首页 声音 资讯 正文

史上最严数据保护条例【GDPR】马上就要来了,你还能做些啥?

时间:2018-05-07 0

Facebook最近因数据泄露事件面临自创建以来的最大危机,创始人马克·扎克伯格连续两天现身美国国会参议院的听证会,Facebook股票大跌,媒体甚至以“灭顶之灾”冠之。

直播入口|史上最严数据保护条例GDPR就要来了,你能做些啥?

“GDPR (Don’t say we already do what GDPR requires)”

不要说我们已经完成GDPR的要求。——扎克伯格

有媒体大胆预测:除了2万亿美元的罚单、英国议会的传召,Facebook很有可能成为首个违反GDPR的企业。

GDPR是什么

GDPR到底是什么?它可以约束Facebook,对其他公司是否也会产生约束力?

GDPR——General Data Protection Regulation

欧盟《通用数据保护条例》

经过欧盟议会长达四年的讨论

将于2018年5月25日正式生效

它是强化个人数据安全与保护的重要一步

被称为“史上最严数据保护条例”

“大数据时代的最强法规”

直播入口|史上最严数据保护条例GDPR就要来了,你能做些啥?

为什么说“史上最严”

GDPR与之前的数据保护规则相比

有四大不同:

全球适用,一站式监管

数据主体权利更大

数据控制者问责更严

更严厉的违规处罚

1、全球适用,辐射范围大

GDPR从属地主义向属人主义扩展:

  • 适用于成立地在欧盟的机构(欧盟企业及机构)

  • 适用于涉及处理欧盟境内个体的个人数据(欧盟境外企业,其目标用户包括欧盟境内用户)

  • 适用于各行各业,无论是银行、保险、航空等传统行业,还是电子商务、社交网络等新兴领域,只要涉及向欧盟境内个人提供服务并处理个人数据

也就是说,全世界的公司,无论数据存储和处理地点在哪儿,即便业务范围不在欧盟境内,但只要公司有任何来自欧盟成员国的用户,就必须遵守GDPR!

并且企业主成立地所在国家的监管机构将作为主导监管机构对企业的所有数据活动负有监管权力,其效力辐射于全欧境内。

这也是为什么全球各大公司,甚至于中国企业也会如此关注GDPR的原因所在。

2、空前周密的数据保护

与以往的隐私规则相比,GDPR的影响更为深远。在数据保护上,数据供应链自上而下的各方都会被问责;在获取和管理个人信息上,GDPR提出了新的、更严格的要求,并赋予个人明确的权利,为企业通过人工、流程和技术进行用户数据管理带来了一定的冲击。(节选埃森哲中国)

(1)虹膜、性生活数据都是隐私——数据范围重新定义

直接数据:姓名 / 地址 / 城市 / 电话 / 邮箱 / 身份证号 / 邮编等;

间接数据:cookies / IP地址 / MAC地址 / 社交账号等。

除此之外,生物信息如虹膜、指纹,医疗健康信息,宗教信仰,政治观点,性取向、性生活数据等等,都是受保护的个人数据。

注意: B2B数据、假名数据是个人数据,匿名数据不属于个人数据。

(2)用户反对即叫停——处理数据必须有合法理由

首先必须得到用户许可,且用户许可必须是具体的、清晰的,是在充分知情的前提下自由做出的。

以往经常被企业采用的——发布大段晦涩难懂的告知书,默认用户打勾的做法已经不被允许。

其次,在用户许可的前提下,数据控制者可以以营销为目的使用用户个人数据,但是用户随时可以提出反对,一旦用户反对,那么数据控制者必须立即停止使用。

(3)五大权利——强大的数据主体权利

知情权

访问权

反对权

个人数据可携权

被遗忘权

GDPR此次引入了新型的权利类型:“个人数据可携权”和“被遗忘权”。

个人数据可携权:用户可以无障碍地将其个人数据从一个数据控制者处转移至另一个数据控制者处。数据控制者不仅无权干涉,还需要配合用户提供数据文本。

被遗忘权:当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时,用户有权要求删除数据。而且数据控制者不仅要删除自己的数据及复制件,还要负责其公开传播的数据,通知第三方停止使用并删除。

(4)重重监管——数据控制者的问责机制

数据保护官

文档化管理

数据保护影响评估

事先协商

数据泄露报告

安全保障措施

数据保护官:具备数据保护法令专业知识,该角色必须独立,其联系方式必须予以公布,向监管机构报备,并直接向高层管理汇报工作。

文档化管理:数据控制者必须全面记载其数据处理活动,包括数据处理的目的、数据的类型、数据接收者的类别以及转移至第三方的数据接收者、数据保存的时间、采取的安全保障措施等等。

