引用——
就在前两天(5月25日),刚刚生效的欧盟新数据保护法规《通用数据保护条例》(下称“GDPR”)是变化的起点,这部新法规将公民个人信息保护提到前所未有的高度,为信息的收集、管理和利用流程划出明确红线。
GDPR是什么?
General Data Protection Regulation:欧盟议会和理事会规定(欧盟)关于保护自然人个人数据和个人数据自由流动的保护法规,并废除95/46 / EC指令(一般数据保护条例),因此这是一项全新的数据保护条例。
我在支持一个客户的项目工作,这家企业在欧洲开展终端销售业务,而且移动互联网背景下,就需要对用户进行360度分析,构建用户画像并支撑于精准营销。当然,这家企业在国内也有非常广泛的产品受众群,因此国内将用户画像已经做得相当出色。所以希望能将画像模型提供给欧洲业务,这就必然会涉及到用户隐私和数据安全的问题,随之而来的就是希望精读GDPR的法规政策,生怕违反条例并受到处罚。
讲到这里自然还要提到GDPR的适用区域。GDPR适用于欧盟内,针对用户个人数据管理与使用的企业,无论企业对数据运用是否在欧盟内,都要遵从GDPR。GDPR试用于在欧盟内自然人的个人数据。无论使用数据是否在欧盟范围内,如果他的行为属于对自然人的监控,并以各种形式为第三方提供产品或服务,就要遵守GDPR的各项要求。
GDPR法案将于2018年5月25日在欧盟范围内生效,虽然条款众多,但是GDPR基本原则也是比较简单。 GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,可称的上史上最严格的数据保护条例。对于一般性的违法,罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%(两者中取数额大者);对于严重的违法,罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%(两者中取数额大者)。
那么,欧盟国际组织谁来抽检企业对数据的使用是否具备合规性呢?评估标准是什么呢?这里体现出两个名词——ICO和DPIA,实际上是GDPR的监管与评估依据。
ICO(Information Commissioners Office):英国信息专员办公室,是GDPR的法规的执行标准。
DPIA(Data Protection Impact Assessment ):数据保护影响评估,是提供与GDPR一致的证据和评估依据。
保护个人数据,是新时代大数据时期的关键举措,这里有一些具体的条款,具体包括:
•企业使用个人数据必须得到个人的同意,并且能够证实得到了个人的同意。个人有权利在任何时候撤回他的同意。
•特别隐私数据保护:禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。
•知情权:controller在使用个人数据时,需要告知个人告知个人Controller的身份和联系方式和详细的沟通记录;与DPO的联系方式;处理个人数据的目的;个人数据的接收人;个人数据被存储的周期;告知对客户数据的加工结果,如客户画像,对客户产生法律或其它重大影响的加工结果数据。
•数据修订权:个人有权要求controller修订不准确的个人数据。
•数据被遗忘权:个人有权要求controller删除个人数据。
•数据迁移的权利:个人有权利接收个人数据和存储个人数据到私人设备上;有权利将自己的数据从一个controller给另一个controller;技术上Controller应该提供给个人数据迁移的能力。
GDPR针对IT方面的要求,主要包括:
•在处理个人数据时要能够匿名和数据最小化(只满足处理目的的数据)处理;系统中缺省个人数据不可被访问.
•个人数据匿名管理、加密,保证系统服务保密性、完整性、可用型、可恢复能力,定期测试、评估技术和组织在安全方面的有效性
•Controllor要维护每一条处理个人数据的记录、日志。
欧盟发布这个新规定的主要原因是为欧盟公民提供更多使用自己的个人资料的权力,同时加强数字服务提供者与他们所服务的人之间的信任,为企业提供明确的法律框架,通过在欧盟单一市场上制定统一的法律来消除任何区域差异。
看看欧盟,在看看我们中国市场,对用户个人数据的使用的管控简直没法比。国际组织的标准发布和执行力永远名列前茅,国内对用户隐私信息的保护不光是政策和规则的制定问题,而更多的似乎是技术上无从应对,导致牵连法规的滞后性。
分析世界讲方案——每天早7点,为您带来精彩的一页。
感谢阅读、感谢共鸣。
閱讀更多 分析世界講方案 的文章
