GDPR來了!這些隱私保護知識你get了么��?
發(fā)布時間:
2018.05.30 | 來源:
帕拉迪
在過去的一個周末�,歐盟史上最嚴厲隱私保護法GDPR正式生效。GDPR是二十年來數(shù)據(jù)隱私規(guī)則領(lǐng)域發(fā)生的最重要變化��,給歐盟���、乃至全世界的企業(yè)都將帶來重大影響����。無論企業(yè)是否在歐盟境內(nèi)����,只要與歐盟企業(yè)發(fā)生業(yè)務(wù)往來����,或涉及存儲��、處理���、交換任何歐盟公民的數(shù)據(jù),都必須嚴格遵守該條例��。
想要快速了解法案內(nèi)容���?這些關(guān)于GDPR的知識點可以幫你快速理清脈絡(luò)����。
01什么是GDPR�����?
《一般數(shù)據(jù)保護法案》(General Data Protection Regulation (GDPR))由歐洲議會投票通過����,這項法案賦予歐盟公民更多的個人數(shù)據(jù)控制權(quán),另外對那些收集��、處理和存儲個人數(shù)據(jù)的公司提出更高的責(zé)任要求���,新法案由11章共99條組成�,于2018年5月25日正式生效。(→_→完整法案內(nèi)容可在文末獲取查看)
GDPR作為一套用來保護歐盟普通公民個人隱私信息數(shù)據(jù)的新法規(guī)��,對個人信息的保護及監(jiān)管達到了前所未有的高度�,是史上最嚴格的數(shù)據(jù)保護法案。
02適用的范圍
GDPR適用的數(shù)據(jù)主體���,不僅僅是企業(yè)���,也包括決定和參與個人數(shù)據(jù)處理的任何個人、組織��,涵蓋政府部門���、公共組織�����、司法機構(gòu)及其他實體����。上述個人或?qū)嶓w(除歐盟境內(nèi)企業(yè)及機構(gòu),只要涉及向歐盟境內(nèi)個人提供服務(wù)并處理或監(jiān)控個人數(shù)據(jù))作為數(shù)據(jù)控制者或數(shù)據(jù)處理者的均在適用實體范圍內(nèi)�。
03涉及哪些個人數(shù)據(jù)
“個人數(shù)據(jù)”定義是指任何指向一個已識別或可識別的自然人信息��。該可識別的自然人能夠被直接或間接的識別�����,尤其是通過參照諸如姓名��、身份證號碼���、定位數(shù)據(jù)�、在線身份認證標識���,或者通過參照針對自然人的一個或多個要素(物理����、生理��、遺傳�����、心理、經(jīng)濟����、文化或社會身份)。這意味著GDPR擴大了定義����,包括“已識別”和“可識別”的數(shù)據(jù)信息,已識別個人數(shù)據(jù)指傳統(tǒng)個人數(shù)據(jù)(姓名�、照片、電子郵件�����、電話號碼�、家庭住址、身份證號碼��、銀行帳號或社?��?ㄌ柕龋?�,可識別個人的信息是指位置定位數(shù)據(jù)�����、移動設(shè)備ID以及某些情況下的IP地址�����、生物特征數(shù)據(jù)和遺傳數(shù)據(jù)等�����。
04對兒童數(shù)據(jù)的特別規(guī)定
GDPR在“信息社會服務(wù)中適用兒童同意的條件”規(guī)定��,如果直接向兒童提供信息社會服務(wù)時���,該兒童的年齡應(yīng)當為16周歲以上。若兒童未滿16周歲��,只有在征得監(jiān)護人同意或授權(quán)的范圍內(nèi)其處理才合法����。各成員國可以對上述年齡進行調(diào)整,但是不得低于13歲�。組織如涉及兒童個人數(shù)據(jù)的處理,應(yīng)予以特別保護�����。
05數(shù)據(jù)泄露強制通知的規(guī)定
GDPR規(guī)定,在發(fā)生個人數(shù)據(jù)泄露時�,除非個人數(shù)據(jù)的泄露不會產(chǎn)生危及自然人權(quán)利和自由的風(fēng)險,否則數(shù)據(jù)控制者應(yīng)在獲知泄露之時起的72小時內(nèi)向監(jiān)管機構(gòu)發(fā)送通知報告�����。組織應(yīng)注意如發(fā)生個人數(shù)據(jù)泄露等安全事件�,需履行的通報和告知義務(wù)。
06處罰的規(guī)定
不遵守規(guī)定的數(shù)據(jù)隱私法規(guī)的后果就是會受到嚴厲的制裁和巨額的罰款�。
07GDPR對違規(guī)組織采取根據(jù)情況分級處理的方法:
如果組織未按要求保護數(shù)據(jù)主體的權(quán)益、做好相關(guān)記錄�����,或發(fā)生了更為嚴重的侵犯個人數(shù)據(jù)安全的行為�,如未獲得客戶同意處理數(shù)據(jù),或核心理念違反“隱私設(shè)計”要求�����,或違反規(guī)定將個人數(shù)據(jù)跨境傳輸��,或違反歐盟成員國法律規(guī)定的義務(wù)等����,組織有可能面臨最高2000萬歐元或組織全球年營業(yè)額的4%(兩者取其高)的巨額罰款����。
