5月25日,全球第一部以正式法典形式出現的歐盟《一般數據保護條例》(簡稱GDPR)將正式生效,距離這部堪稱目前這個星球上最先進和最嚴格的隱私保護制度生效,只剩2天啦!
什么是GDPR,在數據保護方面的規(guī)定又是什么,它與中國企業(yè)之間有什么關系,中國企業(yè)應該如何防范?今天,敏捷將帶您一一解讀。
什么是GDPR
2016年4月27日,歐盟議會通過了《一般數據保護條例》(以下簡稱GDPR)法律條例,用于取代1995年發(fā)布的過時的數據保護指令(DPD)。
新的指令完全更新了歐盟成員國以及任何與歐盟各國進行交易或持有公民(歐洲經濟區(qū)公民)數據的公司必須存儲安全和管理個人數據的方式,將在2018年5月25日生效。
GDPR生效后,對個人數據的隱私和保護將更加的透明和具有操作性。
GDPR作為歐盟頒布的法律條例和我們中國企業(yè)有什么關系呢?那就不得不介紹一下GDPR的適用范圍了。
GDPR的適用范圍
1.本法適用于設立在歐盟內的控制者或處理者對個人數據的處理,無論其處理行為是否發(fā)生在歐盟內。
2.本法適用于對歐盟內的數據主體的個人數據處理,即使控制者和處理者沒有設立在歐盟內,其處理行為:
(a)發(fā)生在向歐盟內的數據主體提供商品或服務的過程中,無論此項商品或服務是否需要數據主體支付對價;
(b)或是對數據主體發(fā)生在歐盟內的行為進行的監(jiān)控的。
3.本法適用于設立在歐盟之外,但依據國際公法歐盟成員國法律可適用地的控制者對個人數據的處理。
這就意味著只要中國的企業(yè)為歐盟境內的數據主體提供了服務,即使其在歐盟境內沒有設立任何分支機構,也依然受到GDPR的管轄,對中國企業(yè)的信息安全管理提出了更高的要求。
在數據保護方面的要求
GDPR被稱為“史上最嚴的數據保護條例”,從三個方面對企業(yè)數據保護提出了嚴格要求:正確的使用數據;確保數據的訪問安全;保證數據的可用性。同時,GDPR要求企業(yè)將更大范圍的數據納入到數據管理體系當中,特別是那些企業(yè)邊緣的個人數據,而且不僅僅是保證數據的可用性,還需要對數據具有足夠的洞察力以確保合規(guī)。
① 公司必須設立一個數據保護官(Data Protection Officer,DPO)。數據保護官必須直接匯報給最高管理層,其職責是監(jiān)管和規(guī)范數據負責人和數據處理者的數據活動。
② 公司需要保留用戶數據監(jiān)管信息,并定期刪除無關數據。
③ 公司必須部署合適的工具用以保護數據,以防數據丟失、損壞或泄露。當發(fā)生任何數據泄露相關事件,數據管控者與數據處理者需要在72小時內進行報告。
④ 公司處理個人數據必須要有合法理由,包括數據主體的同意、為了簽訂或履行合同需要、遵守法定義務的需要、為公共利益或行事政府授權以及為追求數據控制者的合法利益等。
⑤ 當用戶不再希望個人數據被處理并且數據控制者已經沒有合法理由保存該數據,用戶有權要求公司刪除數據。
⑥ 用戶有權并可以無障礙的將其個人數據以及其他數據資料從一個信息服務提供者處轉移至另外一個信息服務提供者處。
⑦ 公司禁止收集處理反映個人種族或民族起源、政治觀點、宗教/哲學信仰、工會組織成員的數據、個人基因識別數據、生物數據、涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據,如已獲得個人的明示同意,或數據控制者因處理勞動關系、社會保險之需要在法律允許的范圍內已采取了適當的保護手段等。
⑧ 公司處理16歲以下兒童的個人數據,必須獲得該兒童父母或監(jiān)護人的同意或授權。各成員國可對上述年齡進行調整,但是不得低于13歲。
⑨ 公司需要實現數據的“缺省保護隱私”,即這種數據保護的隱私設計需要有默認的兩個原則,一是數據采集與數據使用目的的一一對應原則;二是數據采集的最小化原則。
法案對于企業(yè)違規(guī)設置了昂貴的處罰規(guī)定,對于不遵守GDPR法案的企業(yè)處以嚴厲的制裁和巨額罰款,根據違規(guī)性質的嚴重程度,分為一般違法行為和嚴重違法行為。對于一般違法行為,處以全年營收額2%或1000萬歐元的罰款,兩者以高者為限;對于嚴重違法行為,處以全年營收額4%或2000萬歐元的罰款,兩者以高者為限。此外,法案支持所有受企業(yè)違規(guī)影響遭受損失的個人向企業(yè)提出損失賠償的請求,為民事訴訟提供了法律基礎。
如何高效、簡化、統(tǒng)一的滿足這些數據保護的需求,這將是每個企業(yè)都將面臨的挑戰(zhàn)。GDPR生效在即,中國企業(yè)如何做到未雨綢繆、對數據進行合規(guī)保護?
中國企業(yè)防范措施
① 制定新的戰(zhàn)略,著眼改善自身業(yè)務。
為應對法案實施,中國企業(yè)應該從企業(yè)戰(zhàn)略角度,進行周密地準備,包括與歐盟成員國相關數據保護部門和利益相關方密切合作,了解其對GDPR監(jiān)管力度、配套的計劃等等。符合GDPR合規(guī)要求將成為一項潛在的競爭優(yōu)勢,合規(guī)將提高消費者對企業(yè)的信心,而且,其所需的技術和流程改進應該能夠提高組織管理和保護數據的效率。
② 嚴格自查評估,制定匯報GDPR合規(guī)進度的計劃。
GDPR的實施,必將使業(yè)務涉及數據處理或檢測的企業(yè)受到影響。企業(yè)需要全面檢查自己公司存儲和處理的歐盟公民數據,評估安全風險。將自己平臺數據的操作與GDPR的有關內容進行嚴格比對,對不合規(guī)部分做出整改。清點應用程序和完成“處理活動記錄”,發(fā)現和調查與數據相關的任何風險,并確定保護這些數據所需的適當安全級別。
③ 制定響應機制和數據保護計劃。
根據該法案規(guī)定,企業(yè)需設立數據保護官等職位,定期審查數據相關政策確保企業(yè)自身符合GDPR并使企業(yè)業(yè)務順利運行。完成數據安全漏洞檢測,確保發(fā)生情況時及時處置,同時,保持與利益相關方的有效聯動。
大數據時代,數據量呈井噴式增長,數據作為企業(yè)的核心資產,其隱私問題已經成為數字經濟時代的頂層問題,自由合法的數據流通成為數字時代經濟持續(xù)健康發(fā)展的基石。敏捷科技十八年來聚焦“讓數據更安全”,專注于為企業(yè)提供合規(guī)的一體化數據安全解決方案,全方位保護和管理數據并符合GDPR規(guī)則要求,助力中國企業(yè)海外業(yè)務布局。