2018年，歐盟發(fā)布實(shí)施了GDPR，一時(shí)間引起了軒然大波，先后一些科技巨頭公司紛紛被控訴舉報(bào)違反GDPR，遭到罰款處罰。本文主要是結(jié)合條例和日常工作，做一個(gè)簡單的分析總結(jié)。

[[256791]]

一、什么是GDPR

GDPR，英文全稱：General Data Protection Regulation，中文翻譯為：通用數(shù)據(jù)保護(hù)條例。是歐洲聯(lián)盟的條例法規(guī)，其前身是歐盟在1995年制定的《計(jì)算機(jī)數(shù)據(jù)保護(hù)法》。

內(nèi)容就是針對近年來用戶隱私被泄露造成的一系列問題，要求對歐盟所有成員國個(gè)人信息進(jìn)行收集、存儲(chǔ)、處理及轉(zhuǎn)移等活動(dòng)時(shí)，要按照要求，采取技術(shù)和管理手段對個(gè)人敏感隱私數(shù)據(jù)進(jìn)行保護(hù)。

二、適用范圍

條例原文：

(1) 本條例適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對個(gè)人數(shù)據(jù)的處理，不論其實(shí)際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行。

(2) 本條例適用于如下相關(guān)活動(dòng)中的個(gè)人數(shù)據(jù)處理，即使數(shù)據(jù)控制者或處理者不在歐盟設(shè)立：

• 為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)——不論此項(xiàng)商品或服務(wù)是否要求數(shù)據(jù)主體支付對價(jià);
• 對發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控。

條例本身比較不好理解，總結(jié)一下就兩點(diǎn)：1.歐盟成員國的相關(guān)企業(yè)和組織在對個(gè)人數(shù)據(jù)進(jìn)行處理時(shí)要遵守該條例。2.不屬于歐盟成員國的企業(yè)組織(比如咱們中國的企業(yè))只要提供的商品或服務(wù)以及相關(guān)項(xiàng)目涉及到了處理歐盟成員國的公民個(gè)人數(shù)據(jù)就也必須遵守該條例

三、違規(guī)處罰

條例規(guī)定，對違反法規(guī)的企業(yè)、單位或組織的罰金最高可達(dá)2000萬歐元(約合1.5億元人民幣)或者其上一年全球總營業(yè)額4%的金額罰金，兩者取其最高。

是的，你沒聽錯(cuò)，也沒有看錯(cuò)，如果違反相關(guān)規(guī)定就是要罰這么多，這么重的處罰對一個(gè)公司或單位必將是重磅的一擊，一般的公司或單位可能根本經(jīng)受不了這么重的處罰，大公司的心肝也是顫抖的。

在GDPR剛實(shí)施后不久，一些國際巨頭公司如Facebook(臉書)和Google(谷歌)等遭到了舉報(bào)和投訴，成為GDPR法案的第一批被告。一些公司甚至直接關(guān)閉了針對歐盟用戶的業(yè)務(wù)。

四、國內(nèi)動(dòng)作

在有了Google這樣的大公司被罰的先例后，國內(nèi)企業(yè)也加快了對GDPR學(xué)習(xí)和執(zhí)行的步伐，緊鑼密鼓地進(jìn)行著，生怕也上了被罰的名單。同時(shí)，國內(nèi)近幾年不斷爆出用戶個(gè)人隱私信息被泄露的消息，大量的個(gè)人信息流經(jīng)黑市，也因此出現(xiàn)了一系列冒名頂替、電信詐騙等刑事案件?？梢灶A(yù)判，國內(nèi)網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)很有可能效仿歐盟，照搬或者自己出臺(tái)相關(guān)法規(guī)，加強(qiáng)對公民個(gè)人信息的保護(hù)。

五、條例重點(diǎn)分析

那么，對于企業(yè)或者說企業(yè)的安全負(fù)責(zé)人，如何來實(shí)施相關(guān)措施來保證符合GDPR的相關(guān)規(guī)定呢?在這里，我分享下我個(gè)人的見解。

1. 數(shù)據(jù)處理原則

要求企業(yè)在進(jìn)行數(shù)據(jù)收集、存儲(chǔ)和處理時(shí)要提供收集的目的用途、存儲(chǔ)的時(shí)間、收集的方式、收集的數(shù)據(jù)類型、存儲(chǔ)和處理數(shù)據(jù)的安全技術(shù)保障措施、數(shù)據(jù)操作審批權(quán)限、取得用戶同意、簽訂契約以及針對兒童的相關(guān)條件等等。

