GDPR全向解读(一) | 欧盟监管,隐私评估方,咨询机构,律所:他们怎么看GDPR-阿里云开发者社区

开发者社区> 阿里云安全> 正文

GDPR全向解读(一) | 欧盟监管,隐私评估方,咨询机构,律所:他们怎么看GDPR

简介: 6月7日,云栖大会 · 上海峰会GDPR专场,来自SCOPE、TrustArc、德勤、科文顿柏灵律师事务所和阿里云的相关负责人、专家和顾问,从监管、隐私评估方、管理咨询、律师以及云服务提供商的视角,对企业关注的GDPR要点做了一次“全向解读”。

6月7日,云栖大会 · 上海峰会GDPR专场,来自SCOPE、TrustArc、德勤、科文顿柏灵律师事务所和阿里云的相关负责人、专家和顾问,从监管、隐私评估方、管理咨询、律师以及云服务提供商的视角,对企业关注的GDPR要点做了一次“全向解读”。

电商、移动、零售、酒店等行业的CIO们,也根据自己的切身体会,提出了关于GDPR的疑问。

013a799d15a09c6e941b09a8345b01daa276686e

企业对GDPR有哪些“过度紧张”的误区?

出海企业面对GDPR,要做的第一步是什么?

客户授权同意应该做到哪个程度?

这些问题,想必每一个在欧盟地区有客户、或有意向开拓欧洲市场的企业和机构,都有过疑惑。

2cd9ee8e1eb2716595c44d136ee7fd8e5a91f190

GDPR生效后,无论是监管方、顾问方、评估方,还是产品/服务提供商和个人,都站在一个新的起点去看待隐私保护,并且互相影响着对方。

作为数据隐私保护的领先者,阿里云愿从自己多年实践的经验出发,携手各方,帮助大家了解GDPR,提升全球数据隐私保护水平。今天开始,安全君将从“他们(第三方和监管),我们(阿里云),你们(行业CIO)”三个视角,回顾上海云栖 ·GDPR专场的精选观点和问答。

Jörn Wittmann

SCOPE Europe董事总经理

注:SCOPEEurope是欧盟行为准则的私立监管机构。

以GDPR为代表的现代监管时代来临,精髓在于协同合作、多方考虑

1c328af7023fda4f6c2b491aed0b584f4729851e

Jörn 的演讲提到了现代监管(ModernRegulation)的概念,和GDPR框架下欧盟云守则对现代监管理念的落实。从监管的角度,解读了GDPR法律出台的背景,及隐私保护的趋势。

全球所处的数字时代,其显著特征是:高速创新,对技术人员的高要求,不断变化的全新挑战。

而在传统的监管理念中,决策链一般过于冗长,对即将到来的挑战无法灵活应对,新的技术通常处于监管空白。没有多方协同的单一监管,难以真正落实到企业转型中。

而在现代监管的框架下,欧盟监管方在制定一项法律的时候,会考虑如下因素:

(1) 谁负责起草法律法规。举个例子涉及消费者的法律,到底是普通“消费者”、消费者协会和相关部门、还是企业,具体让哪些群体来参与?

(2) 产业相关方(比如服务提供方),是否可以给法律制定方相关的建议?能影响到什么程度?

(3) 谁去审核法律内容的细节,以保证正确的目标实现?

(4) 被约束的一方,符合法律的动机在哪里?其中一种“动机”是负面“激励”措施,比如你不合法,就会受到相应的处罚。还有一种是正面激励。在很多法律实施的时候,我们会发现做得好的那些公司,是受到正面激励的公司。比如说,有限责任制就是一种正面激励。

在这个背景下,来看看GDPR和欧盟云守则(EU Cloud COC),它们可以称之为现代监管贯彻落实的一个很好案例,之前提到的四个因素都有被考虑到,缩小了隐私保护法律的模糊地带。

"欧盟云守则希望将GDPR的一些比较模糊的条款给具体化,尤其在云计算领域。"

基于守则,可以给云服务提供商具体的参考,告知其如何才算是合法合规,也告诉其最终客户,怎么去验证服务提供商的合规性。

在符合法律的过程中,机构和企业也可以借以“自省”:我在哪一方面做的不够好(驱动力:避免高额罚款),公司内部有哪些原则要遵守,我们给客户提供服务的边界在哪里。这也是作为监管方,对企业隐私保护的真正期待所在。

注:阿里云是欧盟云守则的创始会员和大会成员。

罗嫣

美国科文顿柏灵律师事务所高级顾问


赢在起跑线上:读懂GDPR的一字一句

8e9d13c700993b900fd254b851379afdd9382c7b

罗律师向现场观众更加清晰、深入地解析了GDPR法律法规的要求。

首先,GDPR是什么。GDPR是一部旨在保护自然人(个人而非公司)之个人信息的法律,于2018年5月25日开始施行,直接适用于欧盟所有成员国。

那么,谁应该关注GDPR?罗律师定义出了一个加法公式:

在欧盟有相关实体的公司+向欧盟境内的个人提供产品或服务(无论是否需就该等产品或服务进行付款)的公司+监测欧盟境内个人之行为的公司(特征分析)

接着,GDPR对公司规定了哪些义务?

