欧盟《通用数据保护条例》(简称GDPR)将于2018年5月25日生效,将对企业收集、控制和处理个人数据的方式产生深远影响。但是,并非位于欧盟的企业才会受到影响,事实上任何与欧盟监管下的客户进行的业务,都需要遵守GDPR。如果违反GDPR将面临可高达2千万欧元或全球年营业额的4%的巨额罚款,而且不能用对该法规的无知作为辩护。
什么是GDPR?
“通用数据保护条例”(General Data Protection Regulation,简称GDPR)是一套新的欧盟处理、存储和管理个人信息的指导方针。基本归结起来就是,欧盟正在对“哪些信息是否能被处理或存储,以及需要进行什么样的通知,相关个人对于他们自己的个人信息享有哪些权利”等问题进行强加规定和限制。
GDPR的目标是保护所有欧盟公民在一个日益增长的数据驱动的世界中免受隐私和数据泄露的影响。目前的网络环境与1995年的法案建立时已经截然不同,因此GDPR将取代1995年的《数据保护法案》。
GDPR相关术语
遵守GDPR法规,需要先理解法规中的相关术语:
� 数据主体——信息所涉及的人
� 主体访问请求——来自相关个人要求对其个人数据采取措施的书面请求,包括:告知什么数据被存储了、存储在哪里,要求对该数据的更正,当然还有要求完全删除该数据。
� 个人资料——任何与可识别的个人相关的信息
� 数据处理——获取、记录、保持信息,或对信息进行任何操作
� 数据控制者——确定处理数据的目的和方式的实体
� 数据处理者——代表数据控制者处理信息的任何个人或实体
GDPR的主要变化
与1995年的法案相比,GDPR主要有以下变化:
� GDPR适用于向欧盟公民提供服务,向市场提供数据或收集数据的任何人,无论您的组织位于何处。
� 存储和使用信息的授权同意书,必须以易理解且易于访问的形式提供,撤销授权也同样方便。
� 欧洲公民有权要求“数据遗忘”,意味着他们可以在任何时候要求删除他们的信息。
� 所有数据保护机构都可以执行GDPR,而不管业务所在位置。
� 违规的罚款可高达2千万欧元或全球年营业额的4%(二者中选数额较高的一项)
� 如果发生泄露,公司必须立即通知相关的数据保护机构。
� 责任承担者扩大到“数据控制者和数据处理者”。
企业如何应对?
对于中国企业而言,即使您不直接收集终端用户的数据,或者您不打算在欧盟做生意,也需要注意该法规,因为互联网的互联互通意味着个人信息可能在不经意间跨越了地域边界,可高达2千万欧元的违规罚款可能对大部分企业造成重创。
随着互联网环境的变化,新的数据隐私安全法案遍布全球,如果您不想试探GDPR或其他数据隐私安全法案的容忍度,建议在数据安全性方面遵守以下基本要求。
1.从设计之初保护隐私
在产品设计之初就以隐私数据保护的基础标准来开发,会帮助企业减少大量合规性风险和损失。
2.数据最小化
只收集并存储能够达到目的的最少量的个人信息。将数据量按最小化标准操作处理,不仅节省数据存储的成本,也能最大限度降低合规风险。
3.数据生命周期管理
对于数据的收集、存储、使用、销毁等,形成健全的数据生命周期管理流程。
4.网络通信的机密性和完整性
使用SSL证书为网络通信提供安全性及数据完整性,结合公钥加密和对称加密技术,加密传输用户数据;结合公钥技术和散列算法,防止通信数据被篡改。需要注意的是,数据传输加密不仅仅存在于客户端和服务器端之间,数据流转的每个环节都需要确保全程加密。
5. 网络通信身份认证
由权威CA机构提供身份认证服务,使用SSL/TLS技术验证通信方身份,确认通信方身份后才能建立通信连接,确保数据安全传输给正确的通信方,防止身份仿冒。
基于PKI技术的SSL证书产品,通过SSL/TLS协议的加密认证机制,建立安全的网络连接实现数据传输的机密性、完整性,并校验通信方的真实身份,从技术上解决网上身份认证、数据机密性、信息完整性和抗抵赖等安全问题。沃通CA(www.wosign.com)近期推出“沃通SSL证书,买两年送一年”,帮助企业实现网络通信加密和服务器身份认证。
网友评论