GDPR以风险为基础保护框架GDPR概览个人数据正当事由变更目的处罚认定保护义务主体权力Risk个人数据维度一:specialcategoriesofpersonaldata(特殊类别的个人资料)依其性质对基本权利和自由特别敏感的个人数据,因其处理过程可能对于基本权力和自由造成显着风险,故值得受到保护。处理个人数据,能够揭露出其种族、民族、政治观点、宗教和哲学信仰,或工会成员身份;处理基因数据、生物识别数据,以识别出特定个人;处理健康数据、与自然人性取向或性经历有关的数据。维度二:personaldata的识别度•已识别的数据:与已识别出(identified)的自然人相关的任何信息•可识别的数据(Readilyidentificabledata):假名化且保留额外的数据、保留原始数据副本、数据能够可逆变形且控制者知晓变形方式等;•第11条式的去标志化:如果数据控制者能表明其无法识别出特定个人时,数据控制者应在可能的情形中通知数据主体,同时,第15条至第20条的规定将不予适用,除非数据主体为行使其权力,向数据提供者额外提供了信息使数据控制者能够重新识别出特定个人。(国外做的例子,100人中简历)•匿名化数据:指无法与已识别或者可识别的自然人相关联的数据。正当事由•数据主体对出于单个或多个特定目的而处理其个人数据表示同意;•处理是为向身为合同当事人之数据主体履行合同所必须的,或者缔约之前,应数据主体的要求所必须采取的步骤;•因履行数据控制者承担的法律义务而必须处理个人数据的;•为保护数据主体重大利益或其他自然人重大利益而必须处理个人数据的;•为公共利益而执行任务,或数据控制者履行赋予的公共职能时,必须处理个人数据的;改变目的•当个人数据处理超出数据收集时出于的目的时,且没有数据主体的同意或欧盟、成员国法律作为基础时,数据控制者应判断另外的目的,是否与数据收集出于的目的相匹配,在判断时应考虑下述因素:•两个目的之间是否存在任何联系;•个人数据收集时的情景,特别是数据主体和数据控制者之间的关系;•个人数据的性质,特别是是否包含第9条所规定的“特别个人数据种类”,或是否包含第10条规定的涉及刑事起诉和犯罪的个人数据;•数据处理对数据主体可能造成的结果;•是否采取了合适的保护措施,例如加密和假名化处理。主体权力•如果做到了Article11typeofde-identified,数据主体相关权利(15到20)不适用;•基于不同合法事由开展的数据处理,数据主体有不同程度的权利被遗忘权:对数据处理是基于第6条第一款a)项或第9条第2款a)项【即同意】,且不基于其他正当事由时;可携带权:数据处理是基于第6条第一款a)项或第9条第2款a),或基于第6条第一款b)项所指涉的合同反对数据处理的权力:数据主体有权在任何时候反对基于第6条第一款e)【公共利益】或f)项【正当利益】的个人数据处理,包括基于上述项的个人“数字画像”。保护义务数据处理的性质、范围、情境、目的对自然人权力和自由的不同程度和大小的风险采取合适的技术和组织方面的措施能够向外界展示合规措施应经常评估和更新×+处罚认定•administrativefinestobe“effective,proportionateanddissuaasive”(有效、合乎比例、惩戒性)•个案中考虑的因素:(a)违规的性质、严重性及持续期间,并考虑到处理的性质范围或目的,以及受影响至数据主体人数及其受损程度;(b)违规的故意或过失;(c)所采减少数据主体损害的任何行为;(d)控管者或处理者的责任程度,并考虑到其依案第25条(pbD)及第32条(Security)所实施的技术上及组织上的措施;(e)违规所影响的个人资料类型;《网络安全法》中的个人信息保护条款解读第四十条网络运营者应对其收集的用户信息严格保守,并建立健全用户信息保护制度。明确了责任主体:“谁搜集谁负责”第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则、使用信息的目的、方式和范围,并经被收集者同意。个人同意原则目的明确原则最少够用原则网络运营者不得收集于其提供的的服务无关的个人信息,不得违反法律、行政法的规定和双方的约定收集、使个人信息,并应当依照法律、行政法规的规定或者与用户的约定,处理其保存的个人信息开放透明原则如何实现对个人敏感信息的增强权力?1、区分个人信息和个人敏感信息个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视待遇等的个人信息。