數(shù)字化浪潮席卷全球，越來越多的企業(yè)在利用技術(shù)來徹底改變企業(yè)的業(yè)績或觸角。數(shù)據(jù)作為數(shù)字化轉(zhuǎn)型的根基，對企業(yè)來說至關(guān)重要。據(jù)調(diào)查發(fā)現(xiàn)，在全球數(shù)據(jù)泄露事件中，違規(guī)事件發(fā)生率較高的行業(yè)：零售業(yè)占16.7%; 金融與保險業(yè)占13.1%; 醫(yī)療機(jī)構(gòu)占11.9%。(Trustwave 2018年全球安全報告)。而這幾個行業(yè)正是數(shù)字化轉(zhuǎn)型的先驅(qū)。發(fā)展與風(fēng)險并存，在數(shù)字化過程中對數(shù)據(jù)的保護(hù)成為了企業(yè)的頭等大事。

[[236510]]

2017年6月1日施行的《中華人民共和國網(wǎng)絡(luò)安全法》，強(qiáng)調(diào)了對基礎(chǔ)設(shè)施及個人信息的保護(hù)。2018年5月1日實施的《信息安全技術(shù)個人信息安全規(guī)范》，從國家標(biāo)準(zhǔn)層面，明確了企業(yè)收集、使用、分享個人信息的合規(guī)要求，為企業(yè)制定隱私政策及個人信息管理規(guī)范指明了方向。而在2018年5月25日正式生效的GDPR，被稱為歐盟“史上最嚴(yán)”條例，業(yè)已產(chǎn)生了巨大的影響：

• Google、Facebook，在GDPR生效日分別收到了歐盟39億歐元、37億歐元罰款的訴訟。蘋果、亞馬遜、LinkedIn等公司也面臨隱私監(jiān)管機(jī)構(gòu)提起的訴訟。
• GDPR生效后，芝加哥時報、洛杉磯時報等多家美國媒體網(wǎng)站在歐洲的服務(wù)器關(guān)停。
• 微信海外版、新浪微博國際版等多家互聯(lián)網(wǎng)企業(yè)向歐洲區(qū)用戶更新隱私政策，請求重新授權(quán)。QQ停止部分國際版服務(wù)，并將推出新版本，提示用戶升級。國航、東航均對其APP及官方網(wǎng)站隱私條款進(jìn)行了更新。
• 海爾、華為早已雇請專門團(tuán)隊?wèi)?yīng)對新規(guī)。

為此，安全值&谷安研究院對GDPR深度解讀，將要點進(jìn)行了歸納，助您快速了解GDPR。

1. 適用性(中國企業(yè))

2. 數(shù)據(jù)相關(guān)方

• 數(shù)據(jù)主體(data subject)：享有數(shù)據(jù)權(quán)利的主體，個人數(shù)據(jù)所指向之自然人為數(shù)據(jù)主體
• 控制者(controller)：義務(wù)主體，指單獨或者與他人一起，決定個人數(shù)據(jù)處理之目的和方式的自然人、法人或者其他組
• 數(shù)據(jù)處理者(processor)：義務(wù)主體，代表控制者，處理個人數(shù)據(jù)的自然人、法人或者其他組織
• 第三方(Third party)：指未對“個人數(shù)據(jù)”有任何授權(quán)的其他方

3. 個人數(shù)據(jù)定義

“任何指向一個已識別或可識別的自然人的信息”，例如：

• 基本的身份信息：姓名、地址和身份證號碼…
• 網(wǎng)絡(luò)數(shù)據(jù)：位置、IP地址、Cookie數(shù)據(jù)和RFID標(biāo)簽…
• 醫(yī)療保健和遺傳數(shù)據(jù);生物識別數(shù)據(jù)，如指紋、虹膜等;種族或民族數(shù)據(jù);政治觀點;性取向。

4. 數(shù)據(jù)處理定義

“指對個人數(shù)據(jù)或個人數(shù)據(jù)集合上執(zhí)行的任何操作”

5. 數(shù)據(jù)處理原則

確保數(shù)據(jù)在整個數(shù)據(jù)生命周期的安全

• 數(shù)據(jù)收集：收集目的明確、合法，數(shù)據(jù)主體同意授權(quán)
• 數(shù)據(jù)處理：處理過程合法、透明，具備保障
• 存儲：安全、保密，存儲期受嚴(yán)格限制

