Skill Others GDPR

General Data Protection Regulation (GDPR)

通用数据保护条例

Posted by Oscaner on November 17, 2020

2018 年 5 月 25 日, 经过多年的准备, 整个欧洲开始实行计划已久的数据保护改革, 即 GDPR - General Data Protection Regulation (通用数据保护条例)。

GDPR 全文有将近 99 章, 有兴趣的朋友可以自行阅读 《General Data Protection Regulation》

什么是 GDPR

随着云服务的发展, 越来越多的用户/企业将他们的个人数据委托给了云服务提供商, 导致数据隐私和安全受到了严重的挑战。

在此背景下, 欧洲通过 GDPR 的颁布来表明其对数据安全及隐私方面的坚定立场。

GDPR 可以被视为目前世界上最强大的数据保护规则集, 它定义了用户如何访问他们的信息, 以及有效地限制企业去使用这些个人信息。

但是由于 GDPR 规模过于庞大, 缺少细节, 导致它的实施相当困难, 尤其是对于那些中小企业。

GDPR 的历史

1950 《欧洲人权公约》 中这样描述隐私权: Everyone has the right to respect for his private and family life, his home and his correspondence. (每个人都有权利尊重他的隐私和生活, 他的家庭, 以及他的通讯)。基于此, 欧盟试图通过立法来确保这一权利能够得到保护。

随着互联网技术的发展, 欧盟也意识到了数据保护的必要性。因此, 在 1995 年欧盟通过 European Data Protection Directive (欧洲数据保护指令) 确立了最小的数据隐私和安全标准, 每个成员国都以此为标准来制定他们自己的法律。

但是, 现如今的互联网如同一个数据吸尘器, 大量数据集合致使数据隐私与安全受到严重挑战。

1994 年, 第一个横幅广告上线。

2000 年, 大部分金融机构提供线上银行服务。

2006 年, Facebook 向公众开放。

2011 年, 一位 Google 用户起诉某公司扫描她的邮箱。

两个月后, 欧洲数据保护机构宣布欧盟需要”一个综合全面的个人数据保护方案”, 并开始更新 1955 年的法案指令。

于是, GDPR 在通过欧洲议会后, 于 2016 年正式生效, 并于 2018 年 5 月 25 日, 所有组织必须遵守。

GDPR 的应用

GDPR 的核心是个人数据。

从广义上讲, 这些信息来源于可用数据, 并且允许直接或间接识别活跃人员。常见的, 比如一个人的姓名、地址或者用户名。也可以是一些不明显的数据, 如 IP 地址和 cookie 标识。

根据 GDPR, 还有一些特殊分类的敏感数据也受到了相应保护。这类信息可能包含种族、伦理、政治观点、宗教信仰、工会成员身份、遗传生物特征、健康信息以及个人性取向等。

尽管 GDPR 来自于欧盟, 它也同样适用于其他企业。例如美国企业在欧盟开展业务, 那么 GDPR 也适用于它, 无论它是否由欧盟公民管理。

范围

如果您的业务包含欧盟公民或居民, 需要处理他们的个人数据, 或者向这些人提供商品或服务, 那么即使您不在欧盟, GDPR 也适用于您。

处罚

违反 GDPR 的处罚非常高。

分为两级处罚 (以较高者为准):

  1. 最高为 2000 万欧元
  2. 全球收入的 4%

此外, 数据主体也有权力寻求损害赔偿。

关键定义

GDPR 详细定义了一系列法律术语:

  1. Personal data (个人数据)

    个人数据指可以直接或间接识别、与个人相关的任何信息。

    如, 姓名、电子邮件地址、位置信息、种族、性别、生物特征数据、宗教信仰、cookie 标识码、政治观点等。

    如果某些信息能够定位某人的身份, 那么该类信息也可归入该定义, 如假名。

  2. Data processing (数据处理)

    数据处理指对数据执行的任何操作, 无论自动或者手动。

    如, 搜集、记录、组织、结构化、存储、使用、擦除, etc…

  3. Data subject (数据主体)

    数据主体指被处理数据的人。他们是您的客户或者网站访问者。

  4. Data controller (数据控制者)

    数据控制者指决定处理个人数据的原因和方法的人。如果您是组织中处理数据的 owner 或者员工, 那么 Data controller 就是您。

  5. Data processor (数据处理者)

    数据处理者指代表 Data controller 处理个人数据的第三方。

    GDPR 对于这些个人或组织有特殊规定。他们可以是云服务商, 也可以是电子邮件服务商。

数据保护原则

如果您想处理数据, 则必须根据 Article 5.1-2 中的七项保护和问责原则进行处理:

  1. Lawfulness, fairness and transparency (合法、公平和透明)

    数据的处理对于数据主体必须合法、公平、透明。

  2. Purpose limitation (目的限制)

    当您在搜集并处理数据时, 您必须明确向数据主体指定合法目的。

  3. Data minimization (数据最小化)

    您应该只搜集和处理在指定目的以内的、必要的数据。

  4. Accuracy (准确性)

    您必须保持个人数据的准确性和最新性。

  5. Storage limitation (存储限制)

    您必须只存储在指定目的以内的必要数据。

  6. Integrity and confidentiality (完整性和机密性)

    必须在确保适当的安全性、完整性和机密性的方法下处理数据。

  7. Accountability (问责制)

    数据控制者有责任证明其已遵守所有的 GDPR 原则。

Accountability (问责制)

