2018年，歐盟發(fā)布實(shí)施了GDPR，一時(shí)間引起了軒然大波，先后一些科技巨頭公司紛紛被控訴舉報(bào)違反GDPR，遭到罰款處罰。本文主要是結(jié)合條例和日常工作，做一個(gè)簡(jiǎn)單的分析總結(jié)。

 

 

一、什么是GDPR

GDPR，英文全稱(chēng)：General Data Protection Regulation，中文翻譯為：通用數(shù)據(jù)保護(hù)條例。是歐洲聯(lián)盟的條例法規(guī)，其前身是歐盟在1995年制定的《計(jì)算機(jī)數(shù)據(jù)保護(hù)法》。

內(nèi)容就是針對(duì)近年來(lái)用戶(hù)隱私被泄露造成的一系列問(wèn)題，要求對(duì)歐盟所有成員國(guó)個(gè)人信息進(jìn)行收集、存儲(chǔ)、處理及轉(zhuǎn)移等活動(dòng)時(shí)，要按照要求，采取技術(shù)和管理手段對(duì)個(gè)人敏感隱私數(shù)據(jù)進(jìn)行保護(hù)。

二、適用范圍

條例原文：

(1) 本條例適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，不論其實(shí)際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行。

(2) 本條例適用于如下相關(guān)活動(dòng)中的個(gè)人數(shù)據(jù)處理，即使數(shù)據(jù)控制者或處理者不在歐盟設(shè)立：

為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)——不論此項(xiàng)商品或服務(wù)是否要求數(shù)據(jù)主體支付對(duì)價(jià);

對(duì)發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控。

條例本身比較不好理解，總結(jié)一下就兩點(diǎn)：1.歐盟成員國(guó)的相關(guān)企業(yè)和組織在對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理時(shí)要遵守該條例。2.不屬于歐盟成員國(guó)的企業(yè)組織(比如咱們中國(guó)的企業(yè))只要提供的商品或服務(wù)以及相關(guān)項(xiàng)目涉及到了處理歐盟成員國(guó)的公民個(gè)人數(shù)據(jù)就也必須遵守該條例

三、違規(guī)處罰

條例規(guī)定，對(duì)違反法規(guī)的企業(yè)、單位或組織的罰金最高可達(dá)2000萬(wàn)歐元(約合1.5億元人民幣)或者其上一年全球總營(yíng)業(yè)額4%的金額罰金，兩者取其最高。

是的，你沒(méi)聽(tīng)錯(cuò)，也沒(méi)有看錯(cuò)，如果違反相關(guān)規(guī)定就是要罰這么多，這么重的處罰對(duì)一個(gè)公司或單位必將是重磅的一擊，一般的公司或單位可能根本經(jīng)受不了這么重的處罰，大公司的心肝也是顫抖的。

在GDPR剛實(shí)施后不久，一些國(guó)際巨頭公司如Facebook(臉書(shū))和Google(谷歌)等遭到了舉報(bào)和投訴，成為GDPR法案的第一批被告。一些公司甚至直接關(guān)閉了針對(duì)歐盟用戶(hù)的業(yè)務(wù)。

四、國(guó)內(nèi)動(dòng)作

在有了Google這樣的大公司被罰的先例后，國(guó)內(nèi)企業(yè)也加快了對(duì)GDPR學(xué)習(xí)和執(zhí)行的步伐，緊鑼密鼓地進(jìn)行著，生怕也上了被罰的名單。同時(shí)，國(guó)內(nèi)近幾年不斷爆出用戶(hù)個(gè)人隱私信息被泄露的消息，大量的個(gè)人信息流經(jīng)黑市，也因此出現(xiàn)了一系列冒名頂替、電信詐騙等刑事案件。可以預(yù)判，國(guó)內(nèi)網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)很有可能效仿歐盟，照搬或者自己出臺(tái)相關(guān)法規(guī)，加強(qiáng)對(duì)公民個(gè)人信息的保護(hù)。

五、條例重點(diǎn)分析

那么，對(duì)于企業(yè)或者說(shuō)企業(yè)的安全負(fù)責(zé)人，如何來(lái)實(shí)施相關(guān)措施來(lái)保證符合GDPR的相關(guān)規(guī)定呢?在這里，我分享下我個(gè)人的見(jiàn)解。

1. 數(shù)據(jù)處理原則

要求企業(yè)在進(jìn)行數(shù)據(jù)收集、存儲(chǔ)和處理時(shí)要提供收集的目的用途、存儲(chǔ)的時(shí)間、收集的方式、收集的數(shù)據(jù)類(lèi)型、存儲(chǔ)和處理數(shù)據(jù)的安全技術(shù)保障措施、數(shù)據(jù)操作審批權(quán)限、取得用戶(hù)同意、簽訂契約以及針對(duì)兒童的相關(guān)條件等等。

