GDPR通用數據保護條例-要點總結財經頭條網

2018-07-13 00:57:32 安全牛

數字化浪潮席捲全球，越來越多的企業在利用技術來徹底改變企業的業績或觸角。數據作為數字化轉型的根基，對企業來說至關重要。據調查發現，在全球

數據洩露事件中，違規事件發生率較高的行業：零售業佔16.7%; 金融與保險業佔13.1%; 醫療機構佔11.9%。（Trustwave 2018年全球安全報告）。而這幾個行業正是數字化轉型的先驅。發展與風險並存，在數字化過程中對數據的保護成為了企業的頭等大事。

2017年6月1日施行的《中華人民共和國網絡安全法》，強調了對基礎設施及個人信息的保護。2018年5月1日實施的《信息安全技術個人信息安全規範》，從國家標準層面，明確了企業收集、使用、分享個人信息的合規要求，為企業制定隱私政策及個人信息管理規範指明瞭方向。而在2018年5月25日正式生效的GDPR，被稱為歐盟“史上最嚴”條例，業已產生了巨大的影響：

Google、Facebook，在GDPR生效日分別收到了歐盟39億歐元、37億歐元罰款的訴訟。蘋果、亞馬遜、LinkedIn等公司也面臨隱私監管機構提起的訴訟。
GDPR生效後，芝加哥時報、洛杉磯時報等多家美國媒體網站在歐洲的服務器關停。
微信海外版、新浪微博國際版等多家互聯網企業向歐洲區用戶更新隱私政策，請求重新授權。QQ停止部分國際版服務，並將推出新版本，提示用戶升級。國航、東航均對其APP及官方網站隱私條款進行了更新。
海爾、華為早已僱請專門團隊應對新規。

為此，安全值&谷安研究院對GDPR深度解讀，將要點進行了歸納，助您快速瞭解GDPR。

1.適用性（中國企業）

2.數據相關方

數據主體（data subject）：享有數據權利的主體，個人數據所指向之自然人為數據主體
控制者（controller）：義務主體，指單獨或者與他人一起，決定個人數據處理之目的和方式的自然人、法人或者其他組
數據處理者（processor）：義務主體，代表控制者，處理個人數據的自然人、法人或者其他組織
第三方（Third party）：指未對“個人數據”有任何授權的其他方

3.個人數據定義

“任何指向一個已識別或可識別的自然人的信息”，例如：基本的身份信息：姓名、地址和身份證號碼…

網絡數據：位置、IP地址、Cookie數據和RFID標籤…

醫療保健和遺傳數據;生物識別數據，如指紋、虹膜等;種族或民族數據;政治觀點;性取向。

4.數據處理定義

“指對個人數據或個人數據集合上執行的任何操作”

5.數據處理原則

確保數據在整個數據生命週期的安全

數據收集：收集目的明確、合法，數據主體同意授權
數據處理：處理過程合法、透明，具備保障
存儲：安全、保密，存儲期受嚴格限制

6.數據主體權利

●許可權 ●訪問權 ●糾正權 ●限制處理權

●反對權 ●可攜權 ●被遺忘權 ●告知權

7.同意條件

數據處理的前提是用戶同意，如果用戶同意是在包含其他事項的書面聲明中，則該書面聲明中的同意請求應當具有明顯的辨識度並使用清楚、直白的語言，以容易理解且容易獲取的方式呈現，否則視為無效。
用戶有權隨時撤回其同意，同意的撤回應當和同意的作出一樣容易。
兒童的同意：16歲以上兒童的同意可以是處理其個人數據的合法條件，不滿16歲的兒童，只有當其監護人授權同意時，處理其個人數據才是合法的。

8.組織責任