Latest:

从数据出发 | GDPR应对措施

 
2019-06-02 14:34Editor:adminArticle Source:未知

2018年欧盟数据保护规则改革。

更严格的数据保护规则意味着人们对自己的个人数据有更大的控制权,企业也能从公平的竞争环境中获益。

前面的文章中,我们为大家分享了GDPR的一些基本内容。本次我们与大家一起学习下该法规中对于“数据”一词的具体定义。

一、“数据”涉及三大主体及权利/义务

1、GDPR法规主要面向了三个主体:
2、个人数据的定义
个人数据是指任何与已识别或可识别的活人有关的资料。收集到的不同的信息可以导致一个特定的人的身份识别,这也构成了个人数据。主要有以下三类:
  • 个人身份:例如电话号码、地址、车牌、相片、影片、电邮内容、问卷表单等;
  • 生物特征: 例如病历资料、指纹、脸部辨识、视网膜扫描等;
  • 线上定位资料: 例如 Cookie、IP 位置、行动装置 ID、社群网站活动纪录等。
除去以上,还有政治态度等只要是一个人所能产生出的任何资料,几乎都被重新定义为个人数据并受到保护。

二、GDPR Key Changes

从https://www.eugdpr.org/the-regulation.html网站解读总结出的法规涉及的关键词可以看出,本次法规的主要特点有一下几方面:
  • 领土外适用性:这导致了适用范围涉及到全球所有公司、组织(只要为欧盟成员国的公民提供服务并且获取了信息,本法规就适用)。对GDPR最大的误读就是,不在欧洲的公司不必担心GDPR。 GDPR对欧盟公民的个人资料拥有管辖权,无论在哪里(进行数据)处理,该条例都是适用的。
  • 处罚严厉以及连带责任:违反GDPR的组织可能被罚款高达4%的年度全球营业额或€2000万(≈127820000人民币元),需要注意的是,这些规则同时适用于控制器和处理器——这意味着“云”将不能免除GDPR的强制执行。
  • 同意/撤销权利:法规明确要求,公司将不再能够使用冗长的、难以辨认的、充满法律术语的条款和条件。收集信息的请求必须与其他事项明确区分,并以清晰、简单明了、可理解的语言提出。用户想要撤销同意,必须很容易。
  • 用户对数据拥有绝对控制权:用户对自己的数据拥有访问、更正、删除、移植等众多权利,数据拥有者必须配合执行。
  • 隐私保护从源头开始(privacy by design):法规要求数据拥有者的隐私保护从系统设计开始就考虑并设计,任何被认定是“数据中枢”的实体都必须有一个负责执行GDPR的数据保护官员(Data Protection Officers)。这位数据保护官将在数据主体出现隐私风险时向监管当局发出警报,并承担相关法律责任(第33条)。
  • 违反通知:根据GDPR,在所有可能“给个人权利和自由带来风险”的会员国中,违约通知将成为强制性的。这必须在发现漏洞后的72小时内完成。数据处理器也将被要求在第一次发现数据泄露后,“毫不延误地”通知他们的客户控制器。
     
三、企业如何进行合规应对?

现阶段,如果您的产品或者您的客户的产品会有可能出售的欧盟成员国或者为其公民提供服务,那么,您就必须合规。
另外,据有关媒体报道,中美日韩等国正在积极跟进,将很快有类似治理法规出台。所以,每一个IT企业都应该做好应对措施。下面,我们从数据传递的过程来梳理:

数据收集:法规要求企业必须合法、真实、透明、精准、最小限度的进行个人信息的收集工作。
应对措施:充分保障用户知情权,对“服务协议”和“隐私条款”进行相应调整,清晰明确表明企业将收集的数据、使用及用户享有的许可或撤销许可权益。通过端到端直连通信、用户本地存储数据等措施来有效降低在数据收集过程中产生的数据泄露的安全隐患。同时也大幅度降低数据收集过程中的GDPR合规投入。

数据存储:涉及数据所有者(Data Controller)、数据传输者(Data Processor)两个主体,明确了只有经过授权的用户才能访问数据。主要责任中明确的表明该类型企业需要制定包括严格的数据管理方案,数据保护计划,以及危机应对办法等在内的一揽子数据保护机制。在数据存储上比单要保障数据的安全性,也要保障数据的实效性,与用户明确的数据存储时间超出即刻安全销毁数据。
应对措施:优化数据管理方案,由专门岗位人员负责对数据进行管理,未经授权坚决拒绝访问数据;在两端对数据进行加密,防止存储或转发的过程中发生第三方泄密事件。
 
数据处理:涉及数据所有者(Data Controller)、数据传输者(Data Processor)两个主体,主要明确了确认、记录、评估、限制采集、限制加工等几个方面的义务。法规明确了数据所有者、数据传输者的所有数据处理必须是在用户知情并且确认的情况下进行,数据处理仅限于数据收集的目的,需要对数据处理过程进行详细记录(包括了数据类型、期限、是否输出到第三方等),并且需要进行持续的安全评估,随时应对安全威胁。
应对措施:调整隐私保护设计,从源头控制,尽量做到用户数据存储在用户本地并在用不本地处理,只上传必要的数据处理结果;对收集的数据以及处理结果按照要求记录处理过程;并增访问权限限制以及时间限制。

四、企业GDPR合规进程中有哪些痛点?
 
1、最小化采集如何实现?
2、如何应对连带责任?
3、网络连接安全保障投入较高
4、用户绝对权利的配合执行(删除、移植等)
5、新要求下管理、保护数据的投入巨大(根据有关调查,企业每年需要投入100万美元以上来改善GDPR合规性)
……………………
 
LongTooth(长牙)——可能是现阶段最小成本的GDPR合规方案
LongTooth(长牙)团队在2016年欧盟刚通过GDPR相关法律的时候就已经开始按照其要求设计LongTooth5.0产品了。
LongTooth(长牙)分布式IoT通信技术,将从源头上杜绝数据泄漏安全隐患。IOT服务交互的过程中不存在任何泄漏用户数据的环节,端到端直接交付服务,所有数据存在于用户本地。
菩提本无树、明镜亦非台。LongTooth(长牙)分布式IoT通信技术,将助您以最小化的成本坦然面对GDPR冲击。
 
Copyright © 2019 North 22 Solutions Ltd. All Rights Reserved《People's Republic of China value-added telecommunications business license》Shanghai ICP Ref. No.07009032