tft每日頭條

 > 科技

 > gdpr評述及實務指引

gdpr評述及實務指引

科技 更新时间:2024-12-03 23:49:52

GDPR是General Data Protection Regulation(通用數據保護條例)的簡稱。因為它在2018年5月25日生效,所以這一天在歐洲被稱為“G-Day”。GDPR取代了22年曆史的Data Protection Directive(DPD,數據保護指令),其實兩個法律差異很大,已經算不上升級,而是徹底的革新。

GDPR是一個保護所有歐盟公民的法律,其條款規定了企業和實體應該采取何種措施保護歐盟公民的數據,尤其針對數字世界的數據,在受保護的數據範圍上極大拓展。例如,舊的法律更強調公民的PII信息的保護(PII,Personally Identifiable Information——個人可識别信息),而新的GDPR則要求公民在數字世界中的cookie,device ID,IP地址等也應受到跟PII一樣的保護。

gdpr評述及實務指引(通用數據保護條例)1

在這一點上,GDPR是順應時代的發展要求的,盡管具體的法條的嚴厲程度可能會帶來很多争議。

但争議更大的還是GDPR的作用範圍,因為GDPR的Data Subjects(數據實用範圍)的相關法條,對于“保護誰”的數據這一塊相當模糊。

一般而言,有如下情況:

l 歐盟公民且正在歐盟境内;

l 歐盟居民且正在歐盟境内;

l 歐盟公民,正在歐盟境外的其他國家,比如在美國或者中國;

l 歐盟居民,正在歐盟境外的其他國家,比如在美國或者中國;

l 外國人,臨時在歐盟境内。

所以,基本上可以認為,所有人(all people),凡是處于歐盟境内的,都受到GDPR的保護,就算不是歐盟公民也受到保護。但離開了歐盟的土地,基本上GDPR就管不着了。

另外一個争議比較大的,是歐盟境内的人,訪問歐盟境外的互聯網,是否受到GDPR的保護。答案是肯定的,隻要是歐盟境内的人,訪問到的互聯網,無論是美國的網站還是中國的app,還是俄羅斯的殺毒軟件,他們的數據都受到GDPR的保護。

這也是為什麼,即使你的公司不在歐盟,也不為歐盟的人提供服務,但仍然可能在完全不知道的情況下違反了GDPR的法規。這也是全世界幾乎所有的公司都覺得“不可思議”而“恐懼顫抖”的一個最主要的原因。

gdpr評述及實務指引(通用數據保護條例)2

GDPR規定,任何存儲或處理歐盟國家内有關歐盟公民個人信息的公司,即使在歐盟境内沒有業務存在,也必須遵守GDPR。具體如下:

l 在歐盟境内擁有業務;

l 在歐盟境内沒有業務,但是存儲或處理歐盟公民的個人信息;

l 超過250名員工;

l 少于250名員工,但是其數據處理方式影響數據主體的權利和隐私,或是包含某些類型的敏感個人數據。

gdpr評述及實務指引(通用數據保護條例)3

國内企業應該怎麼應對GPDR?

重構隐私保護的設計

基本上GDPR要求企業不是在過去的個人隐私保護上進行修修補補,而是需要進行徹底的重構。比如,過去的隐私保護強調的是未經授權的“不洩露”,但沒有強調數據的所有權與控制權的結合。過去,數據理論上當然屬于用戶,但是用戶卻沒有主動的任何一點控制這些數據的能力。有些網絡服務,一旦用戶建立了自己的賬号,實際上并不允許删除以及銷毀這些賬号,更談不上能夠将相關的數據轉移給第三方。現在,為了GDPR合規,數據的獲取、存儲、處理、組織、管理、轉移等等,全部都需要重新構建,以滿足GDPR所要求的功能,以及滿足更大的用戶的數據控制權。

必須大幅度清晰化用戶數據條款

對于大部分企業而言,需要大幅度簡化他們“虛僞”的用戶數據條款。而那些沒有用戶數據條款的,則必須立即建立足夠清晰、意思表示明确的用戶數據條款。此外,這些條款不可能包含“用戶主動放棄相關數據的所有權”之類的表述,因為這跟GDPR的基本發條是相違背的。

增強IT能力

很明顯,前面講到的很多事情,都是需要技術同事去重新開發才能完成的。我會預測,GDPR甚至可能推出一些數據格式的通用标準,以幫助企業能夠實現諸如數據攜帶權之類的要求。

任命數據保護官(DPO)

DPO并不一定是企業内部的員工,也可以聘請外部人士擔任。DPO更像是顧問的角色,而且,如果企業違反了GDPR,企業會作為法人受到歐盟的處罰,但DPO未必需要承擔責任。

減少不必要的數據收集

毫無疑問,收集的數據越多,越容易觸犯GDPR的紅線。重新審視自己的數據,是否真正的需要這些數據?如果把中國的這些互聯網大佬們在國内收集數據的方法搬到歐洲,分分鐘把你罰到破産。

如果你的網站使用cookie或者類似的監測

基本上沒有網站不使用cookie。GDPR并不是說不允許使用,但是必須有一個足夠明确、清晰的提醒告知用戶,你在使用cookie并且在收集他的數據。

任何表單填寫都要小心

任何讓用戶填寫的表單都要特别小心,要有明确的隐私提示,并且告知用戶他們對于這些數據擁有遺忘權等。

因此GDPR不是世界末日,隻要你正視并弄清楚它。


作者:伍傑| 研究領域:信息技術運維服務管理,信息安全管理,業務連續性管理

編輯:Viola

本文中内容僅供參考,若與您了解有任何不符之處請與我們聯系

關注我們,歡迎留言給出意見與建議,共同學習與交流

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关科技资讯推荐

热门科技资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved