站長資訊平臺

GDPR（歐盟通用數(shù)據(jù)保護條例）重點條例分析

2019-02-13 來源：raincent

2018年，歐盟發(fā)布實施了GDPR，一時間引起了軒然大波，先后一些科技巨頭公司紛紛被控訴舉報違反GDPR，遭到罰款處罰。本文主要是結(jié)合條例和日常工作，做一個簡單的分析總結(jié)。

一、什么是GDPR

GDPR，英文全稱：General Data Protection Regulation，中文翻譯為：通用數(shù)據(jù)保護條例。是歐洲聯(lián)盟的條例法規(guī)，其前身是歐盟在1995年制定的《計算機數(shù)據(jù)保護法》。

內(nèi)容就是針對近年來用戶隱私被泄露造成的一系列問題，要求對歐盟所有成員國個人信息進行收集、存儲、處理及轉(zhuǎn)移等活動時，要按照要求，采取技術和管理手段對個人敏感隱私數(shù)據(jù)進行保護。

二、適用范圍

條例原文：

(1) 本條例適用于在歐盟內(nèi)部設立的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理，不論其實際數(shù)據(jù)處理行為是否在歐盟內(nèi)進行。

(2) 本條例適用于如下相關活動中的個人數(shù)據(jù)處理，即使數(shù)據(jù)控制者或處理者不在歐盟設立：

為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務——不論此項商品或服務是否要求數(shù)據(jù)主體支付對價;

對發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動進行監(jiān)控。

條例本身比較不好理解，總結(jié)一下就兩點：1.歐盟成員國的相關企業(yè)和組織在對個人數(shù)據(jù)進行處理時要遵守該條例。2.不屬于歐盟成員國的企業(yè)組織(比如咱們中國的企業(yè))只要提供的商品或服務以及相關項目涉及到了處理歐盟成員國的公民個人數(shù)據(jù)就也必須遵守該條例

三、違規(guī)處罰

條例規(guī)定，對違反法規(guī)的企業(yè)、單位或組織的罰金最高可達2000萬歐元(約合1.5億元人民幣)或者其上一年全球總營業(yè)額4%的金額罰金，兩者取其最高。

是的，你沒聽錯，也沒有看錯，如果違反相關規(guī)定就是要罰這么多，這么重的處罰對一個公司或單位必將是重磅的一擊，一般的公司或單位可能根本經(jīng)受不了這么重的處罰，大公司的心肝也是顫抖的。

在GDPR剛實施后不久，一些國際巨頭公司如Facebook(臉書)和Google(谷歌)等遭到了舉報和投訴，成為GDPR法案的第一批被告。一些公司甚至直接關閉了針對歐盟用戶的業(yè)務。

四、國內(nèi)動作

在有了Google這樣的大公司被罰的先例后，國內(nèi)企業(yè)也加快了對GDPR學習和執(zhí)行的步伐，緊鑼密鼓地進行著，生怕也上了被罰的名單。同時，國內(nèi)近幾年不斷爆出用戶個人隱私信息被泄露的消息，大量的個人信息流經(jīng)黑市，也因此出現(xiàn)了一系列冒名頂替、電信詐騙等刑事案件�？梢灶A判，國內(nèi)網(wǎng)絡安全監(jiān)管機構很有可能效仿歐盟，照搬或者自己出臺相關法規(guī)，加強對公民個人信息的保護。

五、條例重點分析

那么，對于企業(yè)或者說企業(yè)的安全負責人，如何來實施相關措施來保證符合GDPR的相關規(guī)定呢?在這里，我分享下我個人的見解。

1. 數(shù)據(jù)處理原則

要求企業(yè)在進行數(shù)據(jù)收集、存儲和處理時要提供收集的目的用途、存儲的時間、收集的方式、收集的數(shù)據(jù)類型、存儲和處理數(shù)據(jù)的安全技術保障措施、數(shù)據(jù)操作審批權限、取得用戶同意、簽訂契約以及針對兒童的相關條件等等。

企業(yè)在進行用戶數(shù)據(jù)的相關活動中必須要了解上述內(nèi)容要求，并作出相關承諾，在收集之前就要提供類似用戶隱私聲明一類的內(nèi)容，同時明確自己的責任和義務。

2. 禁止的特殊類型數(shù)據(jù)

除GDPR法規(guī)第9條、第10條例外規(guī)定的情形，其他情況下應禁止處理這些特殊類型的數(shù)據(jù)，包括：種族或民族出身、政治觀點、宗教或哲學信仰、工會成員身份、基因數(shù)據(jù)、為了特定識別自然人的生物性識別數(shù)據(jù)、和自然人健康、個人性生活或性取向相關的數(shù)據(jù)等以及涉及犯罪定罪與違法相關的個人數(shù)據(jù)。

企業(yè)在進行用戶數(shù)據(jù)處理時一定要明確這些禁止的特殊類型數(shù)據(jù)，除非符合法規(guī)規(guī)定的例外情形，否則千萬不要試圖去收集和處理這些數(shù)據(jù)，以免受到影響。

3. 數(shù)據(jù)主體訪問權

數(shù)據(jù)主體應該具有或者說企業(yè)應該提供給數(shù)據(jù)主體訪問個人信息的處理目的、數(shù)據(jù)類型、數(shù)據(jù)接收者和接收者的類型、存儲的期限和依據(jù)標準、數(shù)據(jù)來源信息、數(shù)據(jù)轉(zhuǎn)移保障措施等。