(1)透明度(网站隐私政策——cookie政策——隐私声明)

(2)数据处理的法律依据

(3)与关联方或者第三方共享数据的限制

(4)向欧盟境外传输数据的限制

(5)数据安全要求

(6)数据量最小化

(7)问责措施(记录、 数据保护官(DPO)、数据保护影响评估(DPIA)等)

(8)关于数据保存时间限制的要求

罗律师也提到了GDPR框架下AI发展的问题。针对当下AI客户公司的发展热潮,从法律角度提出了七条实用建议。

第一,对数据的使用保持透明;第二,尽可能的使用最少量的个人数据,如果可能尽量完全匿名化数据;第三, 对生理数据的收集和使用获得明示同意,了解同意可以被撤回,仅有极少数例外情况;第四,合理地保护个人数据的安全;第五,避免使用儿童数据;第六,考虑广泛的个人数据权利,比如访问权、可携权;最后,考虑更高的隐私敏感度。例如,德国禁止可以进行收听信息的玩具。

Chris Babel

TrustArc的首席执行官

注:TrsutArc为隐私认证方案提供商,第三方隐私合规机构。2017年,阿里云与TrustArc达成合作,向全球企业提供从咨询、计划定制、到合规改造执行的解决方案。

GDPR是一个新的开始:在数字经济时代,不去适应世界范围内隐私保护的脚步,世界就会反过来推着你走

1fb5e8584041137982fdd4c081a0a16731cbf30e

Chris首先强调数据安全保护与隐私保护的区别。数据安全保护更多的关注在数据免遭黑客攻击,防止内部泄露,从而保护内部和客户的“数据资产”;

而隐私保护更多的是:如何在数据开放的时代下尊重、保护消费者,构建与客户之间的关系,最终获取信任。而隐私法律,就是强制要求企业、机构和社会去定义、构建这种信任。

98%左右的企业认为隐私管理变得越来越困难、越来越复杂,这也是GDPR真正要出现的一个背景。

77%的大型美国企业(职工人数大于500人)说,他们将会投入100万美元以上,用以GDPR合法改造; 42%的公司会在隐私保护上重点加大投入;

企业和机构要满足GDPR要求,在Chris看来有三个最关键的点:首先是隐私深度,在企业内部,隐私保护到底落实到了哪一层,有时候企业可以雇佣外部律所或专业团队来协助此事;第二是需要有隐私保护流程、框架,包括之前提到的隐私融入设计概念(Privacy by Design),就是一个很好的例子。

“在我接触到的一些大型企业中,其中一些的业务流程可能达到500多页,都与数据息息相关。”

第三,技术。强有力的技术支持会给企业的GDPR准备工作带来很强的助推,比如应该知道企业内部数据如何流动,系统如何改造等等。

“在一个全球化的环境中,如果企业不主动去跟上全球隐私法律的脚步,那么它就会倒逼你。”

Chris提到,很多公司说GDPR是最难做的事情,确实是这样,但对待GDPR的正确方式不是被动地去达标,而是借由GDPR来树立自己的优势

Max Lin

德勤高级总监,风险管理顾问

从内控到外管,GDPR要求企业将一个机制落实到每一天的业务运行中

a47c00ff5b6aca219ea8463643bd3869edadea84

Max的建议从实际案例出发,为企业和机构的隐私保护管理提出建议。

“GDPR给企业和机构一个很重要的要求就是:用什么样的方式去做管理和运维。如前面几位演讲者所说,隐私保护不是一个525节点就能做完的事情,而是需要持续地推动整个团队去协作。”

GDPR的法条,并不是每一条都需要去拆解、理解,而最重要,也是最麻烦的部分,是判断哪些法条是和你的公司直接相关,而公司的系统、业务,又有哪一些涉及隐私风险。

有一个企业常见误区:寄希望于雇佣一个DPO (数据保护官),但隐私保护绝对不是一个岗位一个人能去推动的。不然这个岗位会成为一个“苦差事”。隐私保护工作要有一个团队或者小组推进,真正落实到业务中。

还有一种令人担忧的情况:为了“满足”GDPR,有些公司定了一本厚厚的隐私保护体系书,需要企业去“内化”的,但并没有去搭建起来一个团队,明确职责,把这个机制运作起来。

在企业内部的管控之外,Max也说到供应商的管理。

“之前我有听过一些客户说他们(不正确)的‘供应商管理之道’ — 看看哪个地方监管比较松,就将供应商的采购往这个地域集中”。

而Max认为的供应商管理重要原则是:界定我们怎么做,别人怎么做,才不会违背我们的业务要求。很多企业需要有一个职责岗位,或者一个团队,去了解整个供应链中的各方,是否都符合共识要求,并遵照行事—— 比如有人可以去做现场的审计,追踪供应商的隐私协议履行情况等。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

让上云更放心,让云上更安全。

官方博客
官网链接