GDPR通用数据保护条例-要点总结

数字化浪潮席卷全球，越来越多的企业在利用技术来彻底改变企业的业绩或触角。数据作为数字化转型的根基，对企业来说至关重要。据调查发现，在全球数据泄露事件中，违规事件发生率较高的行业：零售业占16.7%; 金融与保险业占13.1%; 医疗机构占11.9%。(Trustwave 2018年全球安全报告)。而这几个行业正是数字化转型的先驱。发展与风险并存，在数字化过程中对数据的保护成为了企业的头等大事。

[[236510]]

2017年6月1日施行的《中华人民共和国网络安全法》，强调了对基础设施及个人信息的保护。2018年5月1日实施的《信息安全技术个人信息安全规范》，从国家标准层面，明确了企业收集、使用、分享个人信息的合规要求，为企业制定隐私政策及个人信息管理规范指明了方向。而在2018年5月25日正式生效的GDPR，被称为欧盟“史上最严”条例，业已产生了巨大的影响：

• Google、Facebook，在GDPR生效日分别收到了欧盟39亿欧元、37亿欧元罚款的诉讼。苹果、亚马逊、LinkedIn等公司也面临隐私监管机构提起的诉讼。
• GDPR生效后，芝加哥时报、洛杉矶时报等多家美国媒体网站在欧洲的服务器关停。
• 微信海外版、新浪微博国际版等多家互联网企业向欧洲区用户更新隐私政策，请求重新授权。QQ停止部分国际版服务，并将推出新版本，提示用户升级。国航、东航均对其APP及官方网站隐私条款进行了更新。
• 海尔、华为早已雇请专门团队应对新规。

为此，安全值&谷安研究院对GDPR深度解读，将要点进行了归纳，助您快速了解GDPR。

1. 适用性(中国企业)

2. 数据相关方

• 数据主体(data subject)：享有数据权利的主体，个人数据所指向之自然人为数据主体
• 控制者(controller)：义务主体，指单独或者与他人一起，决定个人数据处理之目的和方式的自然人、法人或者其他组
• 数据处理者(processor)：义务主体，代表控制者，处理个人数据的自然人、法人或者其他组织
• 第三方(Third party)：指未对“个人数据”有任何授权的其他方

3. 个人数据定义

“任何指向一个已识别或可识别的自然人的信息”，例如：

• 基本的身份信息：姓名、地址和身份证号码…
• 网络数据：位置、IP地址、Cookie数据和RFID标签…
• 医疗保健和遗传数据;生物识别数据，如指纹、虹膜等;种族或民族数据;政治观点;性取向。

4. 数据处理定义

“指对个人数据或个人数据集合上执行的任何操作”

5. 数据处理原则

确保数据在整个数据生命周期的安全

• 数据收集：收集目的明确、合法，数据主体同意授权
• 数据处理：处理过程合法、透明，具备保障
• 存储：安全、保密，存储期受严格限制

6. 数据主体权利

• 许可权
• 访问权
• 纠正权
• 限制处理权
• 反对权
• 可携权
• 被遗忘权
• 告知权

7. 同意条件

• 数据处理的前提是用户同意，如果用户同意是在包含其他事项的书面声明中，则该书面声明中的同意请求应当具有明显的辨识度并使用清楚、直白的语言，以容易理解且容易获取的方式呈现，否则视为无效。
• 用户有权随时撤回其同意，同意的撤回应当和同意的作出一样容易。
• 儿童的同意：16岁以上儿童的同意可以是处理其个人数据的合法条件，不满16岁的儿童，只有当其监护人授权同意时，处理其个人数据才是合法的。

8. 组织责任

• 监测、审查、评估数据处理程序
• 最小化的数据处理及保留
• 为数据处理建立保障
• 记录数据处理的策略、程序、具体操作

9. 数据保护官(DPO)

如果组织大规模的监控或处理大量的个人数据，则必须任命数据保护官。职责如下(至少包括)：

• 向企业和企业员工提供GDPR数据保护方面的信息和建议;
• 对企业GDPR合规以及数据保护方面所做的工作进行监管;
• 对企业DPIAs方面工作的参与和管理;
• 同监督机构合作，负责数据外泄的紧急汇报;
• 协助实现数据主体的数据权利;

10. PIA(隐私影响评估)

当进行有风险的或大规模数据处理时,组织必须进行隐私影响评估。

包括以下步骤：

• A.项目PIA需求分析：分析PIA是否为该项目的必须流程
• B.项目涉及信息描述：包含涉及什么信息、如何收集、用途、是否涉及转移等
• C.风险识别：数据处理对数据主体及企业带来风险的识别
• D.方案评估：评估方案措施、效果及成本
• E.方案执行：执行方案并记录执行过程、相关决策。
• F. PIA结果整合及监控：将PIA结果及整改措施融入项目，并不断监控PIA执行及优化。

11. PBD(隐私设计)

在提供的产品、服务的各个环节，都应充分考虑隐私保护，使之成为组织工作中必不可少的一部分。

12. 关于罚金

监管机构可征收高达2000万欧元的严重处罚，或者上一年全球年营业额的4%，以较高者为准。

制裁相关因素：

• 违规的性质、严重程度和违规的持续时间
• 违规是故意的还是因疏忽导致
• 对个人身份信息处理的控制程度
• 违规是单个事件还是重复事件
• 涉及的数据主体遭遇损害的程度
• 为了减轻损害是否采取行动
• 由违规产生的财务预期或收益
• 与数据保护机构的合作情况

13. 数据外泄通告机制

组织在发生数据外泄时必须在72小时内，即刻通报给监管机构。并且，若外泄会给个人带来风险，也应该及时通知当事人。

【本文是专栏作者“”李少鹏“”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文