先科普下GDPR(通用數(shù)據(jù)保護(hù)條例)是什么?
2016年4月歐盟議會(huì)通過(guò)了GDPR(通用數(shù)據(jù)保護(hù)條例)��,以此取代1995年過(guò)時(shí)的數(shù)據(jù)保護(hù)指令���。該條例規(guī)定企業(yè)必須保護(hù)在歐盟成員國(guó)內(nèi)發(fā)生交易的個(gè)人數(shù)據(jù)和隱私��。GDPR還對(duì)歐盟境外的個(gè)人數(shù)據(jù)輸出加以管制�。
新條例直接適用于28個(gè)歐盟成員國(guó)��,這也意味著在歐盟內(nèi)部企業(yè)只有著一個(gè)標(biāo)準(zhǔn)�����。但這個(gè)標(biāo)準(zhǔn)相當(dāng)高��,而且需要大多數(shù)企業(yè)進(jìn)行大量投資才能滿足條例中提出的管理數(shù)據(jù)條件����。
更離譜地是�,一家國(guó)外分析機(jī)構(gòu)Senzing經(jīng)過(guò)對(duì)歐盟企業(yè)(英國(guó)��,法國(guó)����,德國(guó),西班牙和意大利)的1000位高管調(diào)研發(fā)現(xiàn)�,60%的歐盟企業(yè)領(lǐng)導(dǎo)者承認(rèn),對(duì)新的數(shù)據(jù)保護(hù)條例�����,他們的企業(yè)還沒(méi)準(zhǔn)備好�。24%的受訪者表示認(rèn)為自家企業(yè)在GDPR合規(guī)方面處于“風(fēng)險(xiǎn)”狀態(tài)。36%的受訪者認(rèn)為即將面臨挑戰(zhàn)�����,僅40%的受訪者號(hào)稱已然準(zhǔn)備就緒�����。
還有一家國(guó)外機(jī)構(gòu)Ovum則在報(bào)告中稱��,約三分之二的美國(guó)企業(yè)認(rèn)為GDPR會(huì)讓他們重新思考在歐洲的戰(zhàn)略。85%的美國(guó)企業(yè)則認(rèn)為GDPR讓它們?cè)谂c歐洲公司競(jìng)爭(zhēng)時(shí)處于劣勢(shì)�����。
歐盟企業(yè)說(shuō)還沒(méi)準(zhǔn)備好�����,美國(guó)企業(yè)直接表示自己壓力山大���。
GDPR會(huì)影響哪些公司呢?
任何存儲(chǔ)或處理歐盟國(guó)家內(nèi)歐盟公民個(gè)人信息的企業(yè)��,只要在歐盟境內(nèi)�,即使沒(méi)有業(yè)務(wù),也必須遵守GDPR���。需要遵守的具體標(biāo)準(zhǔn)的企業(yè)包括:
在歐盟國(guó)家內(nèi)�����。
不在歐盟國(guó)家內(nèi)�,但有處理歐洲公民個(gè)人數(shù)據(jù)業(yè)務(wù)�。
超過(guò)250名員工����。
少于250名員工��,但其數(shù)據(jù)處理影響了數(shù)據(jù)當(dāng)事人的權(quán)利和自由�����,不是偶一為之��,或者包括某些敏感的個(gè)人數(shù)據(jù)����。這幾乎意味著條例對(duì)所有公司有效。
企業(yè)什么時(shí)候需要遵守��?
公司必須要在2018年5月25日之前顯示自身的合規(guī)性��。
在以上表述的企業(yè)內(nèi)誰(shuí)要負(fù)責(zé)合規(guī)��?
GDPR規(guī)定了若干確保合規(guī)性的管理者角色:數(shù)據(jù)管理人員(data controller)��,數(shù)據(jù)處理人員(data processor)和數(shù)據(jù)保護(hù)專(zhuān)員��。數(shù)據(jù)管理人員規(guī)定個(gè)人數(shù)據(jù)的處理方式和處理目的,并且要確保外部承包商遵守條例�。
數(shù)據(jù)處理人員可以是一個(gè)內(nèi)部團(tuán)隊(duì),負(fù)責(zé)維護(hù)并處理個(gè)人數(shù)據(jù)記錄或是維護(hù)執(zhí)行全部或部分這行業(yè)務(wù)的所有外包公司��。GDPR要求處理人員對(duì)這些公司的違規(guī)行為負(fù)責(zé)�。也就是說(shuō),即使完全是企業(yè)的數(shù)據(jù)處理合作伙伴(如云提供商)的過(guò)錯(cuò)���,雙方都必須要承擔(dān)處罰責(zé)任�����。
GDPR還要求數(shù)據(jù)管理和處理人員指定一個(gè)數(shù)據(jù)保護(hù)專(zhuān)員對(duì)數(shù)據(jù)安全策略和GDPR合規(guī)性進(jìn)行監(jiān)督�。如果企業(yè)需要處理或存儲(chǔ)大量歐盟公民的數(shù)據(jù)�����,處理或存儲(chǔ)特殊個(gè)人數(shù)據(jù)����,定期監(jiān)測(cè)數(shù)據(jù)主體�,或是政府相關(guān)部門(mén),就必須要有數(shù)據(jù)保護(hù)專(zhuān)員�。執(zhí)法機(jī)構(gòu)等部門(mén)可免除數(shù)據(jù)保護(hù)專(zhuān)員的要求。
企業(yè)著手GDPR的準(zhǔn)備工作需要花費(fèi)的費(fèi)用?