漢武安全實驗室針對GDPR中的核心要點深度分析了國內(nèi)企業(yè)的應(yīng)對策略�。這里的應(yīng)對建議涉及到系統(tǒng)架構(gòu)、人員管理��、流程管理���、風(fēng)險評估�、業(yè)務(wù)邏輯�����、應(yīng)急響應(yīng)等眾多環(huán)節(jié)�����,以下內(nèi)容可作為企業(yè)自查的一種分析方式
1.必須明確詢問用戶��,是否允許同意搜集他們的數(shù)據(jù)����。必須以清晰的方式詢問用戶����,而不能以任何方式默認用戶授予開發(fā)者數(shù)據(jù)使用許可權(quán)�。
2.提供自助登錄入口���,可供查詢�、更新個人信息�����;提供賬戶銷毀/刪除功能��,確定服務(wù)或協(xié)議終結(jié)��,可允許選擇銷毀賬號及信息���,并刪除一切有關(guān)個人數(shù)據(jù)���,包括第三方賬戶登錄(可以通過加密數(shù)據(jù),然后刪除密鑰)����。
3.需要加強密鑰管理以保護加密的數(shù)據(jù),合理區(qū)分數(shù)據(jù)控制者和數(shù)據(jù)處理者���,對權(quán)限和身份進行合理劃分����。
4.識別數(shù)據(jù)存儲的位置(特別需要注意云計算服務(wù)資源),數(shù)據(jù)的類型及風(fēng)險級別���,嚴格把控信息數(shù)據(jù)的訪問控制�����。
5.遵守“知其所需”(Need to know)原則��,只收集所需要的最少個人數(shù)據(jù)���,并采取技術(shù)和管理措施來保護數(shù)據(jù)的存儲安全和傳輸安全�����,避免個人數(shù)據(jù)被篡改��、丟失��、未經(jīng)授權(quán)披露或被惡意攻擊�。
6.設(shè)置專門的隱私保護人員�����,實施問責(zé)機制��;建立數(shù)據(jù)生命周期管理��,定期更新或銷毀����,定義流程及描述以對數(shù)據(jù)泄露做出敏捷反應(yīng)����。
7.建立內(nèi)部隱私管控制度,并與專業(yè)數(shù)據(jù)安全服務(wù)公司保持聯(lián)系����。
8.進行全面的風(fēng)險評估;應(yīng)用關(guān)鍵安全控制來恰當?shù)貦z測��、管理和緩解數(shù)據(jù)處理環(huán)境中的任何漏洞���;根據(jù)企業(yè)策略配置系統(tǒng)�����,并維護該配置�;持續(xù)監(jiān)視日志文件,警惕任何潛在數(shù)據(jù)泄露或漏洞�。
面對“史上最嚴”的數(shù)據(jù)監(jiān)管條例,帕拉迪擁有專業(yè)資深的數(shù)據(jù)安全專家團隊為其保駕護航���。在確保企業(yè)和產(chǎn)品滿足GDPR合規(guī)要求的前提下��,帕拉迪也將為渠道合作伙伴和客戶提供數(shù)據(jù)安全方面的支持和建議����。
01
帕拉迪的漢武安全實驗室是由一支專業(yè)的數(shù)據(jù)安全專家組成的團隊����,該團隊可以幫助客戶對數(shù)據(jù)保護條例的具體要求及數(shù)據(jù)安全現(xiàn)狀進行解讀與分析,協(xié)助客戶發(fā)現(xiàn)數(shù)據(jù)安全防護弱點����,建立數(shù)據(jù)安全防護��,提升整體信息安全防護能力與等級�。
02
帕拉迪產(chǎn)品從設(shè)計之初,就擁有中英操作界面�����,并聯(lián)合合作伙伴一起打開了海外市場。在產(chǎn)品的海外銷售過程中��,我們根據(jù)各國的法律�、文化、政策等要求都做了較為嚴格的產(chǎn)品整改���。從使用界面�����、交付流程��、報表展現(xiàn)�、底層加固���、文化適應(yīng)等多方面��,與合作伙伴一起進行了上千項耗時一年多時間的整改工作���。帕拉迪的產(chǎn)品不但交付到了亞非拉,同時也獲得了歐盟某成員的國電信級用戶的信賴支持。面對新的GDPR法案要求���,帕拉迪已具備適用的根基�����,并且有能力�����、有經(jīng)驗根據(jù)條例要求進行一系列的整改����。
Tips:
關(guān)于歐盟 GDPR 原文���,參見:
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC
由漢武安全實驗室整理中文翻譯版網(wǎng)盤鏈接:
https://pan.baidu.com/s/1W0hvOcGzXfkNhOg8wDtLxg
全國信息安全標準化技術(shù)委員會秘書處發(fā)布《網(wǎng)絡(luò)安全實踐指南——歐盟GDPR 關(guān)注點》:
https://www.tc260.org.cn/upload/2018-05-25/1527251794595094938.pdf