划重点!GDPR,阿里云的六问六答-阿里云开发者社区

开发者社区> 云安全专家> 正文

划重点!GDPR,阿里云的六问六答

简介: 5月25日欧盟通用数据保护条例要求GDPR正式生效。对每一家企业来说GDPR是一次非常严格的考核促使企业从管理、技术、运营等多个方面对隐私保护水位线做一次全面复盘加以改善。 GDPR生效之前阿里云已全面按照该要求持续进行数据保护与相关服务改进相关工作已经准备就绪。
+关注继续查看

525欧盟通用数据保护条例要求GDPR)正式生效。对每一家企业来说,GDPR是一次非常严格的考核,促使企业从管理、技术、运营等多个方面,对隐私保护水位线做一次全面复盘,加以改善。

GDPR生效之前,阿里云已全面按照该要求持续进行数据保护与相关服务改进,相关工作已经准备就绪。包括针对数据的被遗忘的权利/删除权提供账号删除功能。在自身准备就绪同时,也致力于帮助全球企业提升数据安全和隐私保护能力。

今天,阿里云国际合规、安全专家一起,整理了与企业相关的GDPR六问六答,可作为企业数据隐私保护建设,与合规改造的参考建议。

1什么是欧盟GDPR

GDPR被各界认为是有史以来最为严格的数据保护法规, 2018525日生效。作为一项强制性法律,它取代了欧盟通行20年的数据保护指令(95/46 / EC)。侧重自然人的基本权利和自由,特别是数据主体的权利,尤其是数据的被遗忘的权利/删除权

2GDPR带来了哪些重要改变

首先,GDPR适用范围比数据保护指令的适用地域范围更广

GDPR“适用范围”条款中提到:在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行GDPR适用;如果数据控制者或处理者不在欧盟设立,但为欧盟内数据主体提供商品或服务,GDPR也对其有效。

小贴士:假设企业设立在中国,是一个互联网金融App,但有一部分客户位于欧洲,分布在德国、英国、比利时等地,GDPR法规也对其有效。GDPR具有域外效力意味着,即使您的公司不在欧盟(EU)或欧洲经济区(EEA)内,您也应该评估您的客户是否包括欧盟或欧洲经济区内的。如果是这样,当您处理他们的个人资料时,您必须遵守GDPR

请注意,GDPR个人数据的定义非常广泛,一些通常不被认知为“个人数据”的数据,也被包含在内,例如伪分类数据和IP地址(静态和动态)。

其次,GDPR的范围包括监控欧盟个人的行为,即便该监控行为由位于欧盟之外的数据管理者来完成,适用场景范围也广泛 。实际上,每个网站和应用程序都或多或少以某种方式跟踪访问者的网上活动。

小贴士:

某智能手环,在为欧盟数据主体提供服务同时,采集并存储了数据主体的位置信息,用于记录该数据主体的行动轨迹,并且在该数据主体注册该服务时,没有告知采集位置信息的目的、用途和数据处理方式,也没有获得该数据主体的授权,这样的行为违反了GDPR在用户告知方面的相关条款。

再次,GDPR现在延伸了当前的尽职调查义务,责任范围不仅针对数据控制者,还增加了对数据处理者的潜在责任。并指出,数据控制者有义务选择和使用符合GDPR数据处理安全要求的数据处理者或供应商。

而后,GDPR第一次提出了数据泄露通知标准。发生泄漏必须及时提供通知,不得有不当的拖延,并且在可行的情况下不迟于发现后的72小时之内通知到当地数据监管

最后,也是最被公众关注的一点:GDPR对两项新权利的增加、完善。

(1) 完善了要求删除个人数据的权利也就是个人信息被遗忘的权利允许数据主体要求删除个人数据

(2) 提出新的数据可移动权加强现有的个人权利要求数据控制者以常用的格式向数据主体提供个人数据。也就是说,如果数据主体请求,要自己的数据传送给另一个数据控制B,数据控制者A必须提供支持

3GDPR企业的影响是什么?

GDPR生效后,隐私成为企业必须重视运营问题。 企业必须明确满足数据主体的信息权,获取权,纠正权,限制处理权,反对权,删除权和数据可移动权

GDPR也对一家企业的管理提出新的要求,对管理模式带来挑战和影响。因涉及企业多个部门的利益,管理层、法务、技术、人力资源、产品等部门必须协同参与,才能提升整个企业的隐私保护水平

GDPR要求企业立即行动进行隐私保护计划,和相应改造。制定GDPR计划时,企业必须先评估风险,再制定优先级。根据GDPR要求,对比企业当前的隐私现状来评估风险和差距,开始执行优先级清单证明合规性。

违反GDPR的罚款可能 2000万欧元或企业4% 的全球销售收入,以高者为准。除了来自政府的监管调查和处罚之外,GDPR还允许个人提起集体诉讼。从处罚层面,可以认为GDPR对企业所造成影响的速度将远超其他新颁布的监管法律。

4、我的公司需要做什么来符合GDPR

GDPR对企业的要求大致可以分为两大类:隐私合规和数据主权利。在这两大类之下,企业需要逐步做行动落实,并提供书面文件来证明(GDPR对文件的要求非常高)。

1在隐私合规的保护维度下企业需要保留数据处理库清册,把数据保护影响评估作为默认机制,将隐私嵌入到设计中(Privacy By Design)。如发生数据违规,需要72小时内向数据保护部门报告某些情况下,还需要向受影响的客户报告。最后,需要任命一位指定的数据保护官员(特别申请),维护数据安全等等。

2在数据主体权利的保护维度下企业需要保证那些“数据正在被处理”的数据主体权利:包括访问权,纠正权,删除权,信息权,限制处理权,撤回同意,数据可移动性的权利等等。

5、阿里云所做的准备和投入有哪些?

