5月25日,欧盟通用数据保护条例要求(GDPR)正式生效。对每一家企业来说,GDPR是一次非常严格的考核,促使企业从管理、技术、运营等多个方面,对隐私保护水位线做一次全面复盘,加以改善。
GDPR生效之前,阿里云已全面按照该要求持续进行数据保护与相关服务改进,相关工作已经准备就绪。包括针对“数据的被遗忘的权利/删除权”提供账号删除功能。在自身准备就绪同时,也致力于帮助全球企业提升数据安全和隐私保护能力。
今天,阿里云国际合规、安全专家一起,整理了与企业相关的GDPR六问六答,可作为企业数据隐私保护建设,与合规改造的参考建议。
1、什么是欧盟GDPR?
GDPR被各界认为是有史以来最为严格的数据保护法规,于 2018年5月25日生效。作为一项强制性法律,它取代了欧盟通行20年的数据保护指令(95/46 / EC)。侧重“自然人的基本权利和自由,特别是数据主体的权利”,尤其是“数据的被遗忘的权利/删除权”。
2、GDPR带来了哪些重要改变?
首先,GDPR的适用范围比数据保护指令的适用地域范围更广。
GDPR“适用范围”条款中提到:在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行,GDPR适用;如果数据控制者或处理者不在欧盟设立,但为欧盟内数据主体提供商品或服务,GDPR也对其有效。
小贴士:假设企业设立在中国,是一个互联网金融App,但有一部分客户位于欧洲,分布在德国、英国、比利时等地,GDPR法规也对其有效。GDPR具有域外效力。这就意味着,即使您的公司不在欧盟(EU)或欧洲经济区(EEA)内,您也应该评估您的客户是否包括欧盟或欧洲经济区内的人。如果是这样,当您处理他们的个人资料时,您必须遵守GDPR。
请注意,GDPR对个人数据的定义非常广泛,一些通常不被认知为“个人数据”的数据,也被包含在内,例如伪分类数据和IP地址(静态和动态)。
其次,GDPR的范围包括监控欧盟个人的行为,即便该监控行为由位于欧盟之外的数据管理者来完成,适用场景范围也广泛 。实际上,每个网站和应用程序都或多或少以某种方式,跟踪访问者的网上活动。
小贴士:
某智能手环,在为欧盟数据主体提供服务同时,采集并存储了数据主体的位置信息,用于记录该数据主体的行动轨迹,并且在该数据主体注册该服务时,没有告知采集位置信息的目的、用途和数据处理方式,也没有获得该数据主体的授权,这样的行为违反了GDPR在用户告知方面的相关条款。
再次,GDPR现在延伸了当前的尽职调查义务,责任范围不仅针对数据控制者,还增加了对数据处理者的潜在责任。并指出,数据控制者有义务选择和使用符合GDPR数据处理安全要求的数据处理者或供应商。
而后,GDPR第一次提出了数据泄露通知标准。发生泄漏必须及时提供通知,不得有不当的拖延,并且在可行的情况下在不迟于发现后的72小时之内通知到当地数据监管。
最后,也是最被公众关注的一点:GDPR对两项新权利的增加、完善。
ï¼1ï¼ 完善了“要求删除个人数据的权利”(也就是“个人信息被遗忘的权利”):允许数据主体要求删除个人数据。
ï¼2ï¼ 提出新的“数据可移动权”,加强现有的个人权利:要求数据控制者以常用的格式,向数据主体提供个人数据。也就是说,如果数据主体请求,要将自己的数据传送给另一个数据控制者B,数据控制者A必须提供支持。
3、GDPR对企业的影响是什么?
GDPR生效后,隐私将成为企业必须重视运营问题。 企业必须明确满足数据主体的信息权,获取权,纠正权,限制处理权,反对权,删除权和数据可移动权等。
GDPR也对一家企业的管理提出新的要求,对管理模式带来挑战和影响。因涉及企业多个部门的利益,管理层、法务、技术、人力资源、产品等部门必须协同参与,才能提升整个企业的隐私保护水平。
GDPR要求企业立即行动进行隐私保护计划,和相应改造。制定GDPR计划时,企业必须先评估风险,再制定优先级。根据GDPR的要求,对比企业当前的隐私现状来评估风险和差距,再开始执行优先级清单,证明合规性。
违反GDPR的罚款可能达 2000万欧元或企业4% 的全球销售收入,以高者为准。除了来自政府的监管调查和处罚之外,GDPR还允许个人提起集体诉讼。从处罚层面,可以认为GDPR对企业所造成影响的速度将远超其他新颁布的监管法律。
4、我的公司需要做什么来符合GDPR?