企業(yè)在進(jìn)行用戶(hù)數(shù)據(jù)的相關(guān)活動(dòng)中必須要了解上述內(nèi)容要求，并作出相關(guān)承諾，在收集之前就要提供類(lèi)似用戶(hù)隱私聲明一類(lèi)的內(nèi)容，同時(shí)明確自己的責(zé)任和義務(wù)。

2. 禁止的特殊類(lèi)型數(shù)據(jù)

除GDPR法規(guī)第9條、第10條例外規(guī)定的情形，其他情況下應(yīng)禁止處理這些特殊類(lèi)型的數(shù)據(jù)，包括：種族或民族出身、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員身份、基因數(shù)據(jù)、為了特定識(shí)別自然人的生物性識(shí)別數(shù)據(jù)、和自然人健康、個(gè)人性生活或性取向相關(guān)的數(shù)據(jù)等以及涉及犯罪定罪與違法相關(guān)的個(gè)人數(shù)據(jù)。

企業(yè)在進(jìn)行用戶(hù)數(shù)據(jù)處理時(shí)一定要明確這些禁止的特殊類(lèi)型數(shù)據(jù)，除非符合法規(guī)規(guī)定的例外情形，否則千萬(wàn)不要試圖去收集和處理這些數(shù)據(jù)，以免受到影響。

3. 數(shù)據(jù)主體訪問(wèn)權(quán)

數(shù)據(jù)主體應(yīng)該具有或者說(shuō)企業(yè)應(yīng)該提供給數(shù)據(jù)主體訪問(wèn)個(gè)人信息的處理目的、數(shù)據(jù)類(lèi)型、數(shù)據(jù)接收者和接收者的類(lèi)型、存儲(chǔ)的期限和依據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)來(lái)源信息、數(shù)據(jù)轉(zhuǎn)移保障措施等。

不管是系統(tǒng)提供的隱私說(shuō)明或是簽訂的合同必須能讓數(shù)據(jù)主體或用戶(hù)能夠隨時(shí)訪問(wèn)到這些信息，只有這樣才能保障數(shù)據(jù)主體的訪問(wèn)權(quán)。

4. 數(shù)據(jù)主體更證權(quán)

數(shù)據(jù)主體要能夠或者說(shuō)企業(yè)應(yīng)該提供給數(shù)據(jù)主體對(duì)其個(gè)人數(shù)據(jù)更正和完善的權(quán)利。

當(dāng)個(gè)人信息被收集、存儲(chǔ)和處理時(shí)，要提供相關(guān)接口和入口讓數(shù)據(jù)主體或用戶(hù)隨時(shí)能夠?qū)ψ约旱膫�(gè)人數(shù)據(jù)進(jìn)行修改，比如常見(jiàn)的用戶(hù)個(gè)人中心，可以對(duì)個(gè)人的資料進(jìn)行修改更新。

5. 數(shù)據(jù)主體擦除權(quán)(被遺忘權(quán))

除條例第17條21(3)規(guī)定的情形，企業(yè)要提供給數(shù)據(jù)主體或用戶(hù)擦除其個(gè)人數(shù)據(jù)的權(quán)利。

大部分企業(yè)提供的應(yīng)用或服務(wù)不會(huì)讓數(shù)據(jù)主體或用戶(hù)直接刪除個(gè)人數(shù)據(jù)的，基于此，可以提供接收數(shù)據(jù)主體擦除請(qǐng)求的通道，幫助用戶(hù)擦除一些不再必要的數(shù)據(jù)。

6. 數(shù)據(jù)主體限制處理權(quán)

當(dāng)數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的準(zhǔn)確性有爭(zhēng)議、認(rèn)為處理是非法的、為了提起法律辯護(hù)等情形時(shí)，企業(yè)要提供給用戶(hù)限制處理權(quán)。

當(dāng)發(fā)生這些情況時(shí)，用戶(hù)如果提出要求不讓企業(yè)繼續(xù)處理其個(gè)人數(shù)據(jù)時(shí)，企業(yè)必須接收，停止對(duì)其個(gè)人數(shù)據(jù)的處理，可以采取凍結(jié)賬號(hào)及切斷和其關(guān)聯(lián)的所有活動(dòng)。

7. 數(shù)據(jù)攜帶權(quán)

