前言
思睿嘉得创始人董靖(DJ),在上期安全说中分享了议题《领会GDPR根本原则以指导业务合规》。本篇知识库主要为董靖老师深入浅出讲解GDPR,由多个例子进行通俗易懂的全面解读。
常见问题解答
关于GDPR的问题一直是众说纷纭,那么在本次知识库的开篇,就让我们一起看看有哪些常见问题是存在误解的。
1.所有个人数据泄露事件都会被罚款(误解)
GDPR欧盟立法时考虑到一些小公司的状况,对于250个以下的员工会有减免,所以即使有一定程度数据泄露,如果你的公司不是很大,影响面不是很广的话,其实监管机构不会在意。
2.泄露事件必须在72小时内上报监管机构(正确)
还必须要在事前做好排练,否则真正发生泄露时,都不知道找监管机构的联系人是谁,不知道流程怎么走等等,所以必须在事前做好演练。
3.GDPR合规要求加密所有个人数据(误解)
GDPR没有做任何技术上的要求,只是个法律的规定。
4.市场上有厂商提供GDPR合规产品(误解)
实际上,没有一家安全厂商可以提供GDPR所要求的所有合规的产品,GDPR还牵扯许多合规业务流程的东西,GDPR的许多流程,规范,在企业中的落地,必须要企业内部自己来做。当然可以借助一些第三方的咨询公司,但是必须要自己来做。
5.屏蔽欧盟iP访问即可免除合规责任。(误解)
GDPR管辖的主体有三类 1.你在欧盟有自己的法人,公司就在欧盟。2.虽然没有在欧盟里面有任何的经营实体,但是向欧盟境内提供服务。3.可能是个中国的互联网服务商,在中国为欧盟公民提供服务。这些都要受到GDPR的管辖。
6.数据主体权利会影响业务流程(正确)
原来的合规对业务流程影响的很少,GDPR明确规定数据主体(个人消费者)所拥有的一些权利,所以会对整个的业务流程会有翻天覆地的影响。
7.数据处理规范流程以及历史记录为必须(误解)
GDPR对很多小型公司、创新公司是有保护的,250个员工以下的企业会免除很多责任,比如数据处理的流程以及记录是可以不用保存的。但是,对于大互联网公司来讲是必须要做的。即使是你在其他国家不在欧盟,但你为欧盟提供的服务比较多,那么这条也是必须的。
8.不做数据分类和分布梳理就能满足合规(误解)
光买数据安全的产品是不够的,传统的业界通行的安全产品都要上,不止数据安全产品。还有必须知道关键数据是怎么分布,在哪个部门,哪个区域有,才能做合规。
9.数据保护影响评估DPIA需要经常进行。(误解)
DPIA只是针对高风险的数据处理流程,一般的个人数据处理不需要。对大型的互联网公司来讲,这条是正确的。因为GDPR里面规定了数据画像和自动决策,所有数据画像和自动决策的行为都是高风险的数据处理流程。
GDPR的根本原则
1.GDPR的三大根本原则
GDPR有三大根本原则:
合法、公平、透明。实际上这是真正指导业务合规的根本思想,每个词背后都意味着很多的工作量和很多指导性原则。
•首先,合法。这个合法的范围非常宽。比如,你对未成年人怎么保护?GDPR要求对16周岁及以下的未成年人的数据采集必须有监护人的同意。举个例子,你要做个游戏,在欧盟去卖,一个12岁小朋友去玩,你必须要在界面上明确要求他去找监护人过来同意你的隐私政策还有用户协议,和使用数据的许可,你才能去采集数据。
•其次,公平。公平体现在每一步业务处理流程当中。比如,相同酒店,用iphone和安卓上看价格是不同的,出现价格歧视的情况,这里其实就违反了公平的原则。你做数据处理的话,对所有业务处理流程要显示公平,不能有明显的歧视现象。
•最后,透明。所有对数据处理的流程都要展示给用户,从用户那里采集数据的时候,大概有将近20条的信息必须要告知用户。包括是否会有第三方去处理数据。用于风控也好,广告也好,有个大概范围。如果用户认为权利受到损害,要通过什么样的申诉入口来上报,必须讲清楚,如果藏得很深,用户找不到的话,监管机构都是可以处罚的。
2.应对GDPR常见方式
我们在应对GDPR时,有两种常见的方式选择,分别为:
1.显示最佳实践以提升竞争力。比如,GDPR生效前一天 ,微软向全球宣布会把GDPR的要求推给全球用户。像微软一样,把这个事情当做最佳实践,向所有用户和国家宣扬,这样也会提升一些自己的竞争力。
2.缩小业务范围以降低风险。比如,美国的新闻网站针对欧盟Ip实际区别提供服务的深度和广度,包括从隐私政策开始到页面功能到采集的数据。对欧盟用户,采集数据很少,调查问卷的表单也没有,投票会有诸多的限制。虽然GDPR要求很广泛很深罚款很多,但如果你对欧盟的业务量很小,那么监管机构不会把你当做一个重点监控对象,这样也是降低风险的。
需要注意的是,最严厉惩罚不止4%全球收入或者2000万欧元!
