首页 > 御数大家谈
欧盟“数据保护法案”将给中国企业带来的影响
发布时间:2017-07-27 17:28:18

  sjbhfa-1.png

 
该计时截止于2017.5.15号
2016年四月欧盟通过了一项新的通用数据保护法规(General Data Protection Regulation,简称GDPR),并将在2018年五月25号正式生效GDPR赋予欧盟公民个人信息保护的基本权利核心是加强公司对个人数据的收集和之后的存储和使用等方面的监管,并且全面替代了欧盟之前的数据保护方针(Data Protection Directive),GDPR的推出对于大数据时代下的个人数据保护具有重要意义,进一步的规范了互联网公司对于个人信息采集和应用过程中的安全保护,同时,对于公司内部数据安全的防护也具有重要意义,可以通过对GDPR的分析,学习数据安全控制的理念和方法。
GDPR简介
  GDPR是关于个人信息保护的法规,那么哪些信息是个人信息呢?GDPR中有明确的定义:“个人数据”是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
sjbhfa-2.png
个人信息定义
围绕这些个人信息,GDPR定义了一套基于原则的数据安全管理体系,主要包含内容如下:
sjbhfa-3.png
GDPR简介
在GDPR中首先扩充了法规的覆盖范围,覆盖了所有和欧盟有业务往来的公司,同时提升了处罚力度。其次,GDPR强调了数据处理过程中数据安全的管控力度,提出了privacy by design/default的原则要求在数据处理生命周期的各个阶段都要进行个人信息安全防护同时强调了治理在GDPR落实中的作用,要求制定数据安全保护人员,界定相关职责,对个人信息的处理和应用要有明确的问题记录。最后,GDPR明确了个人信息处理过程中的七大关键原则:
● 合法公平和透明(Lawfulness, fairness, transparency):数据处理方应以合法、公平和透明的方式处理个人信息。
应用限制(Purpose Limitation):数据的收集应有特定的、明确的、合法的目的,不得用于与上述目的无关的场景。
数据最小化Data Minimisation):收集的个人信息必须是和应用目的相关的并且是适量的。
准确性(Accuracy):收集的个人信息必须准确的及时的
存储限制(Storage limitation):个人信息在满足应用目标之后不可以超期存储
完整性和机密性(integrity and confidentiality):个人信息在存储和应用过程中必须能够保证完整性和机密性。
责任accountability):数据处理方有责任和能力落实GDPR,并且提供证据来展示合规性。
GDPR的重点内容
1. 数据保护官(Data Protection Officer DPO
  为了确保GDPR能够在组织内部得到全面的、一致的理解和执行,GDPR建议以下机构设置数据保护官:
   ●  公共机构:所有需要处理个人信息的公共机构(除掉法院)都必须指定DPO去监管组织的相关行为
   ●  企业单位:企业在处理数据的过程中需要考核监管和合规的需求,或者是数据中包含特殊种类的个人信息(主要是隐私数据,包括种族或民族出身,政治观点、宗教或哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康、自然人的性生活或性取向的数据)这些企业建议设置DPO。
为帮助组织更好的推进DPO的设置工作,GDPR还明确了GPO应该具备的职责:
对组织内部的数据处理人员提供解释和建议。
依据本章程、其他联盟成员国法律、控制者处理者关于个人数据的相关政策(包括职责、意识提高、人员培训)进行数据相关审计保证数据的合规性;
根据35条原则对数据进行保护影响评估和并提出改进建议;
和监管机构合作;
作为监管机构与处理活动的连接点,包括36条提到的事先咨询或者其他咨询活动。
同时,为了减少对于组织方面的影响,GDPR也认可企业从外部聘任DPO的行为。
2. 同意(Consent )
个人同意作为个人信息收集和使用的前提在很多法规和文件中都有规定,但GDPR对何为有效的个人同意的前提,做出了更加严格的要求。核心的变化是,同意必须是自由给出的特定的、知情的以清晰的声明或者肯定的行为表明数据主体对于处理其个人数据的明确意愿。同意的请求必须要独立的采用简洁易懂的语言来表达的。(Consent must be freely given, specific, informed and unambiguous. Requests for consent should be separate from other terms, and be in clear and plain language),个人沉默、提前勾选的选项、静止等状态,不足以认定个人表达了同意。
关于GDPR这方面的规定需要国内的大多数互联网公司给与高度的重视目前很多的声明是默认给出的同时关于个人信息的使用方面的描述相对概括不够清晰和全面例如企业收集个人信息后的用户画像等用途是否已经描述等。这些要求需要企业重新梳理个人信息的采集、处理流程,并且重新设计个人信息采集声明。
sjbhfa-4.png
3. 遗忘权(Right to erasure (‘right to be forgotten’)
遗忘权是信息主体有权要求信息控制者删除与其个人有关的资料信息,并有权要求任何已知的第三方删除针对上述信息的所有复制和链接的权利。也就是说数据控制者不仅要删除自己所控制的数据,还要求数据控制者负责对其公开传播的数据,要通知其他第三方停止利用、删除。这是对传统“删除权”的扩充,特别是在个人信息泛滥的情况下,GDPR的遗忘权为个人信息的保护提供了强有力的措施。
 