數(shù)據(jù)主體要能夠或者企業(yè)應(yīng)該提供將已經(jīng)經(jīng)過(guò)整理、普遍使用和機(jī)器可讀的數(shù)據(jù)無(wú)障礙地從一個(gè)數(shù)據(jù)控制者到另一個(gè)控制者。

就是說(shuō)企業(yè)收集、處理的用戶(hù)數(shù)據(jù)要進(jìn)行格式化整理，并且能夠支持格式化導(dǎo)出且機(jī)器可讀。

8. 數(shù)據(jù)主體反對(duì)權(quán)

當(dāng)企業(yè)為了一些直接營(yíng)銷(xiāo)的目的，而未經(jīng)數(shù)據(jù)主體或用戶(hù)同意的情況下直接使用與其相關(guān)的用戶(hù)畫(huà)像時(shí)，數(shù)據(jù)主體或用戶(hù)有權(quán)反對(duì)。

無(wú)論采取管理手段或技術(shù)手段，在使用用戶(hù)畫(huà)像進(jìn)行營(yíng)銷(xiāo)之前都必須征得用戶(hù)同意，以免造成不必要的影響。

9. 合規(guī)認(rèn)證

企業(yè)要進(jìn)行相關(guān)的隱私認(rèn)證，積極參與GDPR合規(guī)認(rèn)證，選擇有資質(zhì)的、規(guī)范的認(rèn)證機(jī)構(gòu)，而不是簡(jiǎn)簡(jiǎn)單單隨便找個(gè)“所謂的隱私認(rèn)證機(jī)構(gòu)”或自認(rèn)證，通過(guò)之后將徽章資質(zhì)放到官網(wǎng)上面，一定得是GDPR的認(rèn)證且是權(quán)威認(rèn)證機(jī)構(gòu)。

10. 簽署協(xié)議

無(wú)論數(shù)據(jù)控制者或者數(shù)據(jù)處理者，在對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理時(shí)，必須簽訂保密協(xié)議。以及在涉及對(duì)用戶(hù)數(shù)據(jù)進(jìn)行共享、傳輸和處理時(shí)與第三方或其他合作方進(jìn)行合作時(shí)，必須簽訂相關(guān)的協(xié)議，明確責(zé)任，確保個(gè)人數(shù)據(jù)的保護(hù)得到應(yīng)有的保證。

11. 數(shù)據(jù)處理安全

企業(yè)在對(duì)數(shù)據(jù)進(jìn)行收集、處理等活動(dòng)時(shí)應(yīng)該采取如下安全措施保證個(gè)人數(shù)據(jù)安全。

數(shù)據(jù)脫敏技術(shù)：要對(duì)個(gè)人數(shù)據(jù)進(jìn)行匿名化。

數(shù)據(jù)加密技術(shù)：要對(duì)個(gè)人數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中進(jìn)行加密。

數(shù)據(jù)完整性技術(shù)：要對(duì)個(gè)人數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的完整性進(jìn)行校驗(yàn)，避免被篡改。

數(shù)據(jù)訪問(wèn)控制技術(shù)：要對(duì)個(gè)人數(shù)據(jù)設(shè)置合理的訪問(wèn)控制策略，避免未授權(quán)訪問(wèn)和不正當(dāng)?shù)脑L問(wèn)。

數(shù)據(jù)備份技術(shù)：要對(duì)個(gè)人數(shù)據(jù)進(jìn)行備份，保證可用性。

數(shù)據(jù)恢復(fù)和響應(yīng)技術(shù)：要對(duì)個(gè)人數(shù)據(jù)及時(shí)進(jìn)行恢復(fù)和響應(yīng)測(cè)試，確�；謴�(fù)和響應(yīng)的可行性。

12. 設(shè)立數(shù)據(jù)保護(hù)官

企業(yè)需要雇傭設(shè)立專(zhuān)門(mén)的數(shù)據(jù)隱私保護(hù)官員來(lái)監(jiān)督GDPR的執(zhí)行，以及對(duì)涉及的個(gè)人數(shù)據(jù)進(jìn)行相關(guān)的安全防護(hù)。

以上，就是我結(jié)合GDPR相關(guān)條例和我工作當(dāng)中實(shí)施執(zhí)行的相關(guān)分享和心得總結(jié)，當(dāng)然還有很多小的細(xì)節(jié)沒(méi)有一一列出來(lái)，大家可以以這個(gè)為參考繼續(xù)去詳細(xì)了解法規(guī)內(nèi)容。以上純粹個(gè)人理解，如有不當(dāng)之處，請(qǐng)留言或私信我，一起交流，一起提高。

標(biāo)簽： Google 安全 谷歌 權(quán)限 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。