷毀/删除功能,确定服務或協議終結,可(kě)允許選擇銷毀賬号及信息,并删除一(yī)切有(yǒu)關個人數據,包括第三方賬戶登錄(可(kě)以通過加密數據,然後删除密鑰)。

3.需要加強密鑰管理(lǐ)以保護加密的(de)數據,合理(lǐ)區分數據控制者和(hé)數據處理(lǐ)者,對權限和(hé)身份進行(xíng)合理(lǐ)劃分。

4.識别數據存儲的(de)位置(特别需要注意雲計算服務資源),數據的(de)類型及風險級别,嚴格把控信息數據的(de)訪問控制。

5.遵守“知其所需”(Need to know)原則,隻收集所需要的(de)最少個人數據,并采取技術和(hé)管理(lǐ)措施來保護數據的(de)存儲安全和(hé)傳輸安全,避免個人數據被篡改、丢失、未經授權披露或被惡意攻擊。

6.設置專門的(de)隐私保護人員,實施問責機(jī)制;建立數據生命周期管理(lǐ),定期更新或銷毀,定義流程及描述以對數據洩露做(zuò)出敏捷反應。

7.建立內(nèi)部隐私管控制度,并與專業數據安全服務公司保持聯系。

8.進行(xíng)全面的(de)風險評估;應用關鍵安全控制來恰當地(dì)檢測、管理(lǐ)和(hé)緩解數據處理(lǐ)環境中的(de)任何漏洞;根據企業策略配置系統,并維護該配置;持續監視(shì)日志文件,警惕任何潛在數據洩露或漏洞。

 

面對“史上最嚴”的(de)數據監管條例,帕拉迪擁有(yǒu)專業資深的(de)數據安全專家團隊為(wèi)其保駕護航。在确保企業和(hé)産品滿足GDPR合規要求的(de)前提下,帕拉迪也将為(wèi)渠道(dào)合作夥伴和(hé)客戶提供數據安全方面的(de)支持和(hé)建議。

 

01

帕拉迪的(de)漢武安全實驗室是由一(yī)支專業的(de)數據安全專家組成的(de)團隊,該團隊可(kě)以幫助客戶對數據保護條例的(de)具體要求及數據安全現狀進行(xíng)解讀與分析,協助客戶發現數據安全防護弱點,建立數據安全防護,提升整體信息安全防護能力與等級。

02

帕拉迪産品從設計之初,就擁有(yǒu)中英操作界面,并聯合合作夥伴一(yī)起打開了海外市(shì)場。在産品的(de)海外銷售過程中,我們(men)根據各國(guó)的(de)法律、文化、政策等要求都做(zuò)了較為(wèi)嚴格的(de)産品整改。從使用界面、交付流程、報表展現、底層加固、文化适應等多方面,與合作夥伴一(yī)起進行(xíng)了上千項耗時一(yī)年(nián)多時間的(de)整改工作。帕拉迪的(de)産品不但交付到了亞非拉,同時也獲得了歐盟某成員的(de)國(guó)電信級用戶的(de)信賴支持。面對新的(de)GDPR法案要求,帕拉迪已具備适用的(de)根基,并且有(yǒu)能力、有(yǒu)經驗根據條例要求進行(xíng)一(yī)系列的(de)整改。

 

Tips:

關于歐盟 GDPR 原文,參見:

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

由漢武安全實驗室整理(lǐ)中文翻譯版網盤鏈接:

https://pan.baidu.com/s/1W0hvOcGzXfkNhOg8wDtLxg

全國(guó)信息安全标準化技術委員會秘書處發布《網絡安全實踐指南——歐盟GDPR 關注點》:

static/file/1527251794595094938.pdf


Copyright © 2019 All Rights Reserved Designed
杭州帕拉迪網絡科(kē)技有(yǒu)限公司