/ 中存储网

欧盟 GDPR 通用数据保护条例解读及中国企业应对措施

2017-10-14 11:09:02 来源:中存储

GDPR通用数据保护条例解读一文快速索引

GDPR背景 - 什么是GDPR - 应对GDPR的6个准备步骤 - GDPR的重点- 问题解答 - 对中国企业的影响 - GDPR中文版下载

GDPR背景

经过长达四年的准备和讨论,欧盟在2016年4月14日通过了一项新的通用数据保护法规(General Data Protection Regulation,GDPR),该条例将在2018年5月生效。这项法规将要求各公司采取一种新的全面数据治理措施,包括数据剖析、数据质量、数据沿袭、数据屏蔽、测试数据管理、数据分析和数据归档等。

数据保护范围将大大扩展,包括基因数据、电子邮件、IP地址等等。而且,用户可以对由各家公司保存的受保护数据有更细致的权力。各家公司对用户的邮箱、电话号码等具体信息的使用必须得到用户的明确同意,而将它们做为整体使用也必须得到明确同意。

通用数据保护条例(GDPR),其目的是为了保护在日益数字化的世界的个人信息。虽然新的法律在两年内不会强制执行,但这是一个相对较短的考虑时间,企业将需要评估新的要求,评估现有的措施和计划是否完全符合路径。

欧盟 GDPR 通用数据保护条例解读及中国企业应对措施

GDPR是什么?

通用数据保护条例(General Data Protection Regulation, 简写为GDPR)

为了保护日益数字化的世界中的个人信息,这是从本世纪迄今为止最大的一次修改GDPR的数据保护规则。它包括50多篇为组织和他们使用和存储的个人数据具有深远的影响文章。从本质上说,这是一个保护欧洲公民的权利立法,以确定是否,何时,如何显示和使用他或她的个人信息。

信息专员办公室的建议是,企业需要更早地开始规划他们自己遵从GDPR合规的做法。问题是,欧洲许多企业仍然没有意识到这些变化将如何影响他们。

有一些重要的步骤可以现在来帮助组织识别PII所在,并了解对管理自己的义务的重要步骤。而不遵守规则面对数百万欧元罚款的前景,你等得起吗?

为了帮助企业了解他们的信息管理过程的影响,并使GDPR符合更广泛的监管环境。

以下是为GDPR做好准备的六个关键步骤

步骤1:什么是个人数据,我有吗?

在决定新的立法的哪些部分适用于你的组织的第一步,就是了解什么是个人信息的含义。在新规则的内容中的“个人数据”的定义是与“数据主体”(一个人)有关的数据,该数据可以直接或间接地在数据的基础上识别。这些数据还包括设备标识符、缓存或IP地址。这意味着,在GDPR中,组织内的数据控制人员应该是他们的控制之下知道所有个人数据,并能证明他们了解信息的潜在风险,以及如何减轻这些风险。

步骤2:GDPR是否适用于我?

其次,对于关键术语GDPR的理解,这是否与你的组织相关很重要。以及“个人数据”,关键术语的理解包括“领土范围”,“数据主体访问请求,数据保护影响评估(DPIA)”,“有权删除','数据便携性”和“同意”。有关这些的更多信息,请访问相关的知识中心,或者找到eugdpr.org术语表。

步骤3:我的组织里有哪些数据?

为了满足你的法定义务,你首先需要知道个人的数据放在哪里。对存储在企业系统中的数据,员工的个人设备,异地档案和文件柜,以及存储供应商信息、分包商和业务伙伴(代理你的名义的个人资料,)进行详细的分析,这将会为你提供全貌。

步骤4:开发一个数据地图,并对每一个信息进行分类

在此分析之后,建议创建一个数据映射,它提供了一个所有物理和数字信息的360度的视图,包括存储在一个组织个人数据,数据地图是一个重要的工具,可以确保你可以快速定位,评估和监控正在进行的基础上的所有信息。

步骤5:回顾和更新现有的政策

一旦你知道你的信息在哪里,你需要知道你能用它做什么,可以允许保存多久。这就需要确保你保留反映了法律、法规或合同的义务的政策是最新的,你只是保留你应该和摧毁个人数据(以及其他所有记录)当,你需要一个在可防御的方式时。

步骤6:维护的意识和反应

最后,以确保业务作为一个整体是意识到它的义务是很重要的。这些信息将经过员工,承包商和供应商之手,让所有各方都必须理解并遵守相同的保留策略。正如法规的变化和对组织施加新的义务,随着时间的推移,你的保留政策应保持动态和响应,以适应不断变化的业务和监管景观。

长期以来,欧洲各地的组织已经熟悉如何确保他们存储的个人数据,根据最新的GDPR监管要求,对于违规要进行相关的惩罚,这可能导致全球各企业面临每年的营业额高达百分之四或20万欧元的罚款,意味着GDPR现在已成为获得数据保留的权利。

