gdpr评述及实务指引(通用数据保护条例)
GDPR是General Data Protection Regulation(通用数据保护条例)的简称。因为它在2018年5月25日生效,所以这一天在欧洲被称为“G-Day”。GDPR取代了22年历史的Data Protection Directive(DPD,数据保护指令),其实两个法律差异很大,已经算不上升级,而是彻底的革新。
GDPR是一个保护所有欧盟公民的法律,其条款规定了企业和实体应该采取何种措施保护欧盟公民的数据,尤其针对数字世界的数据,在受保护的数据范围上极大拓展。例如,旧的法律更强调公民的PII信息的保护(PII,Personally Identifiable Information——个人可识别信息),而新的GDPR则要求公民在数字世界中的cookie,device ID,IP地址等也应受到跟PII一样的保护。
在这一点上,GDPR是顺应时代的发展要求的,尽管具体的法条的严厉程度可能会带来很多争议。
但争议更大的还是GDPR的作用范围,因为GDPR的Data Subjects(数据实用范围)的相关法条,对于“保护谁”的数据这一块相当模糊。
一般而言,有如下情况:
l 欧盟公民且正在欧盟境内;
l 欧盟居民且正在欧盟境内;
l 欧盟公民,正在欧盟境外的其他国家,比如在美国或者中国;
l 欧盟居民,正在欧盟境外的其他国家,比如在美国或者中国;
l 外国人,临时在欧盟境内。
所以,基本上可以认为,所有人(all people),凡是处于欧盟境内的,都受到GDPR的保护,就算不是欧盟公民也受到保护。但离开了欧盟的土地,基本上GDPR就管不着了。
另外一个争议比较大的,是欧盟境内的人,访问欧盟境外的互联网,是否受到GDPR的保护。答案是肯定的,只要是欧盟境内的人,访问到的互联网,无论是美国的网站还是中国的app,还是俄罗斯的杀毒软件,他们的数据都受到GDPR的保护。
这也是为什么,即使你的公司不在欧盟,也不为欧盟的人提供服务,但仍然可能在完全不知道的情况下违反了GDPR的法规。这也是全世界几乎所有的公司都觉得“不可思议”而“恐惧颤抖”的一个最主要的原因。
GDPR规定,任何存储或处理欧盟国家内有关欧盟公民个人信息的公司,即使在欧盟境内没有业务存在,也必须遵守GDPR。具体如下:
l 在欧盟境内拥有业务;
l 在欧盟境内没有业务,但是存储或处理欧盟公民的个人信息;
l 超过250名员工;
l 少于250名员工,但是其数据处理方式影响数据主体的权利和隐私,或是包含某些类型的敏感个人数据。
国内企业应该怎么应对GPDR?
重构隐私保护的设计
基本上GDPR要求企业不是在过去的个人隐私保护上进行修修补补,而是需要进行彻底的重构。比如,过去的隐私保护强调的是未经授权的“不泄露”,但没有强调数据的所有权与控制权的结合。过去,数据理论上当然属于用户,但是用户却没有主动的任何一点控制这些数据的能力。有些网络服务,一旦用户建立了自己的账号,实际上并不允许删除以及销毁这些账号,更谈不上能够将相关的数据转移给第三方。现在,为了GDPR合规,数据的获取、存储、处理、组织、管理、转移等等,全部都需要重新构建,以满足GDPR所要求的功能,以及满足更大的用户的数据控制权。
必须大幅度清晰化用户数据条款
对于大部分企业而言,需要大幅度简化他们“虚伪”的用户数据条款。而那些没有用户数据条款的,则必须立即建立足够清晰、意思表示明确的用户数据条款。此外,这些条款不可能包含“用户主动放弃相关数据的所有权”之类的表述,因为这跟GDPR的基本发条是相违背的。
增强IT能力
很明显,前面讲到的很多事情,都是需要技术同事去重新开发才能完成的。我会预测,GDPR甚至可能推出一些数据格式的通用标准,以帮助企业能够实现诸如数据携带权之类的要求。
任命数据保护官(DPO)
DPO并不一定是企业内部的员工,也可以聘请外部人士担任。DPO更像是顾问的角色,而且,如果企业违反了GDPR,企业会作为法人受到欧盟的处罚,但DPO未必需要承担责任。
减少不必要的数据收集
毫无疑问,收集的数据越多,越容易触犯GDPR的红线。重新审视自己的数据,是否真正的需要这些数据?如果把中国的这些互联网大佬们在国内收集数据的方法搬到欧洲,分分钟把你罚到破产。
如果你的网站使用cookie或者类似的监测
基本上没有网站不使用cookie。GDPR并不是说不允许使用,但是必须有一个足够明确、清晰的提醒告知用户,你在使用cookie并且在收集他的数据。
任何表单填写都要小心
任何让用户填写的表单都要特别小心,要有明确的隐私提示,并且告知用户他们对于这些数据拥有遗忘权等。
因此GDPR不是世界末日,只要你正视并弄清楚它。
作者:伍杰| 研究领域:信息技术运维服务管理,信息安全管理,业务连续性管理
编辑:Viola
本文中内容仅供参考,若与您了解有任何不符之处请与我们联系
关注我们,欢迎留言给出意见与建议,共同学习与交流
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com