深度整理|欧盟《通用数据保护条例》(GDPR)核心要点

作者:青莲云, 星期一, 五月 7, 2018
来源:http://www.aqniu.com/industry/33637.html

本文更多的是站在企业角度来思考法案对物联网行业的影响以及应对措施,一来希望与同行企业可以就GDPR进行更多的互动讨论;二来也是希望传播国际法案对于安全和隐私的态度,共同提高物联网安全意识。

什么是GDPR

2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation (GDPR)),新法案由11章共99条组成,该法案将于2018年5月25日正式生效,将取代现有的《数据保护指示》(Data Protection Directive 95/46/EC),统一欧盟成员国关于数据保护的法律法规。

此外,GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。

GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案

GDPR的发展历程

GDPR的关键术语定义

个人数据:是指任何指向一个已识别或可识别的自然人(数据主体)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号、定位数据、在线身份识别这列标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。

处理:是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用、排列、组合、限制、删除或销毁,无论此操作是否采用自动化手段。

匿名化:是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。

数据控制者:能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。

数据处理者:是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。

数据接受者:只是接收到被传递的个人数据的主体,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据,不得视为“数据接受者”。

个人数据外泄:是指个人数据在传输、存储或进行其他处理时的由安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。

GDPR会影响哪些企业

欧盟GDPR法案具有域外效应。也就是说,GDPR赋予了欧盟在个人信息安全方面的域外管辖权

主要受影响的企业为以下四类:

总结来说,GDPR不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。

GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案,数据控制者也无法免除责任,GDPR规定控制者需要承担更多的责任,以确保和数据处理者之间的合同能够严格遵守GDPR的规定。

GDPR不适用于哪些情况

GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR:

GDPR约束了哪些数据

个人数据:

可以通过某个标识直接或间接识别某一自然人的信息。

不管是采用自动化手段还是人工进行归类的数据,包括按时间顺序排列的包含个人数据的记录集合。

已经被匿名化的个人数据,取决于用已有标识来识别特定个体的困难程度。

敏感个人数据:

也被称为“特殊种类的个人数据”。

包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。

包括遗传数据和经过处理可以唯一识别个体的生物特征数据。

不包括涉及刑事定罪和罪行的个人数据,但该类数据的处理和保存有特殊要求。

GDPR中数据主体的权利(第三章)

GDPR中处理个人数据的基本原则

GDPR中对合法处理数据的定义

至少满足一下中的某一项,处理数据才是合法的

GDPR中针对儿童数据的处理规定

处理16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可以对上述年龄进行调整,但是不得低于13岁

GDPR中数据控制者与数据处理者的义务

设置DPO(数据保护官)

文档化管理

数据保护影响评估

事先咨询机制

数据泄露报告机制

安全保障措施

遵守数据跨境转移规则

GDPR中针对特别类型个人数据的处理规定

禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。

GDPR中关于数据主体被遗忘权的规定(重要)

当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。

如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。

GDPR中关于数据主体可携带权的规定(重要)

数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。

GDPR中关于个人数据泄露通知的规定(重要)

数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误的通知数据主体,以便数据主体及时采取措施。

GDPR中关于设立数据保护官的规定

为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(DPO)。

控制者和处理者应当对数据保护官不下达任何指令,DPO不能因为执行任务的原因被解雇或者受到刑事处罚。

数据保护官直接向最高管理者报告工作。

根据联盟法律或者成员国法律规定,数据保护官应当对其执行任务的内容进行保密。

数据保护官也可以执行其他任务,履行其他职责。

GDPR关于执法和处罚的规定(非常重要)

不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。

GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定:

对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);

对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者);

判罚的严重程度是基于以下因素:

GDPR核心旨在保护隐私数据,并通过法案约束来建立企业和公民之间的信任关系,违反GDPR的代价远不止财务层面,还将给企业声誉造成极大破坏,并且导致企业和消费者之间产生信任危机

总结

由于青莲云所在的物联网行业也处于GDPR法案的约束之中,故此整理出法案中的重点思想与业界分享。GDPR此次改革以保护公民的基本权利为理念,在提高个人数据保护标准的同时,也会增加企业的合规成本。法案的背后是对隐私和安全的需求,法案生效后会成为国际数据隐私保护标准。

对于物联网行业的相关企业(硬件、软件、制造、数据分析等)来说,从此刻开始提升物联网安全意识,关注数据安全和用户隐私安全,积极的采取相应的整改或强化措施刻不容缓。青莲云安全团队也将在不断提升自身安全攻防能力和安全合规意识的同时,与客户企业建立长期持续的安全咨询合作关系,共同建设安全、自主、可信的物联网安全新业态。