不管是系統(tǒng)提供的隱私說明或是簽訂的合同必須能讓數(shù)據(jù)主體或用戶能夠隨時訪問到這些信息，只有這樣才能保障數(shù)據(jù)主體的訪問權。

4. 數(shù)據(jù)主體更證權

數(shù)據(jù)主體要能夠或者說企業(yè)應該提供給數(shù)據(jù)主體對其個人數(shù)據(jù)更正和完善的權利。

當個人信息被收集、存儲和處理時，要提供相關接口和入口讓數(shù)據(jù)主體或用戶隨時能夠?qū)ψ约旱膫€人數(shù)據(jù)進行修改，比如常見的用戶個人中心，可以對個人的資料進行修改更新。

5. 數(shù)據(jù)主體擦除權(被遺忘權)

除條例第17條21(3)規(guī)定的情形，企業(yè)要提供給數(shù)據(jù)主體或用戶擦除其個人數(shù)據(jù)的權利。

大部分企業(yè)提供的應用或服務不會讓數(shù)據(jù)主體或用戶直接刪除個人數(shù)據(jù)的，基于此，可以提供接收數(shù)據(jù)主體擦除請求的通道，幫助用戶擦除一些不再必要的數(shù)據(jù)。

6. 數(shù)據(jù)主體限制處理權

當數(shù)據(jù)主體對個人數(shù)據(jù)的準確性有爭議、認為處理是非法的、為了提起法律辯護等情形時，企業(yè)要提供給用戶限制處理權。

當發(fā)生這些情況時，用戶如果提出要求不讓企業(yè)繼續(xù)處理其個人數(shù)據(jù)時，企業(yè)必須接收，停止對其個人數(shù)據(jù)的處理，可以采取凍結(jié)賬號及切斷和其關聯(lián)的所有活動。

7. 數(shù)據(jù)攜帶權

數(shù)據(jù)主體要能夠或者企業(yè)應該提供將已經(jīng)經(jīng)過整理、普遍使用和機器可讀的數(shù)據(jù)無障礙地從一個數(shù)據(jù)控制者到另一個控制者。

就是說企業(yè)收集、處理的用戶數(shù)據(jù)要進行格式化整理，并且能夠支持格式化導出且機器可讀。

8. 數(shù)據(jù)主體反對權

當企業(yè)為了一些直接營銷的目的，而未經(jīng)數(shù)據(jù)主體或用戶同意的情況下直接使用與其相關的用戶畫像時，數(shù)據(jù)主體或用戶有權反對。

無論采取管理手段或技術手段，在使用用戶畫像進行營銷之前都必須征得用戶同意，以免造成不必要的影響。

9. 合規(guī)認證

企業(yè)要進行相關的隱私認證，積極參與GDPR合規(guī)認證，選擇有資質(zhì)的、規(guī)范的認證機構，而不是簡簡單單隨便找個“所謂的隱私認證機構”或自認證，通過之后將徽章資質(zhì)放到官網(wǎng)上面，一定得是GDPR的認證且是權威認證機構。

10. 簽署協(xié)議

無論數(shù)據(jù)控制者或者數(shù)據(jù)處理者，在對個人數(shù)據(jù)進行處理時，必須簽訂保密協(xié)議。以及在涉及對用戶數(shù)據(jù)進行共享、傳輸和處理時與第三方或其他合作方進行合作時，必須簽訂相關的協(xié)議，明確責任，確保個人數(shù)據(jù)的保護得到應有的保證。

11. 數(shù)據(jù)處理安全

企業(yè)在對數(shù)據(jù)進行收集、處理等活動時應該采取如下安全措施保證個人數(shù)據(jù)安全。

數(shù)據(jù)脫敏技術：要對個人數(shù)據(jù)進行匿名化。

數(shù)據(jù)加密技術：要對個人數(shù)據(jù)在存儲和傳輸過程中進行加密。

數(shù)據(jù)完整性技術：要對個人數(shù)據(jù)在存儲和傳輸過程中的完整性進行校驗，避免被篡改。

數(shù)據(jù)訪問控制技術：要對個人數(shù)據(jù)設置合理的訪問控制策略，避免未授權訪問和不正當?shù)脑L問。

數(shù)據(jù)備份技術：要對個人數(shù)據(jù)進行備份，保證可用性。

數(shù)據(jù)恢復和響應技術：要對個人數(shù)據(jù)及時進行恢復和響應測試，確保恢復和響應的可行性。

12. 設立數(shù)據(jù)保護官

企業(yè)需要雇傭設立專門的數(shù)據(jù)隱私保護官員來監(jiān)督GDPR的執(zhí)行，以及對涉及的個人數(shù)據(jù)進行相關的安全防護。

以上，就是我結(jié)合GDPR相關條例和我工作當中實施執(zhí)行的相關分享和心得總結(jié)，當然還有很多小的細節(jié)沒有一一列出來，大家可以以這個為參考繼續(xù)去詳細了解法規(guī)內(nèi)容。以上純粹個人理解，如有不當之處，請留言或私信我，一起交流，一起提高。

標簽： Google 安全谷歌權限網(wǎng)絡網(wǎng)絡安全