歐盟《通用數據保護條例》合規指南
E安全5月29日訊 歐盟《通用數據保護條列》(簡稱 GDPR)於2018年5月25日正式生效。英國一份政府調研顯示,只有38%的英國公司在 GDPR 生效前100天才開始關注該條例,許多美國公司也一樣。
本文源自E安全
按照 GDPR 的規定,企業違規可能會面臨高達2000萬歐元(約合人民幣1.28億元)或企業全球年收入的4%的罰款(取兩者中最高的)。除了高額罰款,歐盟數據保護機構(DPA)可在必要時採取糾正處罰,例如禁止處理數據,並對常見的數據處理活動實施臨時/確定性限制。因此,想要在歐洲市場立足的企業除了努力滿足合規外別無他法。
滿足 GDPR 的要求,企業到底需要重點了解哪些信息?
不少組織發現保障合規性遠比預期的要複雜。市場調查公司 Propeller Insights 的一項調查顯示,52%的受訪企業認為將面臨違規罰款。不過,只要小型企業在實施 GDPR 最佳實踐方面做出顯而易見實際努力,監管機構就可能會"寬大處理"。不過,儘管如此,仍免不了高額罰款。因此,滿足 GDPR 的合規性可謂任重道遠。
一、數據控制者&數字處理者
按照 GDPR 第4條的第(7)點和第(8)點,數據控制者是能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織,負責決定處理個人數據的目的和方式,不過具體標準應以歐盟或其成員國的法律予以規定;數字處理者指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。但是,有時難以確定某個實體到底屬於數據控制者還是處理者。
本文源自E安全
谷歌的複雜身份特例:
- 當涉及包括 AdMob、 AdSense、AdWords、AdX 和 DFP 在內的熱門廣告產品時,谷歌就是一個數據控制者;
- 當涉及使用 Google Analytics、Google attribution offering、Ads Data Hub和DoubleClick Bid Manager 等工具的消費者時,谷歌則是數據處理者;
- 對於使用谷歌廣告產品的廣告發布商而言,谷歌仍是其收集數據的共同控制者,但是這些發布商收集數據必須徵得用戶同意。
二、個人數據及數據保護原則
根據 GDPR 的定義,是指任何指向一個已識別或可識別的自然人(「數據主體」)的信息。GDPR 拓寬了個人數據的範圍。按照 GDPR 界定的範圍,個人數據也包括數字指紋(例如 IP 地址和 Cookie)。除此之外,基因或生物識別數據也包含在「敏感數據」的範疇之內。
GDPR 明確提到個人敏感數據應受到高度保護,這些數據包含:個人的種族和族裔出身、政治觀點、宗教和哲學信仰、工會成員、基因數據、生物識別數據、健康數據、性生活或性取向信息以及犯罪記錄信息。而醫療機構通常須滿足更高標準的數據保護要求。
本文源自E安全
按照 GDPR 第5條(Art. 5)的規定,個人數據必須:
- (a)以合法、公正、透明的方式處理與數據主體有關的(「合法性、公平性和透明性」);
- (b) 為特定的、明確的、合法的目的收集,並且不符合以上目的不得以一定的方式進行進一步的處理;為公共利益、科學,或歷史研究目的,或統計目的而進一步處理,按照第89條第(1)款,不應被視為不符合初始目的(「目的限制」);
- (c)充分、相關以及以該個人數據處理目的之必要為限度進行處理(「數據最小化」);
- (d)準確,必要,及時;為了個人數據被毫不延遲地處理、刪除或修正的目的,必須採取一切合理的步驟確保個人數據是不精確的(「精度」);
- (e)在不超過個人數據處理目的之必要的情形下,允許以數據主體以可識別的形式保存;為了保護數據主體的權利和自由,依據第89條(1)予以實施本法所要求的適度的技術和組織措施,只要個人數據將僅僅以為達到公共利益、科學或歷史研究或統計的目的而處理,個人數據能被長時間存儲(「存儲限制」);
- (f)以確保個人數據適度安全的方式處理,包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施(「完整性和機密性」)。
本文源自E安全
三、何時處理個人數據合法?