数据隐私保护是阿里云的第一原则。20157月,首家发起《数据保护倡议》,将不碰客户数据写入正式文本,并被同行认可跟进。

GDPR生效之前,阿里云已全面按照GDPR要求推进数据保护工作

(1) 严格按《安全白皮书》在数据安全、访问控制、人员安全、物理安全、基础设施安全等十几个方面确保数据在云上的安全性。

(2) 在公司内部进一步加强人员培训与机制流程,使数据保护成为阿里云全公司的核心理念。

(3) 在产品规划当中遵从默认隐私设计(Privacy by Design)理念,将安全融入到系统和产品设计中。所有新发布的云产品上线之前,须通过安全+隐私设计双重评估,确保证其合规性。

(4) 针对数据的被遗忘的权利/删除权,我们为客户提供账号删除功能,全球客户可以自助操作完成。

(5) 除了提供合规的云服务外,阿里云还与行业领先的隐私风险管理技术机构建立合作伙伴关系。目前,阿里云已和第三方隐私合规机构TrustArc达成合作,向全球企业提供从咨询、计划定制、到合规改造执行的解决方案。

(6) 现时,阿里云已通过TRUSTe企业隐私认证,并符合新加坡的人数据保护法(PDPA)要求。

小贴士:也许您会问,GDPR而言,中国IaaS提供商与欧美IaaS提供商相比较有什么差别呢?事实上,所有向欧盟/欧洲经济区客户提供产品或服务的IaaS提供商都必须遵守GDPR。所以,您不必担心不同国家的IaaS提供商在合法要求上的差别。

6、在GDPR上,阿里云有什么好的方法论和最佳实践可以分享吗?

阿里云认为,GDPR不是单纯的安全的工作,也不是简单的法务的工作而更是一家公司管理水平和管理成熟度的体现需要各个部门的意识认知,参与维护以及相互联动。基于此,阿里云的GDPR方法论总结为:隐私建筑模块(Privacy Building Blocks)。我们建议企业:

a、 遵循将安全融入设计的原则(Privacy by Design),始终将安全作为默认考虑。

b、 多模块搭建隐私体系。要维护数据主体的权利,只有一个好的隐私协议是不够的,还要有其他方面的工作,来确保个人信息的整个生命周期,是遵守数据主体同意,以及受到保护的。比如:不保留个人数据多过数据处理所需的时间和范围,安全以及供应商管理等等。企业需要知晓目前在隐私保护上的短板,利用相应的改造手段和工具,做体系化搭建。

c、 注重部门协作。隐私保护不是一个人或一个部门能达到的事,是需要各个部门的意识认知,参与维护以及相互联动。隐私保护,好像建筑模块一样,——可精确、一致、无缝对齐。隐私保护也是需要不同的人,不同的部门和团队的无间合作来做到。

d、 了解安全与隐私两者有别,又密不可分。阿里云认为,仅仅使用合规的产品或服务不能证明代表一家企业自身合规。同时,隐私与安全又是密不可分的 —— 企业也许可拥有没有隐私的安全,但如果没有安全措施,企业就不能拥有隐私。

因此,即使企业所用的IT、云、服务提供商GDPR准备就绪,并提供相应的安全产品和服务也并不代表您所在的企业,可以完全符合GDPR法规。数据隐私保护,因GDPR而站在了一个新的起跑点。希望企业对自身的产品设计、流程、管理,深度,做定期、深度的审核落实相应整改措施建立计划和体系才能在全球市场中走得更加长远。


欢迎大家互动讨论欧盟通用数据保护条例要求(GDPR)正式生效,你要怎么应对?

https://yq.aliyun.com/roundtable/119530


GDPR法律全文https://ec.europa.eu/info/law/law-topic/data-protection_en

阿里云信任中心(中文):https://security.aliyun.com/trust

参考:

http://www.cbdio.com/BigData/2017-02/09/content_5445910.htm

中国政法大学互联网金融法律研究院(Internet financial law research institute of CUPL ,IFLRI

https://www.squirepattonboggs.com/~/media/files/insights/publications/2017/04/what-are-the-implications-of-the-gdpr-in-asia-pacific/implications-of-gdpr-in-asia-pacific.pdf

SQUIRE GDPR对亚太的影响报告

https://ec.europa.eu/info/law/law-topic/data-protection_en

EU GDPR Portal

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
6915 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
2851 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4483 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7758 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5458 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9425 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
2141 0
+关注
云安全专家
阿里云安全
312
文章
1
问答
来源圈子
更多
让上云更放心,让云上更安全。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载