以下这六个步骤是避免让监管机构惩罚的出发点。未能立即采取行动将让你可能因为错误或疏忽受到法律的制裁,并可能让你的组织付出昂贵的代价。

GDPR的目的是:在当今快速的技术变化中,加强对欧盟所有人的隐私权保护,物联网的隐私权保护,并且简化数据保护的管理。GDPR替换了1995年的欧盟数据保护指令 - 这个指令只提供了指导而不是可执行的规定;各个欧盟成员国也用了不同的方式去执行这个指令。

GDPR的重点有以下几点:

  • 加强个人权利,为个人提供更多的对自己信息的控制权

  • 加强欧盟内部的隐私和安全法律

  • 如果一个实体要向第三方传递个人身份信息,必须要提供对该信息的“充分保护”,至少要像该数据保留在欧盟境内一样强

FAQs

问题:哪些公司会受新的欧盟数据隐私法规的管辖?

GDPR涵盖了数据的任何“控制者”和“处理者”。任何机构,如果收集、传输、保留或处理涉及到欧盟任何人的个人信息 - 其中可能包括姓名、电邮地址、计算机IP地址、照片、社交媒体帖子、医疗信息或财务信息 - 就必须遵守GDPR。该法规不会考虑机构的地理位置,或者个人身份信息是否关系到个人隐私、专业水平或公共生活。

问题:如果我的公司没有遵守法规的要求,那将面临什么样的惩罚标准?

最高额的罚款金额可能会达到年收入的4%。要对这个数字有些具体认识的话,苹果公司最近两年的年收入都超过了2000亿美元,所以假如苹果公司违反了GDPR的规定,那么罚金就有可能高达80亿美元。与其形成对比的是,如果在美国触犯了隐私保护条例,那通常情况下罚金的大概范围是几十万到几百万美金。从数量级上看,GDPR的罚金是远高于其他数据保护条例的。

但是,除了金钱上的惩罚,我们也要正确地看待GDPR,也要问问:这项法规在保护什么呢?对于很多行业来说答案都是一样的:信任,在公司与客户之间的信任,在公司与其它公司之间的信任,甚至在整个数据愿景层面的信任等。违反的代价远不止于财务层面,它也将给企业的声誉造成极大破坏,并且导致企业与消费者之间的信任危机。

GDPR对中国企业的影响

非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一:

(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。

(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。

该公司就受到GDPR的管辖。这个条例将对中国企业的移动应用安全,以及数据收集、处理和交易产生重大影响。

第25条介绍了软件(包括移动应用)开发设计中对数据保护的原则性要求。它强制要求软件在整个开发阶段和运行数据处理阶段能够保护个人数据隐私。

第32条规定了数据控制(含移动应用)和处理需要有足够的技术和措施来确保其数据和移动应用的完整性。这些安全措施必须能够应对数据处理面临的风险,例如所传输或存储的个人数据被篡改、丢失、未经授权披露或被恶意攻击。

以上2条法规是对中国企业移动应用安全合规性的最大挑战。如果没有通过,企业面临的罚款标准是,“一般违规行政罚款的上限是1000万欧元或该企业上一财年全球年度营业总额的2%(以较高者为准)”;“严重违规行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%(以较高者为准)”。

GDPR规定了欧盟每一个成员国都必须成立关于GDPR的监管机构(“Supervisory Authority”),负责GDPR在每一个国家的执行。监管机构接受该国关于违法的投诉,有权调查可能的违法情形,并进行相应的处罚。而这一监管机构也有义务和欧盟其他成员国的监管机构沟通,确保在同一件事情上执法尺度尽可能统一。同时,欧盟将设立“一站式”投诉服务,以便于消费者在欧盟内跨境投诉。

对于在欧盟境内有分支机构的中国公司,分支机构将被作为责任主体来强制执行法律要求。 如果没有在欧盟境内设有机构,欧盟将缺席判决,一旦境外公司高管进入欧盟境内,将直接强制执行。中国企业首当其冲的是银行、电子商务、互联网、IT企业和软硬件生产商。

中国企业面临三个选择:

(1)停止向欧盟居民提供互联网服务(包括免费的服务);

(2)接到罚单后再去面对;

(3)主动完成欧盟GDPR的合规性要求。

通过第三方专业安全机构来解决是最高效和最有保障的方法。梆梆安全可以首先提供针对移动应用安全的GDPR合规性评估,然后提供相应的解决方案,来帮助中国企业解决这个迫在眉睫的欧盟合规性要求。

因此,为符合GDPR于2018年5月实施后的法规则遵从要求,企业应该尽速检视内部个资处理流程,完善内部组织及技术措施,降低因部门不当处理所引发的巨额裁罚风险,减少企业营收损失及商誉损失,进而维系投资人、员工及客户对于企业的信任。

下载中文版GDPR通用数据保护条例

11章共99条组成,中文译本由中国政法大学互联网金融法律研究院组织翻译。