按照 GDPR 第6條的規定,處理個人數據須遵守以下六項法律依據:
1、數據主體同意他或她的個人數據為一個或多個特定目而處理;
2、處理是為履行數據主體參與的合同之必要,亦或處理是因數據主體在簽訂合同前的請求而採取的措施;
3、處理是為履行控制者所服從的法律義務之必要;
4、處理是為了保護數據主體或另一個自然人的切身利益之必要;
5、處理是為了執行公共利益領域的任務或行使控制者既定的公務職權之必要;
6、處理是控制者或者第三方為了追求合法利益的之必要,但此利益被要求保護個人數據的數據主體的利益或基本權利以及自由覆蓋的除外,尤其是數據主體為兒童的情形下。(註:此項不適用於政府當局在履行其職責時進行的處理)
事先取得同意是企業合法處理歐盟公民個人數據的最重要前提條件。例如,當面臨 GDPR 的合規性時,Facebook 應設法取得同意,而非遵守數據最小化原則。
取得同意必須是可證實的,須與其它事項明確區分開來,且可撤回。值得注意的是,處理敏感數據須取得明確的同意。模糊或「一攬子同意」均被視為無效。企業須向數據主體呈現通俗易懂的語言表述,供其選擇是否同意對方處理個人數據。鑒於此,至少從理論上講,模糊不清、滿篇術語及長期性同意的請求將不復存在。
此外,沉默、預先勾選或不積極,均不構成有效的同意。當用戶需要勾選或通過電話同意時,這就屬於明確的選擇。
16周歲以下的未成年人不具有合法的同意權,但歐盟成員國可以將此年齡限制放寬到13周歲。
本文源自E安全
四、用戶控制權和用戶權利
GDPR 的其中一個目標是讓消費者掌控自己的數據,這項目標仍是一項重大挑戰。數據控制者須向數據主體通知其具有的如下權利:
主體訪問權
數據主體有權要求數據收集者或企業提供相關信息,包括使用的方法、數據內容以及誰有權訪問數據等信息。除非該請求存在特別的困難之處,否則數據收集者或企業需在30天內提供相關信息,可能包括績效評估、獎懲記錄、電腦訪問日誌、求職面試、通話記錄和錄像片段。但是,所提供的信息不得包含任何其它員工的個人信息。
注意:這條規則涉及的數據不包括醫療記錄、與刑事司法和稅收相關的個人數據、與律師之間的保密通信、暴露當前管理問題的文件以及商業機密。此外,該項程序免費開展,但數據控制者仍有權收取費用或拒絕執行過多及毫無根據的請求。
反對權
數據主體有權基於與其特定情況有關的理由,在任何時候依據第6條第1款(e)項或(f)項拒絕有關其的個人數據被處理,包括根據這些規定進行概況分析。控制者不得再處理該個人數據,除非控制者證明其有關(數據)處理的強制性法律依據優先於數據主體的利益、權利和自由,或者為了設立、行使或捍衛其合法權利。除此之外,數據主體還可反對僅基於自動決策而制定的具有重大影響的決策。
Crowd Research 的一份調查報告顯示,三分之一的組織機構報告稱,他們無法向用戶解釋其演算法如何在自動處理的背景下做出決策。
糾正/刪除的權利
在用戶數據不完全或不正確的情況下,數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的方式。
限制權
如果處理程序與GDPR要求的數據保護措施不符,數據主體可要求限制處理他們的個人數據。
擦除權(又稱被遺忘權)
這是 GDPR 的一條標誌性規定。在用戶數據不完全或不正確的情況下,數據主體有權要求控制者無不當延誤地刪除有關其的個人數據。如收集個人數據的目的變得毫無必要或同意被撤回,數據主體可要求刪除數據。
據 Solix 公司的一項調查顯示,約三分之二的受訪者承認其不知道如何實施「被遺忘權」,其原因在於他們不確定是否可以永久清除用戶的個人數據。
轉移數據的權利
數據主體可向數據控制者提交請求,要求對方以機器可讀的形式整理他們的個人數據,以便將這些數據轉移給其它控制者。如果用戶希望更換數據控制者,他們可通過數據可讀的形式簡單重用這些數據,例如,用戶希望轉移數據更換電信服務。
本文源自E安全
GDPR 合規建議
(一)、全面了解數據
要確保企業在滿足 GDPR 合規方面不出現問題,企業最好組建一個由律師、IT 技術人員和數據安全專家組成的團隊。這支團隊需弄清楚:
- 正在處理什麼數據?
- 數據存儲在哪裡?
- 處理過程如何?
