信息中心

何为《通用数据保护条例》(GDPR)?

《通用数据保护条例》(GDPR)以立法形式更新并统一了欧盟的数据保护和隐私法,并取代 1995 年的《欧盟数据保护指令》。

欧盟议会于 2016 年 4 月 14 日批准出台 GDPR 数据保护法,但生效日期推迟到 2018 年 5 月 25 日。因此,很多人将 GDPR 称为 2018 数据保护法。GDPR 统一了欧盟 28 个国家/地区的数据隐私法,推出 99 条规定,授予个人更多的权利,加大了个人数据的保护力度,也顺应了欧盟消费者对数据隐私安全的迫切需求。

RSA 《数据隐私和安全》报告指出,41% 的消费者因不相信数据隐私的安全性以及害怕骚扰性营销,故意向公司提交错误的个人信息。另有 90% 分布在世界各地的受访消费者表示,他们担心个人数据会丢失、遭到篡改或被盗取。

很多人将 GDPR 视为一次数据保护和隐私革命,而非一次权利的修正。新的法规聚焦于维持业务透明,使消费者(数据主体)享有更大的隐私保护。例如,若公司发现严重的数据泄漏事件,必须在 72 小时内通知监管当局及波及的个人。

GDPR 法规适用于欧盟公民产生的所有数据,无论收集数据的企业是否位于欧盟境内都必须遵守。它还影响到在欧盟存储信息的所有人,也包括非欧盟公民。此外,它还规定对违规的企业进行巨额罚款。

GDPR 的定义

GDPR 指的是《通用数据保护条例》。这是一部数据保护法,它要求企业保护欧盟公民的数据以及欧盟成员国之间的交易隐私。它还规定了企业将个人数据导出到欧盟以外的地区时应遵守的条例。因此,很多人认为它是全球数据保护力度最大的准则,改进了人们访问信息的方式,进一步强化了企业在处理个人数据时必须遵循的规定。

若企业有大量数据处理和数据主体监控需求,GDPR 还规定其应配备一名数据保护官 (DPO)。数据保护官是企业数据治理和合规的首要负责人。

达不到 GDPR 要求的企业会面临严重的法律制裁,例如 2000 万欧元(大约 2026 万美元)或 4% 全球营业额的巨额罚款,以较高者为准。数据保护官的职责是确保企业采取适当措施,妥善保护个人数据。

GDPR 的目的

由于公众对个人隐私的担忧越来越强烈,欧盟为顺应此大环境而出台了 GDPR。它取代了 1995 年的欧盟《数据保护指令》,该指令颁布时互联网尚未发展成熟,现代线上商业中心还未建立。现在,这一过时指令已无法解决企业在收集、传输和存储数据时的安全性问题,因此在千呼万唤下,GDPR 应势而出。

GDPR 的宗旨是保护欧盟公民及其数据,确保企业负责任地收集和存储数据。它要求企业保护个人数据安全,防止数据丢失,或未经授权非法处理、损坏、破坏数据。

GDPR 还列出了收集个人数据的适用情况,规定企业应仅出于特定合法目的使用数据,且只能在预期的范围内使用数据。该条例甚至对企业可以收集的数据量进行了限制。它规定,数据收集仅限于企业处理和使用数据的特定需求。

此外,GDPR 进一步规定了收集数据的企业应及时更新数据,确保数据准确性。

如果企业不能满足以下条款和条件,则视为违法处理个人身份信息。

  • 收到个人(数据主体)的明确同意书
  • 出于法律义务处理数据
  • 为签订或履行与个人之间的合同
  • 处理过程中要保护个人或第三方的利益
  • 数据控制方为执行公益任务或行使官方授予的权利
  • 第三方或数据控制方为追求合法利益而处理数据,但该利益不得损害数据主体的权利、自由和利益

GDPR 的适用范围

GDPR 的出台使欧盟各成员国可遵循统一的数据安全法,避免各国单独编写和推行自己的相关法规。尽管 GDPR 是欧盟法律,它也同样也适用于欧盟以外其他国家/地区的企业。

