0x01 什么是GDPR?
GDPR的全称是General Data Protection Regulation,通用数据保护法案(GDPR)是一项新的数据隐私条例,旨在对欧盟个人数据进行保护和控制,这会影响企业如何收集和使用个人数据。
该规定将从2018年5月25日起强制执行,虽然这是欧盟法律,但适用于任何拥有欧盟公民和居民个人数据的组织。
因此,如果您的业务涉及欧盟的客户,那么当您处理欧盟客户的个人数据时,GDPR将适用于您。
0x02 GDPR内容简介
请先看完《从GDPR看企业数据安全合规建设》这个PPT,以便快速了解GDPR
2.1 GDPR关键要素
关键要素 | 相关说明 |
---|---|
被遗忘权 | 客户有权要求组织删除其原始目的不再需要的个人资料 |
数据可移植保证 | 客户有权因为变更公司而要求将他们的个人资料从一个组织转移到另一个组织,组织机构有义务帮助实现该要求 |
透明机制 | 公司对于处理个人数据的授权同意书需清晰明确 |
数据泄露通报 | 公司将仅有72小时向监管机构披露个人信息方面的泄露,在某些情况下会同时向受影响的个人披露 |
数据存储 | 客户及监管机构有权了解所有数据存储位置 |
默认隐私设计 | 组织机构将被要求尽可能减少收集和使用个人数据,并且在设计新产品和服务时,自动遵循此要求 |
数据保护责任 | GDPR强制要求按一定标准雇用数据保护员(DPO) |
2.2 用户权利
用户权利 | 具体描述 | 处理时效 |
---|---|---|
访问权 | 用户有权让数据控制者告知如下信息:个人数据是否被处理、处理的目的;个人数据的类别;已经或未来将要披露给的个人数据接收者或其分类;个人数据存储预设时间;用户应享有的个人数据纠正、清除、限制处理、拒绝处理的权利;用户向监控机构投诉的权利;个人数据来源(当非从用户处获取信息时);自动化决策的存在、逻辑、重要性和后果;跨境传输采取(如涉及)的适当安全保障措施。用户可要求数据副本。 | 一个月内 |
目的限制 | 个人信息收集应当目的特定,明确和合法,任何与上述目的不符合的方式将不能继续处理数据。 | 目的不能超出同意的范围;新目的的合法性 |
数据最小化 | 个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据。 | 满足业务需要,充分,不超乎适度 |
准确性 | 个人数据应当是准确的,并在必要的情况下请及时更新,根据数据处理的目的,采取合理的措施确保及时删除或修正不准确的个人数据 | 数据的准确性、提供给数据主体相关的方法进行修订 |
存储限制 | 在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存; | 留存、销毁方式、不能长期保存 |
完整性与保密性 | 以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施 | 风险评估、技术与组织措施、加密、匿名、化名、访问控制、监测数据泄露 |
可归责 | 数据控制者需负责能遵从上述原则 | 记录政策与流程、数据处理活动 |
2.3 适用的角色
原则 | 数据控制者 | 数据处理者 |
---|---|---|
正当、合法、透明 | ✔ | ✘ |
目的限制 | ✔ | ✘ |
数据最小化 | ✔ | ✘ |
准确性 | ✔ | ✘ |
存储最小化 | ✔ | ✘ |
完整性与保密性 | ✔ | ✔ |
可归责 | ✔ | ✔ |
2.4 数据跨境传输路径
0x03 GDPR适用性判断
3.1 关注点一:适用 GDPR 的场景
GDPR第三条规定,以下两类情形在其适用范围内:
一是数据控制者或数据处理者在欧盟境内设有分支机构(establishment)。在此情形中,只要个人数据处理活动发生在分支机构开展活动的场景中(in the context of the activities of an establishment),即使实际的数据处理活动不在欧盟境内发生,适用GDPR。
例如,在欧盟本地运营的A国(A国指某一非欧盟成员国)连锁酒店,直接将其收集的住客个人数据传输至A国总部进行处理,则需要履行GDPR中相关责任和义务。
二是数据控制者或数据处理者在欧盟境内不设分支机构(establishment)的情形。在此情形中,GDPR原则性地规定只要其面向欧盟境内的数据主体提供商品或服务(无论是否发生支付行为),或监控(monitor)欧盟境内数据主体的行为,适用GDPR。
例如,A国境内运营的某一电商平台,在欧盟不设分支机构,但提供专门的法文、德文版本的页面,同时支持用欧元进行结算,支持向欧盟境内配送物流。该电商平台属于面向欧盟境内的数据主体提供商品或服务,需要适用GDPR。
例如,在A国运营的社交媒体平台,支持境外账户注册,且已有欧盟境内用户使用。该社交媒体平台根据用户的位置信息、浏览记录等行为信息,向用户推送个性化的信息和广告,有可能被欧盟的个人数据保护机构(Data Protection Authority)认定为监控(monitor)欧盟境内数据主体的行为,适用GDPR的可能性较高。
例如,A国企业开发的软件或系统被嵌入某款设备,该设备向欧盟地区销售,该设备的制造商在欧盟境内设立了销售代表处,相关软件或系统收集个人数据的过程需要适用GDPR。
此外,GDPR主要适用欧盟境内发生的个人数据处理行为,其保护对象为欧盟境内的数据主体。当欧盟公民抵达A国,例如进入A国大学学习,在A国商场购物等,且欧盟公民返回欧盟境内后,大学、商场不再对其行为进行跟踪或分析,则大学、商场无需适用GDPR。
组织涉及海外业务、全球化经营或业务合作等场景时,应注意其是否适用GDPR。
3.2 关注点二:适用的数据范围
GDPR规定个人数据 和敏感数据的定义
个人数据定义:
是指与一个确定的或可识别的自然人相关的任何信息。可被识别的自然人,是指借助标识符,例如姓名、身份标识、位置数据、网上标识符,或借助与该个人生理、心理、基因、精神、经济、文化或社会身份特定相关的一个或多个因素,可被直接或间接识别出的个人。
"特殊类别(敏感)个人数据"定义
是指揭示种族或民族出身,政治观点、宗教或哲学信仰以及工会成员的个人数据,以及唯一识别自然人为目的的基因数据、生物特征数据、自然人的健康、性生活或性取向数据,还包括刑事定罪和犯罪相关的个人资料等。
组织应识别其处理个人数据或特殊类别(敏感)个人数据的具体类型。
0x04 思维导图
由于GDPR太过于复杂,不太好快速了解,因此我制作了个思维导图供大家查看。
思维导图使用processon制作,注册请点击这里。
https://www.processon.com/view/link/5e169272e4b0bcfb733b6ef4
查看密码:Owzv
更多资料下载,请至我的网盘下载。