惩罚是分级的。最开始的时候是公开的训斥。这个对很多互联网公司来讲是难以接受的,市场形象会受到一定影响。而最严格的是监管机构有权暂停你在这个国家使用个人数据,比如三周,一个月等。其实这个对很多公司来讲才是免顶之灾。在全球化的大背景下,可能有30%的业务收入来源是在欧洲地区,如果罚款2000万欧元还是可以承受的,但是如果一个月暂停30%的业务,这个可能是难以承受的。所以实际上这个惩罚是非常严格的。
三大角色的权责
1.个人数据的定义
在了解三大角色的权责之前,先介绍一下什么是个人数据。
•任何指向已识别或可识别的自然人(“数据主体”)的信息
•该可识别的自然人能够被直接或间接地识别
•尤其是姓名、身份号码、定位数据、在线名称等标识 •或者针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素
•特殊敏感数据需要明示同意
在企业中,怎样划分个人数据范畴?建议只要和自然人发生业务往来的所有数据不如都算做个人数据,听着范围很大,实际上,这其中非个人数据是很少的。
举几个例子:
1.呼叫中心通话。即使通话记录没有提到任何直接个人信息,可能是新产品的调查,如果有问到喜欢什么颜色偏好,大小的要求等等,就算是个人数据。
2.商品、服务评论。即使是选标签,点几个键,也是个人数据。比如现在飞机落地,会有航空公司推送链接,对服务评分,其实也是个人数据。
3。在线医疗咨询。比如,在线咨询了过敏,想问有什么药对治疗过敏比较好,也是个人数据。
2.三大权责具体介绍
•首先是数据主体,数据主体可以要求控制者和处理者做很多事情。数据主体的权利有获取自己的数据、纠正不准确的数据、删除自己的数据、限制使用自己的数据、拒绝用户画像和自动决策、数据可转移六大权利。同时还要遵循数据最小化原则。
这意味着控制者不同业务线的产品数据接口需打通,要不然对于用户需求是难以完成的。也意味着在业务线推一个新产品的时候必须事先想好我要采集哪些数据,要存在哪些地方,要怎么使用它。这样才能更好地应对用户的要求。
•其次,数据控制者和数据处理者。控制者相当于法人,可以有多个控制者,如果发生数据泄露事件,控制者将承担全部责任。而数据处理者主要为处理数据的公司、第三方公司。
控制者和处理者也有权利。最典型的三个方面为:
1.避免欺诈或其他损失。比如可以对用户做一些真实性的调查,实名验证等。
2.员工管理的需要。比如可以对员工做一些画像,宗教倾向、政治倾向等。
3.成本过高或不可行。比如对于一些黑产敲诈勒索,可以不用理会。
•最后,控制者还有基本的责任。
1.在和用户打交道的时候有3层来保护用户权利,给用户很自由的选择权。
第一层:隐私政策,不是针对某一个个人,是通用型的,不需要用户签署。
第二层:用户协议,每个用户必须要有签署。
第三层:使用许可,意味着用户可以明确选择使用哪些产品。
2.当发生个人数据损毁失泄时,控制者应毫不延误地,若可行,于获知起72小时内,通知监管机构,除非不会产生危及自然人权利和自由的风险。如果迟于72小时,须附述原因,可能会产生对公司一些不利的影响。那么,何种事情需要上报监管机构呢?
这里要看是否遵循CIA三原则:
1.保密性(未经授权披露或访问);
2.完整性(是否被篡改);
3.可用性(意外或非法毁坏和损失)。
对于控制者还需要注意的是,自动决策是易被忽视的高风险区域,必须要通过数据保护影响评估(DPIA),并且控制者应当提供适当的措施,令数据主体可以表达其观点并提出异议。
GDPR数据保护
1.数据保护影响评估(DPIA)
首先,DPIA是风险评估流程,并非技术检测。其次,DPIA在预测新数据处理流程实施前。也是高风险数据处理必需,包括用户画像与自动决策。最后,如果DPIA的结果是高风险,必须上报监管机构,需降低降低风险,并且暂停数据的处理。
2.三大基础安全能力
个人数据保护需要所有通用安全手段,仅有数据安全手段是不够的。面对GDPR,全局掌控数据是唯一应对方法。说到全局掌控数据就要了解一下几个问题。
•组织拥有哪些个人数据?
•个人数据位于组织何处?
•哪些业务使用了个人数据?
•监控敏感数据的使用和风险?
•如何应对内部威胁和外部威胁?
GDPR合规计划
1.三大基础安全能力
GDPR合规所需要的三大基础安全能力分别为:
1.分类分级;
2.资产拼图;
3.使用监控。
并且还需要系统和工具固话流程持续运营。
2.GDPR合规行动计划
1.获取管理层和业务部门的支持
2.建立工作组,包括合规、安全、法律、风控、HR、业务各部门
3.数据分类分级与资产地图
4.隐私政策、用户协议、与用户共识
5.数据主体要求的实现
6.数据保护影响评估
7.个人数据损毁泄露的响应和处置
8.跨境数据传输
9.数据安全治理
评论