GDPR简介: 发布原因: 1、为欧盟公民提供更多使用自己的个人资料的权力 2、加强数字服务提供者与他们所服务的人之间的信任 3、为企业提供明确的法律框架,通过在欧盟单一市场上制定统一的法律来消除任何区域差异。 发布目的: 欧盟一般数据保护条例(GDPR)取代了数据保护指令95/46 / EC,旨在协调整个欧洲的数据隐私法律,保护和授权所有欧盟公民的数据隐私,并重塑整个地区的组织数据处理方式隐私。(参考IAPP) 发布时间: 2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》,2018年5月25号强制执行。 影响: 1、企业无法开展相关欧盟国家业务 2、面临罚款范围是1000万到2000万欧元,或企业全球年营业额的2%到4%。 适用范围: 不论数据的收集或存储位置,所有获取欧盟居民数据或者提供商品、服务(无论免费与否)的公司均需遵守该条例。 保护范围: 1、基本的身份信息,如姓名、地址和身份证号码等 2、网络数据,如位置、IP地址、Cookie数据和RFID标签等 3、医疗保健和遗传数据 4、生物识别数据,如指纹、虹膜等 5、种族或民族数据 6、政治观点 7、性取向 GDPR评估步骤: 1、定位 GDPR合规的第一步,是洞察企业拥有的个人数据。要想处理并管理这些数据,企业需要了解数据的存储位置、访问者以及已经存储了多长时间。可视化的资产分布与所处位置,如下图: 2、搜索 GDPR规定,任何欧盟公民都有权申请查看自己的个人数据,并要求更正、移动,甚至删除数据。确保及时响应这些要求是企业的一项关键能力。安全可靠的数据检索如下图: 3、控制 GDPR规定,个人数据只能保留一段时间,具体时间长度视数据保留的原因而定。因此,应用可以自动删除数据的数据保留策略是确保遵从GDPR的关键所在。最小化数据存储防止内部泄露风险如下图: 4、保护 GDPR要求您保护个人数据免遭损坏、丢失或泄露。建立透明的数据保护和安全流程,确保符合审计和合规要求。最大程度的保护数据的安全如下图: 5、监控 GDPR规定,企业需要及时发现数据泄露事件,并在72小时内通报相关当局。所以,企业必须配备相应的调查工具,及时发现存在风险的行为。提供成熟的监控体系为DPO进行决策如下图: 下面我们看看主流云厂商如何应对GDPR的: GDPR 云厂商合规对比如下:
目前宣称提供GDPR的公司很多,但是没有哪个公司有100%的把握告诉客户一定能通过GDPR,目前最好的方法就是在管理和技术维度上进行改造,在5月25号之前做好相应的准备,因为欧盟会随机抽查,但是对于发生数据泄露的企业肯定会检查。所以需要从企业建设信息化开始就考虑个人隐私数据的存储、传输、利用、传播和分析等,制定全流程的数据安全治理。数据治理侧重于强制数据集中,仅提供集中存储的信息的可见性。数据创建在移动设备和云应用上的分散意味着企业必须以不同的方式处理治理。允许组织集中数据源政策管理和执法,以符合GDPR的方式引入非集中式数据。GDPR要求数据处理者监控其信息的安全性,无论其生活在何处。组织使用提供的解决方案,无论数据是传统端点还是云应用程序,都可以自动执行违规的主动监控。随着GDPR的实施,安全性遵循所有欧盟公民的数据,无论数据在哪里。组织需要采用业界领先的基于标准的TLS 1.2和AES 256加密技术,配合简化和集成的密钥管理。组织面临的主要规定和挑战之一是如何根据欧盟公民的要求删除信息,以防止任何后续的数据流程。虽然有一些关于GDPR规定的注意事项,但是任何合法的擦除请求都必须及时处理。 如果想详细了解GDPR的具体文件请移步中国政法大学互联网金融法律研究院 翻译的《欧盟GDPR一般数据保护法案》 地址:https://share./5CIF2J4 |
|
来自: Twinklingv2b4z > 《法律研究》