企業(yè)在進(jìn)行用戶數(shù)據(jù)的相關(guān)活動(dòng)中必須要了解上述內(nèi)容要求，并作出相關(guān)承諾，在收集之前就要提供類似用戶隱私聲明一類的內(nèi)容，同時(shí)明確自己的責(zé)任和義務(wù)。

2. 禁止的特殊類型數(shù)據(jù)

除GDPR法規(guī)第9條、第10條例外規(guī)定的情形，其他情況下應(yīng)禁止處理這些特殊類型的數(shù)據(jù)，包括：種族或民族出身、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員身份、基因數(shù)據(jù)、為了特定識(shí)別自然人的生物性識(shí)別數(shù)據(jù)、和自然人健康、個(gè)人性生活或性取向相關(guān)的數(shù)據(jù)等以及涉及犯罪定罪與違法相關(guān)的個(gè)人數(shù)據(jù)。

企業(yè)在進(jìn)行用戶數(shù)據(jù)處理時(shí)一定要明確這些禁止的特殊類型數(shù)據(jù)，除非符合法規(guī)規(guī)定的例外情形，否則千萬不要試圖去收集和處理這些數(shù)據(jù)，以免受到影響。

3. 數(shù)據(jù)主體訪問權(quán)

數(shù)據(jù)主體應(yīng)該具有或者說企業(yè)應(yīng)該提供給數(shù)據(jù)主體訪問個(gè)人信息的處理目的、數(shù)據(jù)類型、數(shù)據(jù)接收者和接收者的類型、存儲(chǔ)的期限和依據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)來源信息、數(shù)據(jù)轉(zhuǎn)移保障措施等。

不管是系統(tǒng)提供的隱私說明或是簽訂的合同必須能讓數(shù)據(jù)主體或用戶能夠隨時(shí)訪問到這些信息，只有這樣才能保障數(shù)據(jù)主體的訪問權(quán)。

4. 數(shù)據(jù)主體更證權(quán)

數(shù)據(jù)主體要能夠或者說企業(yè)應(yīng)該提供給數(shù)據(jù)主體對其個(gè)人數(shù)據(jù)更正和完善的權(quán)利。

當(dāng)個(gè)人信息被收集、存儲(chǔ)和處理時(shí)，要提供相關(guān)接口和入口讓數(shù)據(jù)主體或用戶隨時(shí)能夠?qū)ψ约旱膫€(gè)人數(shù)據(jù)進(jìn)行修改，比如常見的用戶個(gè)人中心，可以對個(gè)人的資料進(jìn)行修改更新。

5. 數(shù)據(jù)主體擦除權(quán)(被遺忘權(quán))

除條例第17條21(3)規(guī)定的情形，企業(yè)要提供給數(shù)據(jù)主體或用戶擦除其個(gè)人數(shù)據(jù)的權(quán)利。

大部分企業(yè)提供的應(yīng)用或服務(wù)不會(huì)讓數(shù)據(jù)主體或用戶直接刪除個(gè)人數(shù)據(jù)的，基于此，可以提供接收數(shù)據(jù)主體擦除請求的通道，幫助用戶擦除一些不再必要的數(shù)據(jù)。

6. 數(shù)據(jù)主體限制處理權(quán)

當(dāng)數(shù)據(jù)主體對個(gè)人數(shù)據(jù)的準(zhǔn)確性有爭議、認(rèn)為處理是非法的、為了提起法律辯護(hù)等情形時(shí)，企業(yè)要提供給用戶限制處理權(quán)。

當(dāng)發(fā)生這些情況時(shí)，用戶如果提出要求不讓企業(yè)繼續(xù)處理其個(gè)人數(shù)據(jù)時(shí)，企業(yè)必須接收，停止對其個(gè)人數(shù)據(jù)的處理，可以采取凍結(jié)賬號(hào)及切斷和其關(guān)聯(lián)的所有活動(dòng)。

7. 數(shù)據(jù)攜帶權(quán)

