先科普下GDPR(通用數(shù)據(jù)保護條例)是什么?
2016年4月歐盟議會通過了GDPR(通用數(shù)據(jù)保護條例)�����,以此取代1995年過時的數(shù)據(jù)保護指令�。該條例規(guī)定企業(yè)必須保護在歐盟成員國內(nèi)發(fā)生交易的個人數(shù)據(jù)和隱私。GDPR還對歐盟境外的個人數(shù)據(jù)輸出加以管制���。
新條例直接適用于28個歐盟成員國�����,這也意味著在歐盟內(nèi)部企業(yè)只有著一個標(biāo)準(zhǔn)����。但這個標(biāo)準(zhǔn)相當(dāng)高�,而且需要大多數(shù)企業(yè)進行大量投資才能滿足條例中提出的管理數(shù)據(jù)條件。
更離譜地是���,一家國外分析機構(gòu)Senzing經(jīng)過對歐盟企業(yè)(英國�����,法國���,德國����,西班牙和意大利)的1000位高管調(diào)研發(fā)現(xiàn)����,60%的歐盟企業(yè)領(lǐng)導(dǎo)者承認(rèn),對新的數(shù)據(jù)保護條例��,他們的企業(yè)還沒準(zhǔn)備好�。24%的受訪者表示認(rèn)為自家企業(yè)在GDPR合規(guī)方面處于“風(fēng)險”狀態(tài)。36%的受訪者認(rèn)為即將面臨挑戰(zhàn)��,僅40%的受訪者號稱已然準(zhǔn)備就緒�。
還有一家國外機構(gòu)Ovum則在報告中稱,約三分之二的美國企業(yè)認(rèn)為GDPR會讓他們重新思考在歐洲的戰(zhàn)略�����。85%的美國企業(yè)則認(rèn)為GDPR讓它們在與歐洲公司競爭時處于劣勢。
歐盟企業(yè)說還沒準(zhǔn)備好����,美國企業(yè)直接表示自己壓力山大�。
GDPR會影響哪些公司呢?
任何存儲或處理歐盟國家內(nèi)歐盟公民個人信息的企業(yè)��,只要在歐盟境內(nèi)�����,即使沒有業(yè)務(wù)��,也必須遵守GDPR�����。需要遵守的具體標(biāo)準(zhǔn)的企業(yè)包括:
在歐盟國家內(nèi)�。
不在歐盟國家內(nèi),但有處理歐洲公民個人數(shù)據(jù)業(yè)務(wù)�。
超過250名員工。
少于250名員工�����,但其數(shù)據(jù)處理影響了數(shù)據(jù)當(dāng)事人的權(quán)利和自由,不是偶一為之��,或者包括某些敏感的個人數(shù)據(jù)�����。這幾乎意味著條例對所有公司有效�。
企業(yè)什么時候需要遵守?
公司必須要在2018年5月25日之前顯示自身的合規(guī)性�����。
在以上表述的企業(yè)內(nèi)誰要負責(zé)合規(guī)�����?
GDPR規(guī)定了若干確保合規(guī)性的管理者角色:數(shù)據(jù)管理人員(data controller)��,數(shù)據(jù)處理人員(data processor)和數(shù)據(jù)保護專員���。數(shù)據(jù)管理人員規(guī)定個人數(shù)據(jù)的處理方式和處理目的�,并且要確保外部承包商遵守條例�����。
數(shù)據(jù)處理人員可以是一個內(nèi)部團隊,負責(zé)維護并處理個人數(shù)據(jù)記錄或是維護執(zhí)行全部或部分這行業(yè)務(wù)的所有外包公司����。GDPR要求處理人員對這些公司的違規(guī)行為負責(zé)。也就是說�,即使完全是企業(yè)的數(shù)據(jù)處理合作伙伴(如云提供商)的過錯����,雙方都必須要承擔(dān)處罰責(zé)任。
GDPR還要求數(shù)據(jù)管理和處理人員指定一個數(shù)據(jù)保護專員對數(shù)據(jù)安全策略和GDPR合規(guī)性進行監(jiān)督�。如果企業(yè)需要處理或存儲大量歐盟公民的數(shù)據(jù),處理或存儲特殊個人數(shù)據(jù)�����,定期監(jiān)測數(shù)據(jù)主體�����,或是政府相關(guān)部門�����,就必須要有數(shù)據(jù)保護專員���。執(zhí)法機構(gòu)等部門可免除數(shù)據(jù)保護專員的要求���。
企業(yè)著手GDPR的準(zhǔn)備工作需要花費的費用��?