数据控制者必须有能力证明他们的 GDPR 合规。

这并不是事后可以做的事情: 如果您认为您遵守了 GDPR 规则, 但是无法说明如何遵守, 那么您就没有符合 GDPR。

您可以通过以下方式执行此操作:

  1. 为您的团队指定数据保护责任。
  2. 维护您正在搜集的数据详细文档, 包括如何使用, 存储在哪里, 哪个员工在负责它, 等等。
  3. 培训您的员工, 并实施技术和管理安全措施。
  4. 与为您处理数据的第三方签订数据处理协议合同。
  5. 指定一名数据保护官。

Processing (处理)

不要去考虑触碰任何人的个人数据, 不要去搜集它, 存储它, 或者把它卖给广告商, 除非您用一下其中一个条例来证明它的合理性:

  1. 数据主体给予了您明确同意, 允许您处理他的数据。(例如, 他们加入了您的营销电子邮件列表)
  2. 数据主体作为合同一方与您签订合同, 并且处理数据是合同执行或准备的必要环节。(例如, 房屋出租之前对潜在租客进行背景调查)
  3. 由于法律义务, 您需要对其进行处理。(例如, 您收到了来自司法管辖区的法院命令)
  4. 您需要处理数据以挽救某人的生命
  5. 为公共利益执行任务, 或者执行一些政府职能而必须处理。(例如, 您是一家私人垃圾收集公司)
  6. 您有处理某人个人数据的合法权益。这是最灵活的合法依据, 尽管数据主体的基本权力和自由总是凌驾于您的利益之上, 尤其是儿童数据。

当您确定您对于数据处理的合法依据后, 您需要记录此依据并通知数据主体。

并且如果您后期需要更改依据, 您需要有一个足够的理由, 记录此理由, 并通知数据主体。

以下规则构成了”数据主体同意处理他们的信息”的规范:

  1. 同意必须是自由给出的、具体的、知情的和明确的
  2. 同意请求必须与其他事项明显区分开来, 并以清晰明了的语言提出。
  3. 数据主体能够撤回他们先前给予的同意, 并且您必须尊重他们的决定。
  4. 13 岁以下的儿童只有在父母同意的情况下才能给予同意。
  5. 您必须保留同意的书面证据。

隐私权

您是数据控制者和/或数据处理者。但是作为一个使用互联网的人, 您同样也是一位数据主体。

GDPR 赞成一系列的新数据主体隐私权, 旨在让个人更好地控制他们借给组织的数据。

作为组织, 理解这些权限能够确保您符合 GDPR 规范:

  1. The right to be informed (知情权)
  2. The right of access (访问权)
  3. The right to rectification (纠正权)
  4. The right to erasure (删除权)
  5. The right to restrict processing (限制处理的权利)
  6. The right to data portability (数据可移植性的权利)
  7. The right to object (反对的权利)
  8. Rights in relation to automated decision making and profiling. (与自动化决策和分析相关的权利)

GDPR 的意义

对于企业

GDPR 立法的影响范围超出了欧洲本身的边界。

如开头所说, 尽管 GDPR 来自于欧盟, 它也同样适用于其他企业。例如美国企业在欧盟开展业务, 那么 GDPR 也适用于它, 无论它是否由欧盟公民管理。

GDPR 的希望之一是通过精简数据立法, 为企业带来收益。欧盟委员会声称, 为整个欧盟设立一个单一的监管机构, 可以使企业在该地区的经营变得更加简单、更加便宜。的确, 欧盟委员会声称 GDPR 将会为整个欧洲每年节省 23 亿欧元。

对于消费者/公民

由于大量的数据泄露和黑客攻击, 许多人的数据 (邮箱, 密码, 社会安全号码, 保密健康记录) 都早已暴露在互联网上。

GDPR 带来的巨大改变之一就是让消费者有权知道他们的数据何时被黑客入侵。组织必须尽快通知相关的国家机构, 以确保欧盟公民能够采取适当措施防止其数据被滥用。

GDPR 还带来了明确的被遗忘权流程, 给予那些“不希望处理他们数据并将其删除”的人额外的权力和自由。

总结

从小型企业到大型企业, 所有组织都必须了解所有 GDPR 要求, 并准备在未来遵守这些要求。

对于许多企业而言, 遵守 GDPR 的第一步就是指定一名数据保护官, 负责制定数据保护计划以满足 GDPR 要求。

一旦合规, 重要的是要随时了解法律和执法方式的改变。

相关资料

  1. 《What is GDPR, the EU’s new data protection law?》
  2. 《What is GDPR? The summary guide to GDPR compliance in the UK》
  3. 《What is GDPR? Everything you need to know about the new general data protection regulations》
  4. 《What is the General Data Protection Regulation? Understanding & Complying with GDPR Requirements in 2019》
  5. 《Protection of personal data (from 2018)》
  6. 《General Data Protection Regulation》
  7. Cookiebot
  8. OneTrust

本文由 Oscaner 创作, 采用 知识共享署名4.0 国际许可协议进行许可
本站文章除注明转载/出处外, 均为本站原创或翻译, 转载前请务必署名

CATALOG
    FEATURED TAGS
    Skill Clang Exam AWS C++ Data Structure MLS Machine Learning PHP Coding Others Graduate Math NoSQL SQL Linux Redis Fibonacci Git Memcached MySQL
    FRIENDS