最近国外很多科技企业都在更新自己的服务条例(就是那个你没细看就同意了的),起因则是欧洲5月份即将执行的GDPR法案,GDPR全称General Data Protection Regulation,直译就是“数据保护总条例”。这是一个欧盟关于个人信息的法案,该法案保证在欧盟的居民可以自由选择如何处理他们的个人资料,包括如何存储和使用他们的数据;这里的保护应用范围并不仅是在欧企业,也包括所有处理欧盟居民私人数据的国际企业。因此不论你是中国企业、美国企业或是新西兰企业,如果你的服务提供给了欧盟的用户而你又没有遵守这个法案,你就有可能面临处罚。最近从Xero官博看了一篇文章解释GDPR,我对其中部分进行了翻译,现转给你。
GDPR意味着什么
尽管初见GDPR有点吓人,但很多人看到了社会对于数据保护方面的进步。这里罗列出一些GDPR包括的领域:
- 属于欧盟个人的数据(绝对意义的所有人)包括企业的客户,员工,供应商以及所有会被收集私人信息的个体。私人信息包括姓名,联系方式,健康水平,信用卡或银行账号。
- 收集私人信息的方式只有合法的情况下企业才可以收集个人信息,比如说企业可能需要这些信息来完成销售合同,或者客户请求企业发一些有关产品或服务的信息给他。无论如何,企业必须清晰的说明什么样的个人信息被用来做什么,且只能被用来做什么。
- 各类协议及合同条款这些东西必须简单清晰,容易理解,并避免复杂的法律条款。
- 知情权个人可以质疑企业保存了什么样的个人信息。这个条款以前就有,但新的法律规定,企业必须在一个月内给予答复,并且不可以收费(以前可以)。
- 信息销毁权客户可以要求企业删除所有关于自己的私人数据,除非企业处于合法的原因保留他们,比如缴税记录。
- 数据导出权个人可以申请一份个人数据的数字拷贝,并不能限制他们使用这份拷贝的用途,比如他们想要更换服务提供商。
注:因为这项法案的通过在英国脱欧前,所以这项法案将适用于英国。
GDPR和数据保护
GDPR的出现意义重大,在它出现之前,企业把个人信息当做他们可以利用的资源,完全不顾每个个体的权利。比如说,有些公司公然贩卖客户的Email地址,允许未经授权的人查看敏感信息,或者没有足够的安全措施来抵御黑客等等。GDPR把对个人信息的控制权交还给了每个人自己,并且要求组织把数据保护当做日常操作流程中重要的组成部分。这个法案带来的冲击首先可能会是那些大的,数据驱动的企业,但小企业也不能豁免。下面我们就看看,面对GDPR,小企业应该如何去做。
小企业GDPR检查清单
GDPR包含很多方面,但它最基本的要求便是清晰和有职业操守——即像对待自己的珍贵的东西那样对待它。下面罗列一些比较简单、实用的点,帮助你符合GDPR的要求:
检查产品和服务
- 检查哪些产品和服务在收集和处理私人信息
- 确认在处理私人信息的时候有足够合法的理由
- 确认可以执行GDPR里定义的对用户的义务(比如说知情权和销毁权)
审查通知和合同
- 根据GDPR的要求,更新内部和外部的通知
- 根据GDPR的要求,更新用户合同
指责到人
- 指定一个人负责数据保护和数据隐私
- 考虑是否需要设立专门职位(Data Protection Officer)——参见ICO的手册
- 为员工提供数据保护方面的培训
关心系统安全
- 确认系统在收集、处理和存储私人数据时安全、可靠。
GDPR将在2018年5月正式开始执行,所以有潜在欧盟区用户的企业们,要抓紧时间改代码喽。不过该法案的保护对象是企业收集的个人信息,所以如果你们“承诺”不保存信息,也就没关系了。不过估计欧盟区的用户翻墙也会很辛苦,你们直接把欧盟的IP墙掉就好了。
虽然说起来,可能觉得欧洲的人们有点过度敏感了,但依然很高兴可以看到这样一个强制性的法规来保护私人信息。反观我国这方面,一个新手机号签收一次快递后,便几乎可以收到各个行业的推销电话。虽然我国早在2015年便出台了《网络安全法》,不过似乎重点在安全而不在网络上。特别其中的网络实名制制度非常成功,在此影响下,现在的网络环境异常干净整洁。我国的网络安全程度,再一次走在了世界的前列。
网友评论