GDPR你需要知道的事儿

GDPR你需要知道的事儿一、GDPR的机遇和挑战1.1GDPR概述2016年4月27日，欧盟议会通过了《一般数据保护条例》（以下简称GDPR）法律条例并将在2018年5月25日生效。该条例旨在加强对欧盟境内居民的个人数据和隐私保护。此外，它还将通过统一数据和隐私条例来简化对跨国企业的监管框架。它将取代1995年颁布的《数据保护指令》，是近三十年来数据保护立法的最大变动。GDPR是欧盟起草的最全面的数据隐私法，也将为主权国家的数据隐私设置先例。GDPR规定，世界上任何一家处理欧盟客户数据的公司都要披露其收集、存储和处理用户数据的方式。欧盟用户也可以从任何公司申请获得其个人数据的副本，并可以要求该公司删除个人数据。不遵守GDPR的企业可能需要面临着2000万美元或4%年营业额的罚款。1.2管辖范围从制造企业到互联网初创公司，不管是否在欧盟实际设立办公室，只要从事以下活动都需要遵守GDPR的规定：①向欧盟公民和居民出售商品或服务②使用技术（如cookies）来监控人员（其中包括欧盟境内居民）的网站③雇佣任何欧盟居民④收集任何可能包含欧盟公民信息的数据简而言之，GPDR全球适用。如果您收集任何欧盟居民的数据，那么就要遵守GDPR法规。不管您的公司位于何处，只要是已经或正在准备与欧盟体系内的26个国家有经济业务往来，不论您的产品或服务是可以直接还是间接识别到个人的资料，事实上都需要遵守GDPR法律规定，中国企业如果违反规定也将受到处罚。除非公司非常严格地排除了欧盟，否则还是得处理GDPR合规问题。1.3主旨内容GDPR所保护的数据是与个人有关的数据而不是企业。然而，在GDPR下，这一定义更加广泛“个人数据”扩展到了与个人有关的所有信息，无论是涉及到私人的、职业的还是公共的生活。从姓名到家庭住址，照片，电子邮件地址，银行账户细节，在社交网络网站上的发文，医疗信息，计算机的IP地址以及其他，它可以是任何东西。换句话说，如果在你经营业务的过程中，所收集和使用的数据满足这些情况，那么这些数据就是个人数据，因此你就需要在处理、访问或传输它们时，遵守这项法律。个人被称为数据主体。与任何数据安全规则一样，在存储个人数据的数据库中启用控制只是遵守法规的一个步骤—人员和流程也是至关重要的。然而，GDPR文本中规定了一组定义控制组织需要在其数据管理领域实施的具体要求。GDPR重视保护自然人的个人信息权利，包括个人信息使用的知情权利、自由流动的权利、撤回使用授权的权利以及被遗忘的权利等。由此不难理解，GDPR在立法目的的层面上更支持个人对于个人信息的自由处置权，其不仅关注个人信息在境内受保护的情况，同时也着眼于个人信息出境后如何被处理及保护。GDPR第4条(a)款强调，个人信息（personaldata）是指可直接地或间接地识别或用于识别自然人的信息，根据现行规定，雇主必须为员工和相关人员提供隐私声明。根据GDPR，这些声明必须具体说明数据将被保存多长时间，是否会输出至欧盟境外，并明确指出在一些特定情况下个人有权要求获取或删除请求。如果发生可能会构成个人权利或自由风险的数据违规事件，数据控制者必须在72小时内通知相关数据保护监管机构。1.3.1个人数据归属在个人GDPR的目的是将个人数据的控制权交还给欧盟公民和居民，并通过统一欧盟规定来简化和协调国际业务相关条例。个人数据是指与一个确定的或可识别的自然人相关的任何信息。可识别的自然人指可以直接或间接识别的人,特别是通过参考诸如姓名、身份证号码、位置数据、在线身份识别等标识符,或参考与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素。GDPR的核心是对个人数据的收集和之后的存储使用，规定更高的透明度与管控。GDPR条例制定的目的，是想借赋予欧盟公民个人信息保护的基本权利，来增加消费者对在线服务和电子商务的信心。GDPR不是一个负担，相反，它可被视为在世界第二大贸易集团(欧盟)增加业务的好机会。