據(jù)普華永道調(diào)查���,68%的美國(guó)企業(yè)預(yù)計(jì)將花費(fèi)100萬(wàn)到1000萬(wàn)美元來(lái)滿足GDPR的要求�����。另有9%的企業(yè)預(yù)計(jì)花費(fèi)超過(guò)1000萬(wàn)美元�����。
如果我的企業(yè)不符合GDPR規(guī)定會(huì)怎樣�����?
GDPR允許予以高達(dá)2000萬(wàn)歐元的巨額罰款或4%的全球年?duì)I業(yè)額(以較高者為準(zhǔn))�����。根據(jù)Ovum的報(bào)告顯示��,52%的公司認(rèn)為它們會(huì)因違規(guī)被罰款����。管理咨詢公司Oliver Wyman預(yù)測(cè)����,歐盟在第一年可能會(huì)收取高達(dá)60億美元的罰款��。
在5月25日最后期限之前���,有企業(yè)依舊沒(méi)有遵守規(guī)定,也不會(huì)孤單�。大約一半應(yīng)當(dāng)合規(guī)的美國(guó)公司不滿足所有要求。根據(jù)Solix Technologies在12月發(fā)布的調(diào)查報(bào)告顯示�����,22%的企業(yè)仍然沒(méi)意識(shí)到它們必須遵守GDPR�����。38%的企業(yè)則稱���,它們處理的個(gè)人數(shù)據(jù)在生命周期內(nèi)的每個(gè)階段都不會(huì)被濫用而且無(wú)法避免其它非法訪問(wèn)。
這讓很多組織機(jī)構(gòu)輕易就要受罰���。最大的懸而未決的問(wèn)題是如何對(duì)于懲罰評(píng)級(jí)�����。例如��,一家給當(dāng)事群體帶來(lái)影響最小的違規(guī)公司和一家因暴露了當(dāng)事群體的個(gè)人身份信息(PII)而導(dǎo)致實(shí)際損失的違規(guī)公司����,兩者處罰有何不同?相對(duì)達(dá)成一致的是�����,監(jiān)管機(jī)構(gòu)會(huì)對(duì)一些早期發(fā)現(xiàn)不合規(guī)的公司迅速采取行動(dòng)��,發(fā)送信息��。然后就可以更好地評(píng)估在發(fā)現(xiàn)不合規(guī)情況時(shí)的預(yù)想結(jié)果��。
GDPR保護(hù)哪些類(lèi)型的隱私數(shù)據(jù)���?
基本的身份信息��,如姓名�����,地址和身份證號(hào)碼���;
網(wǎng)絡(luò)數(shù)據(jù)����,如位置��,IP地址�,Cookie數(shù)據(jù)和RFID標(biāo)簽;
健康和基因數(shù)據(jù)����;
生物識(shí)別數(shù)據(jù);
種族或民族數(shù)據(jù)�;
政治觀點(diǎn);
性取向�;
哪些GDPR規(guī)定會(huì)影響哪些企業(yè)?
GDPR的新規(guī)定將迫使一些公司改變它們處理��,存儲(chǔ)和保護(hù)客戶個(gè)人數(shù)據(jù)的方式�����。例如�����,只有在個(gè)人同意的情況下���,企業(yè)才能被允許存儲(chǔ)和處理個(gè)人信息��,并且“個(gè)人信息的處理目的不再是必要的”���。個(gè)人信息必須能夠從一家公司轉(zhuǎn)移到另一家公司,企業(yè)還必須按要求刪除個(gè)人資料����。
最后一項(xiàng)規(guī)定被稱為被遺忘的權(quán)利。例如����,GDPR不是說(shuō)取代企業(yè)維護(hù)某些數(shù)據(jù)的任何法律規(guī)定,也就是代表追加�。這也包括HIPAA(健康流通與保險(xiǎn)責(zé)任法案)健康記錄規(guī)定。
有幾項(xiàng)規(guī)定會(huì)直接影響安全團(tuán)隊(duì)����。其一是公司必須能夠?yàn)闅W盟公民提供“合理”的數(shù)據(jù)保護(hù)和隱私。非常意味深長(zhǎng)地是GDPR所述的“合理”含義并不明確�。
還有一個(gè)極具挑戰(zhàn)性的要求是,企業(yè)必須在發(fā)現(xiàn)違規(guī)事件的72小時(shí)內(nèi)向監(jiān)管部門(mén)和受到違規(guī)影響的個(gè)人舉報(bào)數(shù)據(jù)違規(guī)行為����。另一個(gè)關(guān)系到影響評(píng)估的要求是它希望企業(yè)通過(guò)識(shí)別和解決漏洞來(lái)幫助減輕違規(guī)的風(fēng)險(xiǎn)�。