数据泄露报告:一旦发生数据泄露事故,数据控制者需要在事件发现后72小时内,将事件报告给指定的监管机构。

必须要说明的是,以上数据控制者的问责机制,其实可以理解为数据控制者必须采取“足够的措施”来确保其数据安全。

GDPR实际上是在要求公司企业建立自己的安全策略,且应与公认的安全标准和框架相一致,比如ISO/IEC 27001/27002、NIST网络安全框架等。

3、动辄倾家荡产的处罚力度

GDPR的罚金也是极为严苛的:

轻者处以1千万欧元或者上一年度全球营收的2%,两者取其高。(针对的违法行为包括:没有实施充分的IT安全保障措施,没有提供全面的透明的隐私政策,没有签订书面的数据处理协议等。)

重者处以2千万欧元或者企业上一年度全球营业收入的4%,两者取其高。(针对的违法行为包括:无法说明如何获得了用户许可,违反数据处理的一般性原则,侵害数据主体的合法权利,以及拒绝服从监管机构的执法命令等。)

此外,对于不服监管机构作出的决定或者监管机构不作为,用户可寻求司法救济。

以亚马逊为例。2017年亚马逊公布的年营业额为1778.66亿美元,一旦它违反GDPR,那么可能会受到欧盟最高达71.15亿美元的处罚,近453亿人民币!

这对任何一家公司来说都是伤筋动骨甚至倾家荡产的!

有关机构调查数据显示,31%的受访企业声称他们已经满足GDPR的要求,但当深入了解下去,真正合规的企业只有2%。这一比例差距悬殊,表明大多数企业并不了解GDPR,更没有做好应对措施。

而GDPR一旦生效,被处罚的代价是十分高昂的,甚至攸关企业的生死存亡。

避免数据泄露、保护数据安全的过程,就是规避罚款的关键。

然而,很多企业认为GDPR离他们很远,并不对其业务造成影响。殊不知我国也已出台并实施了《中华人民共和国网络安全法》,数据安全、隐私保护已经成为全世界的共识,企业依据自身业务形态及流程作出必要调整是大势所趋。

开放直播+自测诊断,拥抱GDPR

直播入口|史上最严数据保护条例GDPR就要来了,你能做些啥?

距离GDPR正式生效仅剩20天

在最后的冲刺阶段

Webpower与您一起备战!

我们提供以下专业支持

1、独有GDPR合规模块,轻松实现文档管理,重获用户授权

现有数据库资源就不要了?

不存在的!

Webpower帮您重新梳理数据库

最大化启用资源!

直播入口|史上最严数据保护条例GDPR就要来了,你能做些啥?

对现有数据,实现GDPR许可的重新授权

2、邮件营销GDPR合规建议及实施

邮件是跨境行业的重要营销渠道之一,Webpower给出专业的邮件合规建议,并协助企业实施,力求将影响降到最低。

直播入口|史上最严数据保护条例GDPR就要来了,你能做些啥?

3、网站GDPR合规建议

Webpower同样对企业网站给出合规建议,合规、实用性、美观度 缺一不可。

4、客户GDPR合规声明文案内容审核

文案内容把关,准确、及时告知用户,重大业务不受影响。

5、GDPR合规相关培训线上Webinar

免费开放直播

在线讲解GDPR细则及应对措施,不受地点限制

专业顾问团答疑解惑

6、专业顾问团的服务支持

5月25日前,Webpower顾问团与您并肩作战,为赢得更多GDPR合规用户做最大的努力!

5月25日后,继续为您提供优质服务,与您携手前行!

以及......

  • 现有数据库如何梳理?

  • 针对不同类型的用户,发送策略如何制定?

  • GDPR合规声明怎样写能赢得最大的弹性空间?

  • 除了网站、邮件渠道,还有哪些渠道可以铺开?

  • 要赢得更多用户的GDPR许可,我们还能做些什么?

如果您想自测诊断企业是否合规,检验对GDPR是否已有充分的认知

如果您想观看GDPR解读直播,可以点此报名>>>

或者关注微信公众号Webpower威勃庞尔(微信号:webpowerasia)回复“2”即可!


© 2011 - 2020  钛锋网  TMTForum.com  沪ICP备15013635号