强调提出为了个人数据被毫不延迟地处理、删除或修正的目的，必须采取一切合理的步骤确保个人数据是不精确的（第5条）。强调同意的认定标准更加严格。同意必须是具体的、清晰的，是用户在充分知情的前提下自由做出的。如果数据控制者希望获得的同意的事项区别于此前已取得同意的事项范围，则需要向用户做出单独明确的说明；如果将同意数据处理作为签订合同的前提条件，而这种数据处理事实上超出了提供服务所必需，将违反有关“同意应当是自由做出”的规定（第7条）。1.3.2处理数据须有合法理由处理个人数据必须要有合法理由，包括数据主体的同意、为了履行合同需要、履行法定义务的需要以及数据控制者的合法利益等。1.关于同意的认定标准更加严格。同意必须是具体的、清晰的，是用户在充分知情的前提下自由做出的。如果数据控制者希望获得的同意的事项区别于此前已取得同意的事项范围，则需要向用户做出单独明确的说明；如果将同意数据处理作为签订合同的前提条件，而这种数据处理事实上超出了提供服务所必需，将违反有关“同意应当是自由做出”的规定（第7条）。在这种高标准下，虽然GDPR并没有明确禁止“默示同意”模式（敏感数据处理、数据画像活动例外），但在实践中通过推定方式获得用户同意将很难被认为是有效合法的。也就是说，当前实践中普遍存在的通过冗长晦涩的隐私政策来获取用户同意，或者让用户在签订业务协议时通过“打钩”方式作出一揽子授权的方式将失去合法性。业界普遍认为，GDPR关于有效合法同意的严格规定，使得用户的同意不会像现在这样被轻易获得。更重要的是，GDPR赋予了数据主体可以随时撤回同意的权利。数据控制者应当明确告知用户现有该权利，并为用户方便的行使该权利提供便利。在处理儿童个人数据时，必须获得其父母或者其他监护人的同意。并且该举证责任在于数据控制者，数据控制者必须能够证明其从监护人那里获得了同意（第8条）。2.关于敏感数据的处理。敏感的个人数据包括能够揭示个人的种族、政治倾向、宗教和哲学信仰、商业团体资格、以及关于个人健康或者性生活的数据，在敏感数据类型中，条例还明确加入了基因数据和生物数据，这类数据的处理能够唯一的识别出特定个人。（第9条）敏感个人数据的特殊性在于，作为一般法则，禁止处理敏感数据，除非特定的例外条件能够满足。这些例外条件包括数据主体的同意，或者数据主体已经将上述信息公开；为了建立、履行或者保护合法的诉求必须处理上述敏感信息；为了公共利益的需要，或者与公共利益相关的归档、科学、历史或者统计目的之用。但总体的原则是，这些对于敏感数据处理的例外情况的解释将会非常狭窄。3.关于数据控制者的合法利益。GDPR都规定除了获得同意以外的其他的数据处理的合法理由，其中包括符合数据控制者的合法利益。数据控制者可以以营销为目的使用用户个人数据，但用户随时可以提出反对，数据控制者必须立即停止使用。除此之外，将数据控制者的合法利益作为数据处理的合法理由的情形在实践中非常有限。数据控制者必须能够证明，其合法的利益显著高于数据主体的个人权利和自由。（第6条）1.3.3强大的数据主体权利GDPR对数据主体的权利规定细致入微，为个人有效行使权利提供了坚实的法律保障。1.知情权。GDPR规定数据控制者必须以清楚简单明了的方式向个人说明其个人数据是如何被收集处理的。可以想见的是，当前企业普遍应用的隐私政策必须进行大幅改革，才能满足合规要求。2.访问权。数据控制者应当为用户实现该权利提供相应的流程，如果该请求是以电子形式提出的，则也应当以电子形式将数据提供给个人。控制者不能基于提供该服务而收费，除非数据主体的请求明显过量，超过负担（第15条）。3.反对权。对于两种情形，数据主体享有绝对的拒绝权：始终有权随时拒绝数据控制者基于其合法利益处理个人数据，始终有权拒绝基于个人数据的市场营销应为。条例还引入了限制处理的权利，例如当数据主体提出投诉时（例如针对数据的准确性），数据主体并不要求删除该数据，但可以限制数据控制者不再对该数据继续处理（第21条）。