數(shù)據(jù)主體要能夠或者企業(yè)應(yīng)該提供將已經(jīng)經(jīng)過整理、普遍使用和機(jī)器可讀的數(shù)據(jù)無障礙地從一個(gè)數(shù)據(jù)控制者到另一個(gè)控制者。

就是說企業(yè)收集、處理的用戶數(shù)據(jù)要進(jìn)行格式化整理，并且能夠支持格式化導(dǎo)出且機(jī)器可讀。

8. 數(shù)據(jù)主體反對權(quán)

當(dāng)企業(yè)為了一些直接營銷的目的，而未經(jīng)數(shù)據(jù)主體或用戶同意的情況下直接使用與其相關(guān)的用戶畫像時(shí)，數(shù)據(jù)主體或用戶有權(quán)反對。

無論采取管理手段或技術(shù)手段，在使用用戶畫像進(jìn)行營銷之前都必須征得用戶同意，以免造成不必要的影響。

9. 合規(guī)認(rèn)證

企業(yè)要進(jìn)行相關(guān)的隱私認(rèn)證，積極參與GDPR合規(guī)認(rèn)證，選擇有資質(zhì)的、規(guī)范的認(rèn)證機(jī)構(gòu)，而不是簡簡單單隨便找個(gè)“所謂的隱私認(rèn)證機(jī)構(gòu)”或自認(rèn)證，通過之后將徽章資質(zhì)放到官網(wǎng)上面，一定得是GDPR的認(rèn)證且是權(quán)威認(rèn)證機(jī)構(gòu)。

10. 簽署協(xié)議

無論數(shù)據(jù)控制者或者數(shù)據(jù)處理者，在對個(gè)人數(shù)據(jù)進(jìn)行處理時(shí)，必須簽訂保密協(xié)議。以及在涉及對用戶數(shù)據(jù)進(jìn)行共享、傳輸和處理時(shí)與第三方或其他合作方進(jìn)行合作時(shí)，必須簽訂相關(guān)的協(xié)議，明確責(zé)任，確保個(gè)人數(shù)據(jù)的保護(hù)得到應(yīng)有的保證。

11. 數(shù)據(jù)處理安全

企業(yè)在對數(shù)據(jù)進(jìn)行收集、處理等活動(dòng)時(shí)應(yīng)該采取如下安全措施保證個(gè)人數(shù)據(jù)安全。

• 數(shù)據(jù)脫敏技術(shù)：要對個(gè)人數(shù)據(jù)進(jìn)行匿名化。
• 數(shù)據(jù)加密技術(shù)：要對個(gè)人數(shù)據(jù)在存儲(chǔ)和傳輸過程中進(jìn)行加密。
• 數(shù)據(jù)完整性技術(shù)：要對個(gè)人數(shù)據(jù)在存儲(chǔ)和傳輸過程中的完整性進(jìn)行校驗(yàn)，避免被篡改。
• 數(shù)據(jù)訪問控制技術(shù)：要對個(gè)人數(shù)據(jù)設(shè)置合理的訪問控制策略，避免未授權(quán)訪問和不正當(dāng)?shù)脑L問。
• 數(shù)據(jù)備份技術(shù)：要對個(gè)人數(shù)據(jù)進(jìn)行備份，保證可用性。
• 數(shù)據(jù)恢復(fù)和響應(yīng)技術(shù)：要對個(gè)人數(shù)據(jù)及時(shí)進(jìn)行恢復(fù)和響應(yīng)測試，確?；謴?fù)和響應(yīng)的可行性。

12. 設(shè)立數(shù)據(jù)保護(hù)官

企業(yè)需要雇傭設(shè)立專門的數(shù)據(jù)隱私保護(hù)官員來監(jiān)督GDPR的執(zhí)行，以及對涉及的個(gè)人數(shù)據(jù)進(jìn)行相關(guān)的安全防護(hù)。

以上，就是我結(jié)合GDPR相關(guān)條例和我工作當(dāng)中實(shí)施執(zhí)行的相關(guān)分享和心得總結(jié)，當(dāng)然還有很多小的細(xì)節(jié)沒有一一列出來，大家可以以這個(gè)為參考繼續(xù)去詳細(xì)了解法規(guī)內(nèi)容。以上純粹個(gè)人理解，如有不當(dāng)之處，請留言或私信我，一起交流，一起提高。