4. 数据泄露通知
GDPR规定在个人数据泄露的情况下,控制者不能不当延误,而且至少应当在知道之时起72小时以内,根据第55条规定向监管机构进行通知,除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72小时,需要对迟延原因进行解释。同时 当个人数据泄露可能对自然人权利和自由形成很高的风险时,控制者应当毫不延误地就个人数据泄露的主体进行交流
 
5. 通过设计保证数据安全Data protection by design and by default
GDPR第25条规定,应通过设计实现个人信息保护和通过默认设置实现个人信息保护(Data protection by design and by default)。其规定的实质是要求数据控制者对系统、产品、服务的设计开始,一直到开发、运营等环节,均应将对个人信息保护的要求考虑在内
6. 风险评估(Data protection impact assessment
如果处理个人信息可能导致个人权益有较高的风险被侵害时(特别是采用新技术时),数据控制方应当进行数据保护影响评估。
在以下场景中,数据保护影响评估被特别要求:
对自然人个人情况评估所进行的自动分析包括数字画像
对特定类别的数据进行大规模处理时
大规模的公共可访问区域的系统性监测
中国企业的影响
 
从前文介绍看该法规主要是针对欧盟的个人信息保护,和中国企业有什么关系呢?事实上,无论公司总部在哪儿,无论数据存储和处理地点在哪儿,只要与身处欧盟的人做生意,或者收集欧盟公民的行为信息,就必须遵从GDPR。法规中明确规定 非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一:
  (1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
  (2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。
该公司就受到GDPR的管辖。该法规将对中国企业的数据安全产生重大影响,不但包括大数据公司、互联网公司,也包含大型央企等,如果违反了GDPR相关的规定,相关企业会首先面临高额的经济处罚:
sjbhfa-5.png
从上图可以看到处罚高达2千万欧元或者全球总营业收入的4%(两者中取最高者),4%这个数字意味着什么呢苹果公司最近两年的年收入都超过了2000亿美元,所以假设苹果公司违反了GDPR的规定,那么罚金就有可能高达80亿美元。与其形成对比的是,如果在美国触犯了隐私保护条例,那通常情况下罚金的大概范围是几十万到几百万美金。从数量级上看,GDPR的罚金是远高于其他数据保护条例的。
经济方面的影响仅仅是中国企业要考虑的因素之一如果中国的企业特别是互联网企业还想在欧洲开展业务,那么就需要仔细评估GDPR的内容,全面梳理公司内部存在哪些个人数据,分析这些个人数据的应用场景,了解和外部公司的交互过程,并且分析各个节点中如何展开个人信息的保护。
总结
大数据时代,数据共享和数据收集的规模急剧增长,数据已经成为原料生产、巨大经济和社会价值的源泉。先进的数据挖掘和分析技术使得个人数据的国际治理愈加突出,数据隐私问题已经成为数字经济时代的顶层问题。自由合法的数据流通成为数字时代经济持续健康发展的基石,在保证个人数据安全的同时,如何构筑安全信赖的在线流通环境成为大数据环境下各国关注的立法焦点。GDPR因其完善且符合时代发展的内容,生效后可能会成为国际数据隐私保护标准,成为未来主导世界数据隐私保护的国际治理模式之一。中国应该深入学习和借鉴,结合中国具体国情,尽快创造出新的法律规则来捍卫大数据环境下的个人数据权。

 

联系我们
地址:北京市海淀区中关村南大街甲6号铸诚大厦B座706室
邮箱:
info@dgworkshop.com.cn
微信号:DGWorkshop_CN
关注我们
Copyright © 2016 御数坊(北京)科技咨询有限公司