GDPR对企业的要求大致可以分为两大类:隐私合规和数据主体权利。在这两大类之下,企业需要逐步做行动落实,并提供书面文件来证明(GDPR对文件的要求非常高)。
(1)在隐私合规的保护维度下,企业需要保留数据处理库清册,把数据保护影响评估作为默认机制,将隐私嵌入到设计中(Privacy By Design)。如发生数据违规,需要在72小时内,向数据保护部门报告;在某些情况下,还需要向受影响的客户报告。最后,需要任命一位指定的数据保护官员(特别申请),维护数据安全等等。
(2)在数据主体权利的保护维度下,企业需要保证那些“数据正在被处理”的数据主体权利:包括访问权,纠正权,删除权,信息权,限制处理权,撤回同意,数据可移动性的权利等等。
5、阿里云所做的准备和投入有哪些?
数据隐私保护是阿里云的第一原则。2015年7月,首家发起《数据保护倡议》,将“不碰客户数据”写入正式文本,并被同行认可跟进。
GDPR生效之前,阿里云已全面按照GDPR要求推进数据保护工作。
ï¼1ï¼ 严格按《安全白皮书》在数据安全、访问控制、人员安全、物理安全、基础设施安全等十几个方面确保数据在云上的安全性。
ï¼2ï¼ 在公司内部进一步加强人员培训与机制流程,使数据保护成为阿里云全公司的核心理念。
ï¼3ï¼ 在产品规划当中遵从默认隐私设计(Privacy by Design)理念,将安全融入到系统和产品设计中。所有新发布的云产品上线之前,须通过安全+隐私设计双重评估,确保证其合规性。
ï¼4ï¼ 针对“数据的被遗忘的权利/删除权”,我们为客户提供账号删除功能,全球客户可以自助操作完成。
ï¼5ï¼ 除了提供合规的云服务外,阿里云还与行业领先的隐私风险管理技术机构建立合作伙伴关系。目前,阿里云已和第三方隐私合规机构TrustArc达成合作,向全球企业提供从咨询、计划定制、到合规改造执行的解决方案。
ï¼6ï¼ 现时,阿里云已通过TRUSTe企业隐私认证,并符合新加坡的个人数据保护法(PDPA)要求。
小贴士:也许您会问,就GDPR而言,中国IaaS提供商与欧美IaaS提供商相比较有什么差别呢?事实上,所有向欧盟/欧洲经济区客户提供产品或服务的IaaS提供商,都必须遵守GDPR。所以,您不必担心不同国家的IaaS提供商在合法要求上的差别。
6、在GDPR上,阿里云有什么好的方法论和最佳实践可以分享吗?
阿里云认为,GDPR不是单纯的安全的工作,也不是简单的法务的工作,而更是一家公司管理水平和管理成熟度的体现,需要各个部门的意识认知,参与维护以及相互联动。基于此,阿里云的GDPR方法论总结为:隐私建筑模块(Privacy Building Blocks)。我们建议企业:
aã 遵循将安全融入设计的原则(Privacy by Design),始终将安全作为默认考虑。
bã 多模块搭建隐私体系。要维护数据主体的权利,只有一个好的隐私协议是不够的,还要有其他方面的工作,来确保个人信息的整个生命周期,是遵守数据主体同意,以及受到保护的。比如:不保留个人数据多过数据处理所需的时间和范围,安全以及供应商管理等等。企业需要知晓目前在隐私保护上的短板,利用相应的改造手段和工具,做体系化搭建。
cã 注重部门协作。隐私保护不是一个人或一个部门能达到的事,是需要各个部门的意识认知,参与维护以及相互联动。隐私保护,好像建筑模块一样,——可精确、一致、无缝对齐。隐私保护也是需要不同的人,不同的部门和团队的无间合作来做到。
dã 了解安全与隐私两者有别,又密不可分。阿里云认为,仅仅使用合规的产品或服务,不能证明代表一家企业自身合规。同时,隐私与安全又是密不可分的 —— 企业也许可拥有没有隐私的安全,但如果没有安全措施,企业就不能拥有隐私。
因此,即使企业所用的IT、云、服务提供商GDPR准备就绪,并提供相应的安全产品和服务,也并不代表您所在的企业,可以完全符合GDPR法规。数据隐私保护,因GDPR而站在了一个新的起跑点。希望企业对自身的产品设计、流程、管理,深度,做定期、深度的审核,落实相应整改措施,建立计划和体系,才能在全球市场中走得更加长远。
欢迎大家互动讨论欧盟通用数据保护条例要求(GDPR)正式生效,你要怎么应对?
https://yq.aliyun.com/roundtable/119530
GDPR法律全文:https://ec.europa.eu/info/law/law-topic/data-protection_en
阿里云信任中心(中文):https://security.aliyun.com/trust
参考:
http://www.cbdio.com/BigData/2017-02/09/content_5445910.htm
中国政法大学互联网金融法律研究院(Internet financial law research institute of CUPL ,IFLRI)
SQUIRE GDPR对亚太的影响报告
https://ec.europa.eu/info/law/law-topic/data-protection_en
EU GDPR Portal