6. 數(shù)據(jù)主體權(quán)利

• 許可權(quán)
• 訪問權(quán)
• 糾正權(quán)
• 限制處理權(quán)
• 反對權(quán)
• 可攜權(quán)
• 被遺忘權(quán)
• 告知權(quán)

7. 同意條件

• 數(shù)據(jù)處理的前提是用戶同意，如果用戶同意是在包含其他事項的書面聲明中，則該書面聲明中的同意請求應(yīng)當(dāng)具有明顯的辨識度并使用清楚、直白的語言，以容易理解且容易獲取的方式呈現(xiàn)，否則視為無效。
• 用戶有權(quán)隨時撤回其同意，同意的撤回應(yīng)當(dāng)和同意的作出一樣容易。
• 兒童的同意：16歲以上兒童的同意可以是處理其個人數(shù)據(jù)的合法條件，不滿16歲的兒童，只有當(dāng)其監(jiān)護(hù)人授權(quán)同意時，處理其個人數(shù)據(jù)才是合法的。

8. 組織責(zé)任

• 監(jiān)測、審查、評估數(shù)據(jù)處理程序
• 最小化的數(shù)據(jù)處理及保留
• 為數(shù)據(jù)處理建立保障
• 記錄數(shù)據(jù)處理的策略、程序、具體操作

9. 數(shù)據(jù)保護(hù)官(DPO)

如果組織大規(guī)模的監(jiān)控或處理大量的個人數(shù)據(jù)，則必須任命數(shù)據(jù)保護(hù)官。職責(zé)如下(至少包括)：

• 向企業(yè)和企業(yè)員工提供GDPR數(shù)據(jù)保護(hù)方面的信息和建議;
• 對企業(yè)GDPR合規(guī)以及數(shù)據(jù)保護(hù)方面所做的工作進(jìn)行監(jiān)管;
• 對企業(yè)DPIAs方面工作的參與和管理;
• 同監(jiān)督機(jī)構(gòu)合作，負(fù)責(zé)數(shù)據(jù)外泄的緊急匯報;
• 協(xié)助實現(xiàn)數(shù)據(jù)主體的數(shù)據(jù)權(quán)利;

10. PIA(隱私影響評估)

當(dāng)進(jìn)行有風(fēng)險的或大規(guī)模數(shù)據(jù)處理時,組織必須進(jìn)行隱私影響評估。

包括以下步驟：

• A.項目PIA需求分析：分析PIA是否為該項目的必須流程
• B.項目涉及信息描述：包含涉及什么信息、如何收集、用途、是否涉及轉(zhuǎn)移等
• C.風(fēng)險識別：數(shù)據(jù)處理對數(shù)據(jù)主體及企業(yè)帶來風(fēng)險的識別
• D.方案評估：評估方案措施、效果及成本
• E.方案執(zhí)行：執(zhí)行方案并記錄執(zhí)行過程、相關(guān)決策。
• F. PIA結(jié)果整合及監(jiān)控：將PIA結(jié)果及整改措施融入項目，并不斷監(jiān)控PIA執(zhí)行及優(yōu)化。

11. PBD(隱私設(shè)計)

在提供的產(chǎn)品、服務(wù)的各個環(huán)節(jié)，都應(yīng)充分考慮隱私保護(hù)，使之成為組織工作中必不可少的一部分。

12. 關(guān)于罰金

監(jiān)管機(jī)構(gòu)可征收高達(dá)2000萬歐元的嚴(yán)重處罰，或者上一年全球年營業(yè)額的4%，以較高者為準(zhǔn)。

制裁相關(guān)因素：

• 違規(guī)的性質(zhì)、嚴(yán)重程度和違規(guī)的持續(xù)時間
• 違規(guī)是故意的還是因疏忽導(dǎo)致
• 對個人身份信息處理的控制程度
• 違規(guī)是單個事件還是重復(fù)事件
• 涉及的數(shù)據(jù)主體遭遇損害的程度
• 為了減輕損害是否采取行動
• 由違規(guī)產(chǎn)生的財務(wù)預(yù)期或收益
• 與數(shù)據(jù)保護(hù)機(jī)構(gòu)的合作情況

13. 數(shù)據(jù)外泄通告機(jī)制

組織在發(fā)生數(shù)據(jù)外泄時必須在72小時內(nèi)，即刻通報給監(jiān)管機(jī)構(gòu)。并且，若外泄會給個人帶來風(fēng)險，也應(yīng)該及時通知當(dāng)事人。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文