除了以上权利之外,GDPR还全面引入了新型的权利类型，其中最引入注目的是“数据可携权”，（第20条）、“被遗忘权”（第17条）。“个人数据可携权”，是指用户可以无障碍的将其个人数据从一个信息服务提供者处转移至另一个信息服务提供者。例如脸书的用户可以将其帐号中的照片以及其他资料转移至其他社交网络服务提供商。当然，该权利不仅适用于社交网络服务，还包括云计算、网络服务以及手机应用等自动数据处理系统。信息控制者不仅无权干涉信息主体的此项权利，还需要配合用户提供数据文本。从目前第20条规范看，数据可携权适用于数据主体提供给数据控制者的数据，因此个人的网络行为轨迹是否属于该范畴，还有待于欧盟数据保护委员会做出解释。“被遗忘权”，GDPR第17条删除权共计三款。其中第1款的核心仍然是传统个人信息保护法中已经确立的删除权：当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时，用户有权要求删除数据。关于“被遗忘”的精神更多体现在第17条第2款：如果数据控制者将符合第1款条件的个人数据进行了公开传播，他应该采取所有合理的方式予以删除（包括采取可用的技术手段和投入合理成本），数据控制者有责任通知处理此数据的其他数据控制者，删除关于数据主体所主张的个人数据链接、复制件。也就是说，数据控制者不仅要删除自己所控制的数据，还要求数据控制者负责对其公开传播的数据，要通知其他第三方停止利用、删除。这是对传统“删除权”的扩张。总体看，GDPR对于数据主体权利的补充完善，不仅极大增强了数据主体对于个人数据的控制能力，也将对企业如何保障实现数据主体的权利提出了具体的要求，对企业的制度建设，措施配置、业务流程乃至信息技术系统设计产生直接影响。1.4带来益处GDPR给用户带来的好处包括：被遗忘权：用户现在有权要求删除个人数据。更加严苛的同意认定标准：企业必须在收集、使用和处理用户数据时获得用户明确的同意。强制性的数据泄露通告：一旦发生数据泄露事故，数据控制者必须在72小时内通知监管机构和用户。隐私策略：数据保护应成为项目生命周期中最关键的考虑因素。数据保护官：大型企业须雇佣专员来管理数据保护。1.5违规处罚1)被强制公开泄露事件，72小时内；2)违规最高罚金可达公司全球总收益的4%或2000万欧元中的高者。假如苹果公司违反了GDPR的规定，那么罚金就有可能高达80亿美元。与其形成对比的是，如果在美国触犯了隐私保护条例，那通常情况下罚金的大概范围是几十万到几百万美金。从数量级上看，GDPR的罚金是远高于其他数据保护条例的。3)除了高额罚金，还必须引入具备数据保护法令专业知识的指定数据保护官员。该角色必须是独立的、自治的，并直接向高层管理汇报，发生数据泄露以后这个角色需要承担相应的责任。4)企业的声誉造成极大破坏，并且导致企业与消费者之间的信任危机。二、个人数据如何处理2.1GDPR对数据的要求GDPR的目的在于帮助欧盟的公民更好地控制他们的个人数据。数据在存储和流动过程中如何提供方式机制。从根本上来说，大多数的合规机制都是关于数据安全的，它们的内容基本上可以归结为两个主要的关注点：“不要让数据流出”以及“不要让坏人进来”。GDPR扩展了这些基本的理念，它要求个人有权利了解他们的数据是如何使用的、索取个人相关数据的副本，并且允许个人要求删除与他们相关的数据。从技术的角度来看，这都会带来明显的影响。从一个系统的角度来说，良好的安全首先需要强有力的数据管理，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”2.2美创的见解2.2.1个人数据遮蔽对于任何使用欧盟公民数据的人来说，GDPR都是不可避免的现实。如何处理个人数据是整个组织层面的责任，但是在业务操作方面，我们可以提供一些支撑工具在多个方面来处理这个问题。通过技术手段对数据进行遮蔽但仍然可用于分析。GDPR要求企业实行数据最小化与用途限制措施。这意味着企业只能因特定用途去收集与使用数据，且数据保