例如,它也适用于在欧盟境内开展业务,收集且处理欧盟居民和公民数据的美国企业。PWC 调查指出,92% 的美国企业将遵守 GDPR 数据保护法视为首要任务。

有以下情况的企业还需遵守特定合规条款:

  • 在欧盟境内开设办事处
  • 有处理欧盟居民数据的实体,即使公司在该地区内未设办事处
  • 员工人数超过 250 人
  • 员工人数少于 250 人,但公司的数据(可能包括/不包括某些类型的个人数据)处理会影响到数据主体的自由和权利

GDPR 非常重视个人数据保护。个人数据是指能直接或间接识别个人身份的信息。它可以是一些明显的信息,如姓名、地址或清晰的用户网名,也可以是间接身份信息,例如 Cookie 标识符、IP 地址等。

GDPR 还对某些敏感个人数据给予更大保护力度,包括以下信息:

  • 族裔或种族
  • 宗教信仰
  • 生物识别数据
  • 政治观点
  • 遗传数据
  • 健康信息
  • 性取向或性生活
  • 工会会员身份

个人数据的本质是指可识别个人身份的数据。在该广义定义下,化名也属于个人数据。对个人数据的定义是 GDPR 中至关重要的内容,毕竟该法案要解决的根本问题就是为保护个人数据而规范个人、企业、组织机构处理和控制个人数据的方式。

GDPR 定义了如下三种角色:

  1. 数据主体:个人数据的所有者
  2. 数据控制方:负责确定待收集的个人数据类型以及使用方式
  3. 数据处理方:为数据控制方处理个人数据

数据控制方是决策者,对处理个人数据的目的、方式及用途有控制权。有时个人数据由多方联合控制,即由两个或更多实体决定如何处理收集的数据。数据处理方遵照控制方的相关指示,代理他们执行数据的处理。因此,相比处理方,控制方要遵守更严格的条例规定。

GDPR 如何保护客户?

企业收集和使用用户个人数据前,必须征得其同意。在这种情况下,个人数据指的是可用来识别或确认某个有生命自然人(通常称为数据主体)的信息。

如上定义,个人数据可能包括以下方面:

  • 名称
  • 身份识别码 (ID)
  • 位置数据
  • 与数据主体的身体、遗传、精神、经济、文化、生理或社会身份有关的具体信息
  • 生物识别数据,如指纹或人脸
  • 种族或族裔信息
  • 医疗保健信息
  • 工会会员身份

GDPR 要求,企业和组织机构应明确告知用户在访问其网站时会被收集数据,比如通过 Cookie。若访问者同意提供信息,则必须单击同意按钮。例如,很多网站通过弹出通知的形式告知用户会通过 Cookie(这是一类存放个人信息,如网站偏好或设置等个人信息的小文件)收集个人信息。

网站运营方必须在公司或网站所持有的个人数据发生泄露时及早通知访客和用户。上述欧盟数据保护条例通常比其他司法管辖区的规定更为严苛。

其他规定还包括,评估网站的数据安全性,以及配备数据保护官来履行相应保护职能。企业必须提供数据保护官及其他相关员工的联系信息,方便数据主体行使 GDPR 权利。例如,要求企业从网站删除自己的个人数据以及执行其他操作等。

为进一步保护消费者,GDPR 还督促企业和其他数据收集方对收集的个人数据进行匿名或假名处理,用假名代替个人的真实身份。履行这些措施后,企业才能进行广泛的数据分析,如评估客户的平均负债率,以判断哪些人不符合贷款信用要求等。

值得一提的是,GDPR 的数据保护范围不只是从客户处收集的数据,该法规还适用于人力资源部门的员工记录等。

欧盟 GDPR 的要求

欧盟 GDPR 一共有 11 个章节,91 条规定。下文列出会影响企业安全运营的部分关键条款:

