《通用数据保护条例》(GDPR)以立法形式更新并统一了欧盟的数据保护和隐私法,并取代 1995 年的《欧盟数据保护指令》。
欧盟议会于 2016 年 4 月 14 日批准出台 GDPR 数据保护法,但生效日期推迟到 2018 年 5 月 25 日。因此,很多人将 GDPR 称为 2018 数据保护法。GDPR 统一了欧盟 28 个国家/地区的数据隐私法,推出 99 条规定,授予个人更多的权利,加大了个人数据的保护力度,也顺应了欧盟消费者对数据隐私安全的迫切需求。
RSA 《数据隐私和安全》报告指出,41% 的消费者因不相信数据隐私的安全性以及害怕骚扰性营销,故意向公司提交错误的个人信息。另有 90% 分布在世界各地的受访消费者表示,他们担心个人数据会丢失、遭到篡改或被盗取。
很多人将 GDPR 视为一次数据保护和隐私革命,而非一次权利的修正。新的法规聚焦于维持业务透明,使消费者(数据主体)享有更大的隐私保护。例如,若公司发现严重的数据泄漏事件,必须在 72 小时内通知监管当局及波及的个人。
GDPR 法规适用于欧盟公民产生的所有数据,无论收集数据的企业是否位于欧盟境内都必须遵守。它还影响到在欧盟存储信息的所有人,也包括非欧盟公民。此外,它还规定对违规的企业进行巨额罚款。
GDPR 指的是《通用数据保护条例》。这是一部数据保护法,它要求企业保护欧盟公民的数据以及欧盟成员国之间的交易隐私。它还规定了企业将个人数据导出到欧盟以外的地区时应遵守的条例。因此,很多人认为它是全球数据保护力度最大的准则,改进了人们访问信息的方式,进一步强化了企业在处理个人数据时必须遵循的规定。
若企业有大量数据处理和数据主体监控需求,GDPR 还规定其应配备一名数据保护官 (DPO)。数据保护官是企业数据治理和合规的首要负责人。
达不到 GDPR 要求的企业会面临严重的法律制裁,例如 2000 万欧元(大约 2026 万美元)或 4% 全球营业额的巨额罚款,以较高者为准。数据保护官的职责是确保企业采取适当措施,妥善保护个人数据。
由于公众对个人隐私的担忧越来越强烈,欧盟为顺应此大环境而出台了 GDPR。它取代了 1995 年的欧盟《数据保护指令》,该指令颁布时互联网尚未发展成熟,现代线上商业中心还未建立。现在,这一过时指令已无法解决企业在收集、传输和存储数据时的安全性问题,因此在千呼万唤下,GDPR 应势而出。
GDPR 的宗旨是保护欧盟公民及其数据,确保企业负责任地收集和存储数据。它要求企业保护个人数据安全,防止数据丢失,或未经授权非法处理、损坏、破坏数据。
GDPR 还列出了收集个人数据的适用情况,规定企业应仅出于特定合法目的使用数据,且只能在预期的范围内使用数据。该条例甚至对企业可以收集的数据量进行了限制。它规定,数据收集仅限于企业处理和使用数据的特定需求。
此外,GDPR 进一步规定了收集数据的企业应及时更新数据,确保数据准确性。
如果企业不能满足以下条款和条件,则视为违法处理个人身份信息。
GDPR 的出台使欧盟各成员国可遵循统一的数据安全法,避免各国单独编写和推行自己的相关法规。尽管 GDPR 是欧盟法律,它也同样也适用于欧盟以外其他国家/地区的企业。
例如,它也适用于在欧盟境内开展业务,收集且处理欧盟居民和公民数据的美国企业。PWC 调查指出,92% 的美国企业将遵守 GDPR 数据保护法视为首要任务。
有以下情况的企业还需遵守特定合规条款:
GDPR 非常重视个人数据保护。个人数据是指能直接或间接识别个人身份的信息。它可以是一些明显的信息,如姓名、地址或清晰的用户网名,也可以是间接身份信息,例如 Cookie 标识符、IP 地址等。
GDPR 还对某些敏感个人数据给予更大保护力度,包括以下信息:
个人数据的本质是指可识别个人身份的数据。在该广义定义下,化名也属于个人数据。对个人数据的定义是 GDPR 中至关重要的内容,毕竟该法案要解决的根本问题就是为保护个人数据而规范个人、企业、组织机构处理和控制个人数据的方式。
GDPR 定义了如下三种角色:
数据控制方是决策者,对处理个人数据的目的、方式及用途有控制权。有时个人数据由多方联合控制,即由两个或更多实体决定如何处理收集的数据。数据处理方遵照控制方的相关指示,代理他们执行数据的处理。因此,相比处理方,控制方要遵守更严格的条例规定。
企业收集和使用用户个人数据前,必须征得其同意。在这种情况下,个人数据指的是可用来识别或确认某个有生命自然人(通常称为数据主体)的信息。