對數據進行全面分析,包括數據所屬類別、處理數據的法律依據、處理數據的方法、訪問數據的實體以及安全措施。
組織機構的所有計劃和政策,例如,數據保護計劃、自帶設備(BOYD)政策、事件響應計劃和業務連續性計劃,且必須符合 GDPR 的要求。例如,大多數員工獲許在工作用設備上安裝個人應用程序。如果此類應用程序會訪問並存儲個人數據,且企業未部署任何措施來滿足 GDPR 合規,結果可能會事與願違。因此,企業有必要優化 BOYD 政策。
對供應商進行調查,以了解對方的安全政策和重要措施以及供應商訪問哪些用戶的數據。部分供應商可能會獲取非必需數據(例如 IP 詳細信息),這能幫助它全面了解其用戶的瀏覽習慣。然而,修改合同以及維繫與供應商的關係是一個相當耗時的過程。
企業必須描述用戶數據相關的流程,例如內容管理、用戶註冊、商業智能和分析流程。此外,企業還須報告 GDPR 合規進度。根據GDPR 第30條的規定,企業必須記錄處理活動(RoPA),以便進行示範。從本質上講,這就相當於要求清點存在風險的應用程序。
(二)、風險評估
企業不僅要了解存儲的數據,還要了解其中的風險,尤其應了解可能收集和存儲個人數據的「影子 IT」。為有效滿足合規,風險評估還應提出旨在緩解現有風險的技術。
Snow Software 公司高級副總裁麥特·費舍爾(Matt Fisher)在提供風險評估相關建議時表示,組織機構首先必須要全面了解整個 IT 基礎設施,並清點所有的應用程序。然後再結合對可處理個人數據應用程序的見解,進而降低項目範圍及花費在這上面的時間。
從邏輯上講,企業應在風險識別之後啟動風險緩解程序,數據處理活動必須符合 GDPR 的數據保護原則。
(三)、尊重用戶權利,並賦予用戶控制權
企業應有效處理客戶的投訴和疑問,尤其是那些與條例中規定的數據主體權利相關的投訴和疑問。
按照 GDPR 的規定,數據控制者必須向用戶提供取消所有通信的選項,為用戶提供控制權和退出通信的選項,如在「訂閱」旁邊提供「取消訂閱」的選擇框。
(四)、保持透明度
監管機構高度重視透明性,例如,在條款、條件和隱私政策中提供引入注目的鏈接。
(五)、採用默認提供數據保護的組織和技術措施
某些安全措施和技術必須部署在產品/服務的最初開發階段。加密和假名化(pseudonymization)技術是此類措施的常見技術。此外,這些安全措施和技術還允許開發人員在實踐中應用核心數據保護原則,比如數據最小化原則。
(六)、儘快解決數據泄露問題
GDPR 規定,數據處理者對數據泄露或不合規行為負有責任。在發生危及歐盟公民個人信息的安全事件後72小時之內,企業須上報歐盟數據保護機構。按照GDPR第33(2)條的規定,意識到個人數據泄露後,數據處理器者當立即通知數據控制者。
事實表明,大多數數據泄露事件是第三方發現的,例如客戶或執法機構。事件響應計劃和業務連續性計劃可幫助企業遵守 GDPR 有關數據泄露的義務。
本文源自E安全
(七)、任命數據保護官(DPO)
小企業通常缺乏資源或專業知識來滿足該條例。缺乏具有 GDPR 合規經驗的工作人員以及預算不足是部分原因所在。此外,員工往往會低估滿足 GDPR 合規所需的努力和時間。IT 和信息安全團隊通常有責任使其組織滿足 GDPR 的合規要求,但 GDPR 條例並未限制 DPO 只為某個特定組織工作。DPO 可為多個組織機構提供相關服務。
DPO 的主要職責是負責對數據保護工作進行定期及系統性監測,同時負責內部教育、培訓以及合規性審計事務。此人還將負責企業與 GDPR 監管當局之間的溝通以及與數據主體間的交互。此要求適用於一切擁有高度敏感數據,或處理及/或存儲大量歐盟個人數據的組織,無論這些主體是否屬於組織外的員工或個人。
處理或存儲大量個人數據、定期監控公民或公共部門的企業須指定一名 DPO,指導並監督整個安全策略和 GDPR 合規性。
據Ovum 一份報告反映,85%的美國企業擔心 GDPR 會讓它們在歐洲同行中處於競爭劣勢。許多消費者表示,他們將不會容忍個人數據被粗心處理的行為。RSA 數據隱私與安全報告顯示,62%的消費者會責怪存儲數據的企業,而不是網路犯罪分子,其原因在於數據主體不清楚企業如何處理自己的數據。隨著消費者日益了解情況,他們希望數據管理者更加透明並提高響應能力。
事實表明,大多數數據泄露事件是第三方發現的,例如客戶或執法機構。事件響應計劃和業務連續性計劃可幫助企業遵守 GDPR 有關數據泄露的義務。
註:本文由E安全編譯報道,轉載請註明原文地址
※新加坡推出GoSecure計劃提升通信產品安全水平
※美國機密反恐計劃!軍方黑客行動「Slingshot」曝光
TAG:E安全 |