  • 第 17 和 18 条赋予数据主体对自动处理个人数据的控制权。他们可以在不同服务提供商之间轻松转移数据(可移植权利),还可以在某些情况下指示数据控制方删除他们的数据(删除权)。
  • 第 23 和 30 条规定企业应采取合理的保护措施,避免个人数据遭到泄露或丢失。
  • 第 31 条规定发生数据泄露后,企业应采取的行动,包括在 72 小时内通知监管当局并说明具体情况。
  • 第 32 条要求数据控制方尽快通知数据主体发生了数据泄露事件,以避免其权利和自由受到影响。
  • 第 33 和 33a 条要求企业执行详尽的数据保护影响评估。它有助于识别风险,以实施正确的应对流程。
  • 第 35 条规定了任命数据保护官的条件。根据企业规模及所收集的个人数据性质,企业可能需要设立数据保护官职位。例如,企业收集员工个人信息以进行人力资源管理,或收集数据主体的敏感信息(如一般身份信息、健康状况、民族、种族或宗教信仰等),则需要设立数据保护官一职。
  • 第 36 和 37 条概述了数据保护官岗位的定义,以及为确保 GDPR 合规该岗位的相关职责。
  • 第 45 条扩展并规定了收集或处理欧盟公民个人数据的跨国企业须遵守的数据保护法规要求。根据 GDPR,这些实体适用与欧盟境内实体相同的法规要求。
  • 第 79 条列出不遵守 GDPR 法规将受到的罚款和处罚。

GDPR 原则

GDPR 在第 5 条规定中设立了七项基本原则。这些原则旨在指导企业妥善处理个人数据。它们作为一个简化的总体框架,体现了 GDPR 保护个人数据的主旨。

其中大部分原则在以前的数据保护法中有类似描述。七大原则如下:

  1. 合法、公平、透明:企业须告知数据主体其个人数据的使用方式。
  2. 用途限制:企业只能出于特定目的收集数据
  3. 数据最小化:企业收集数据的范围不得超出其特定处理需求的范围。
  4. 存储限制:企业保留收集数据的期限不得超过所需时长。
  5. 准确性和及时更新:收集并处理数据的企业应及时更新数据,确保数据准确,还必须应数据主体的要求更改或删除数据。
  6. 完整性和保密性:企业必须采取适当的安全保护措施,保护个人数据,以避免数据被盗/未经授权访问等。
  7. 合规性:数据收集方必须遵守 GDPR 的规定。

GDPR 赋予个人的权利

GDPR 的上述原则为保障数据主体权利奠定了基础。这些权利包括:

  • 访问权:数据主体可访问并审查企业中存储的有关其个人的数据
  • 遗忘权:用户可要求企业从其存储的数据中擦除个人身份信息。如果企业有合理的法务保留依据,可拒绝此要求
  • 反对权:用户有权拒绝企业收集、处理或使用其个人数据。同理,企业如果能提供充分的法律依据,则可忽略此类反对
  • 可移植权:用户可访问并转移其个人数据
  • 纠正权:用户可纠正不准确的数据

GDPR 违规和罚款

出现影响个人数据安全的漏洞时,数据控制方必须在 72 小时内通知监管当局(欧盟成员国指定的监督 GDPR 合规的公共机构)。其他的数据泄露通知要求还包括:

  • 提供延迟通知监管当局的理由
  • 泄露通知至少要说明泄露的性质,被感染的数据类型和数量,以及涉及的数据记录数量
  • 通过广泛公告向所有受害者直接通知数据泄露事件
  • 详细说明数据泄露的可能后果以及减轻影响的措施
  • 数据控制方必须记录有关泄露的一切事宜以及补救措施,然后将副本提交给监管当局进行核实

GDPR 对违规者采取分级罚款办法。它设有两个级别的罚款,取决于违规的范围和类型。

  1. 第一级罚款是 1000 万欧元或公司上年度全球总营业额的 2%,以较高者为准。
  2. 第二级罚款是 2000 万欧元或公司上年度全球总营业额的 4%,以较高者为准。