據(jù)普華永道調(diào)查����,68%的美國企業(yè)預(yù)計將花費100萬到1000萬美元來滿足GDPR的要求���。另有9%的企業(yè)預(yù)計花費超過1000萬美元�。
如果我的企業(yè)不符合GDPR規(guī)定會怎樣����?
GDPR允許予以高達2000萬歐元的巨額罰款或4%的全球年營業(yè)額(以較高者為準(zhǔn))。根據(jù)Ovum的報告顯示�����,52%的公司認(rèn)為它們會因違規(guī)被罰款���。管理咨詢公司Oliver Wyman預(yù)測��,歐盟在第一年可能會收取高達60億美元的罰款��。
在5月25日最后期限之前�����,有企業(yè)依舊沒有遵守規(guī)定�����,也不會孤單����。大約一半應(yīng)當(dāng)合規(guī)的美國公司不滿足所有要求���。根據(jù)Solix Technologies在12月發(fā)布的調(diào)查報告顯示�,22%的企業(yè)仍然沒意識到它們必須遵守GDPR�。38%的企業(yè)則稱,它們處理的個人數(shù)據(jù)在生命周期內(nèi)的每個階段都不會被濫用而且無法避免其它非法訪問����。
這讓很多組織機構(gòu)輕易就要受罰。最大的懸而未決的問題是如何對于懲罰評級�����。例如,一家給當(dāng)事群體帶來影響最小的違規(guī)公司和一家因暴露了當(dāng)事群體的個人身份信息(PII)而導(dǎo)致實際損失的違規(guī)公司���,兩者處罰有何不同����?相對達成一致的是�����,監(jiān)管機構(gòu)會對一些早期發(fā)現(xiàn)不合規(guī)的公司迅速采取行動�����,發(fā)送信息��。然后就可以更好地評估在發(fā)現(xiàn)不合規(guī)情況時的預(yù)想結(jié)果���。
GDPR保護哪些類型的隱私數(shù)據(jù)����?
基本的身份信息�����,如姓名,地址和身份證號碼���;
網(wǎng)絡(luò)數(shù)據(jù)���,如位置,IP地址���,Cookie數(shù)據(jù)和RFID標(biāo)簽��;
健康和基因數(shù)據(jù)�����;
生物識別數(shù)據(jù);
種族或民族數(shù)據(jù)��;
政治觀點�;
性取向;
哪些GDPR規(guī)定會影響哪些企業(yè)���?
GDPR的新規(guī)定將迫使一些公司改變它們處理��,存儲和保護客戶個人數(shù)據(jù)的方式����。例如,只有在個人同意的情況下��,企業(yè)才能被允許存儲和處理個人信息�����,并且“個人信息的處理目的不再是必要的”���。個人信息必須能夠從一家公司轉(zhuǎn)移到另一家公司����,企業(yè)還必須按要求刪除個人資料�����。
最后一項規(guī)定被稱為被遺忘的權(quán)利��。例如�,GDPR不是說取代企業(yè)維護某些數(shù)據(jù)的任何法律規(guī)定,也就是代表追加��。這也包括HIPAA(健康流通與保險責(zé)任法案)健康記錄規(guī)定�����。
有幾項規(guī)定會直接影響安全團隊。其一是公司必須能夠為歐盟公民提供“合理”的數(shù)據(jù)保護和隱私�。非常意味深長地是GDPR所述的“合理”含義并不明確。
還有一個極具挑戰(zhàn)性的要求是����,企業(yè)必須在發(fā)現(xiàn)違規(guī)事件的72小時內(nèi)向監(jiān)管部門和受到違規(guī)影響的個人舉報數(shù)據(jù)違規(guī)行為。另一個關(guān)系到影響評估的要求是它希望企業(yè)通過識別和解決漏洞來幫助減輕違規(guī)的風(fēng)險����。