如上定义,个人数据可能包括以下方面:
GDPR 要求,企业和组织机构应明确告知用户在访问其网站时会被收集数据,比如通过 Cookie。若访问者同意提供信息,则必须单击同意按钮。例如,很多网站通过弹出通知的形式告知用户会通过 Cookie(这是一类存放个人信息,如网站偏好或设置等个人信息的小文件)收集个人信息。
网站运营方必须在公司或网站所持有的个人数据发生泄露时及早通知访客和用户。上述欧盟数据保护条例通常比其他司法管辖区的规定更为严苛。
其他规定还包括,评估网站的数据安全性,以及配备数据保护官来履行相应保护职能。企业必须提供数据保护官及其他相关员工的联系信息,方便数据主体行使 GDPR 权利。例如,要求企业从网站删除自己的个人数据以及执行其他操作等。
为进一步保护消费者,GDPR 还督促企业和其他数据收集方对收集的个人数据进行匿名或假名处理,用假名代替个人的真实身份。履行这些措施后,企业才能进行广泛的数据分析,如评估客户的平均负债率,以判断哪些人不符合贷款信用要求等。
值得一提的是,GDPR 的数据保护范围不只是从客户处收集的数据,该法规还适用于人力资源部门的员工记录等。
欧盟 GDPR 一共有 11 个章节,91 条规定。下文列出会影响企业安全运营的部分关键条款:
GDPR 在第 5 条规定中设立了七项基本原则。这些原则旨在指导企业妥善处理个人数据。它们作为一个简化的总体框架,体现了 GDPR 保护个人数据的主旨。
其中大部分原则在以前的数据保护法中有类似描述。七大原则如下:
GDPR 的上述原则为保障数据主体权利奠定了基础。这些权利包括:
出现影响个人数据安全的漏洞时,数据控制方必须在 72 小时内通知监管当局(欧盟成员国指定的监督 GDPR 合规的公共机构)。其他的数据泄露通知要求还包括:
GDPR 对违规者采取分级罚款办法。它设有两个级别的罚款,取决于违规的范围和类型。
自 2016 年 GDPR 出台以来,大部分企业关注的核心问题是监管机构是否有能力对违规行为处以巨额经济罚款。监管机构可能会对企业的任何违规行为处以罚款,包括未能正确处理个人数据,未能按需配备数据保护官,或者出现数据泄露事件。
关于第三方个人数据,即来自欧盟数据主体之外第三方的数据,以及在该地区外共享的个人数据,GDPR 也做出了多项规定。2018 年的数据保护法案规定:
脱欧后,英国更新了数据保护法,现在使用 2018 年《数据保护法》。它规定,与欧盟客户和各组织机构开展业务往来的英国企业必须遵守 GDPR 法规。
值得注意的是,GDPR 要求数据处理方和控制方承担同等责任。这意味着,不合规的第三方数据处理方会影响整个组织机构的合规状态。法案还对举报数据链条中的违规行为提出了严格要求。
因此,数据控制方与 SaaS 提供商、薪资服务提供商或云提供商等数据处理方及与客户之间的现有合同中,必须明确划分各自的数据责任。合同协议中还应规定各方要采取一致的数据管理、收集、保护、存储流程和违规举报流程。
公司如何确保合规?许多法规条例阐述了数据管理要达到的预期效果,但未规定实现这些目标的具体技术措施。下文阐述了确保企业合规的最佳做法:
数字化转型重新定义了全球企业要遵守的监管规则。基于业务性质,美国企业现在要遵守多个有关网络安全方面的法规,例如 GDPR 和《加州消费者隐私法》(CCPA) 等。
通信平台和线上运行环境的多样性加大了合规管理的难度,对其要求更高、成本也在增加。因此,企业试图寻找更加经济高效的合规途径,并期望同时能提高生产力,拓展业务。
Veritas 的集成式数据合规产品组合可整合各种数据源中的信息,简化数据访问,提供数据洞察,支持数据分析,最大限度降低运营风险,确保企业合规。
Veritas 集成式合规和数据管理解决方案将大数据转化为可操作的洞察。借助 Data Insight 集成的报告和图像化显示功能,用户可以识别风险数据、与数据所有者沟通、撤销对个人敏感数据的访问权限,从而改进合规和决策流程。
Veritas 的集成式数据分类引擎还解决了有关暗数据的数据安全和合规挑战。作为 Gartner “企业信息归档”魔力象限中的领导者,我们一直领跑数据归档市场。用户可借助我们的产品将数据归档到任意目标位置,也可从任意位置检索数据。
Veritas 的集成式产品组合在市场上独领风骚。Veritas 的多云数据服务依托强大而全面的技术生态系统支持,在规模和功能多样性方面无人能及。