自 2016 年 GDPR 出台以来,大部分企业关注的核心问题是监管机构是否有能力对违规行为处以巨额经济罚款。监管机构可能会对企业的任何违规行为处以罚款,包括未能正确处理个人数据,未能按需配备数据保护官,或者出现数据泄露事件。

GDPR 和第三方数据

关于第三方个人数据,即来自欧盟数据主体之外第三方的数据,以及在该地区外共享的个人数据,GDPR 也做出了多项规定。2018 年的数据保护法案规定:

  • 数据控制方在将个人数据传输到国际组织机构或其他国家/地区之前必须征得许可
  • 数据控制方必须详细说明,除数据主体外还从哪些来源收集了何种数据

脱欧后,英国更新了数据保护法,现在使用 2018 年《数据保护法》。它规定,与欧盟客户和各组织机构开展业务往来的英国企业必须遵守 GDPR 法规。

值得注意的是,GDPR 要求数据处理方和控制方承担同等责任。这意味着,不合规的第三方数据处理方会影响整个组织机构的合规状态。法案还对举报数据链条中的违规行为提出了严格要求。

因此,数据控制方与 SaaS 提供商、薪资服务提供商或云提供商等数据处理方及与客户之间的现有合同中,必须明确划分各自的数据责任。合同协议中还应规定各方要采取一致的数据管理、收集、保护、存储流程和违规举报流程。

如何确保 GDPR 合规

公司如何确保合规?许多法规条例阐述了数据管理要达到的预期效果,但未规定实现这些目标的具体技术措施。下文阐述了确保企业合规的最佳做法:

  • 收集个人数据前务必征询数据主体
  • 仅收集必要的数据,因为企业需要对收集的所有数据负责,无论是否使用这些数据
  • 对传输中和存储中的数据均加密
  • 未经用户同意以及监管当局批准,不得与其他实体共享数据
  • 至少在两个异地位置保留两份最新且安全的个人数据备份
  • 购买工具和功能,以轻松编辑或删除特定数据项,验证并记录所有数据操作
  • 阅读 GDPR 全文,了解所有规定
  • 参考其他企业采取的措施,了解 GDPR 如何影响他们的运营并引以为鉴

选择 Veritas,消除数据治理差距

数字化转型重新定义了全球企业要遵守的监管规则。基于业务性质,美国企业现在要遵守多个有关网络安全方面的法规,例如 GDPR 和《加州消费者隐私法》(CCPA) 等。

通信平台和线上运行环境的多样性加大了合规管理的难度,对其要求更高、成本也在增加。因此,企业试图寻找更加经济高效的合规途径,并期望同时能提高生产力,拓展业务。

Veritas 的集成式数据合规产品组合可整合各种数据源中的信息,简化数据访问,提供数据洞察,支持数据分析,最大限度降低运营风险,确保企业合规。

Veritas 集成式合规和数据管理解决方案将大数据转化为可操作的洞察。借助 Data Insight 集成的报告和图像化显示功能,用户可以识别风险数据、与数据所有者沟通、撤销对个人敏感数据的访问权限,从而改进合规和决策流程。

Veritas 的集成式数据分类引擎还解决了有关暗数据的数据安全和合规挑战。作为 Gartner “企业信息归档”魔力象限中的领导者,我们一直领跑数据归档市场。用户可借助我们的产品将数据归档到任意目标位置,也可从任意位置检索数据。

Veritas 的集成式产品组合在市场上独领风骚。Veritas 的多云数据服务依托强大而全面的技术生态系统支持,在规模和功能多样性方面无人能及。

 

Veritas 客户包括 95% 的财富 100 强企业,而且 NetBackup™ 是寻求备份大量数据的企业的首选。

 

了解 Veritas 如何通过企业数据保护服务跨虚拟、物理、云和传统工作负载全面保护数据。