2、个人敏感信息要求明示同意明示同意=explicitconsent+unambiguousconsent共享、转让时必须告知数据接收方的具体身份3、区分核心功能和附加功能附加功能在实际使用中还需要用户主动开启,并非点击同意隐私政策就可以了,对于个人敏感信息,核心功能一次性同意,附加功能逐项同意影响评估的内容GDPR个人信息安全规范数据保护影响评估至少包含以下内容:•系统性描述预计的数据处理活动,处理目的,包括数据控制者的正当利益•相对与所追求的目的,对数据处理活动必要性和比例性开展评估•对数据主题权力和自由面临的风险评估•应对风险预期采取的措施,包括安全举措,机制,以保证数据安全,以及能否满足《条例》要求的判断个人信息安全影响评估主要处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:•个人信息收集环节是否遵循目的明确、选择同意、最少够用原则;•个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括处理是否危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;•个人信息安全措施的有效性;•匿名化或去标识化处理后的数据集重新识别出个人信息主体的风险组织应具备的能力个人信息处理系统应具备的特性可干预性不可联结性可用性保密性完整性透明性认识DT时代用数字记录特征、行为等使用经验和知识来分析特征、行为的泛数据化使用数据规律来分析总结•对个人的影响•对企业的影响•对社会的公共利益影响•对公家的影响网络安全发中的数据安全信息(系统)安全数据安全Operation安全•重要数据保护•个人信息保护•传统数据安全•一般性安全•关键性安全标准的主要内容权责一致原则对其个人信息处理活动对个人信息主体合法权益造成的祸害承担责任目的明确原则具有合法、正当、必要、明确的个人信息处理目的公开透明原则以明确、易懂的合理的方式公开处理个人信息的范围、目的、规则等选择同意原则向个人信息主体明示个人信息处理目的方式,范围,规则等,征求其授权同意确保安全原则采取足够的管理措施手段,保护个人信息的保密性,完整性,可用性最少够用原则只处理满足用户授权同意的目的所需的最少信息类型和数量标准实施指引-去标志化等技术应用去标志化:通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。注:去标志化建立在个体基础之上,保留了个人颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识删除:在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态匿名化:通过对个人信息的技术处理,使得每个人信息主体无法被识别,且处理后的系你先不能被识别销毁:在物理环境和介质中彻底删除数据,且无法复原。全球数据跨境合规基本框架白名单协议协定同等保护个人信息区域内数据自由流动•欧美“隐私盾协议”•亚太经合组织CBPRs•贸易协定同等/适当保护措施代替•标准合同条款•约束性企业规划BCR欧盟委员会、俄罗斯等•个人数据的定义•处理的目的和期限•国家法律法规、行业规则以及安全措施明示用户并征得其同意•明示同意为充分允许•明示同意为必要条件•指明了法定的免于告知的情形数据出境的合规指引中国法律框架网络安全法:数据本地存储及数据出境的一般规定国家安全法/保守国家秘密法:涉及国家秘密的数据出境规则个人信息和重要数据出境安全评估办法、信息安全技术数据出境安全评估指南:《网络安全法》配套措施相关行业规划:约束特定行业企业的数据出境规划数据出境的合规性指引安全评估流程是否构成安全评估义务主体是否构成数据出境是否构成个人信息/重要数据数据出境是否合法正当启动安全评估机制数据出境是否风险可控形成数据出境计划及评估报告数据出境发生较大变化数据出境安全评审工作组监管部门/网信部门/公安部门/安全部门沟通互助是是是是是是是审查如何搭建网安法下的数据安全合规体系数据合规象限系统安全个人信息重要数据数据安全系统安全系统安全系统安全Y轴:管控流程X轴:数据合规关键领域个人信息保护事前管控:个人信息生态安全建设阶段(组织建设、流程建立、隐私政策等)、收集阶段(信息收集说明、用户同意等)等事中监控:存储阶段(去标识化、匿名化)、使用阶段、对外提供阶段(第三方承诺、安全影响评估)等事后反馈:用户申述反馈阶段(个人信息删除与账户注销)、持续改进阶段、安全事件处理(应急培训与演练)等各管控节点如何搭建网安法下的数据安全合规体系事中监控合规建设总体政策和分项手册平台及安全体系安全处理机制安全制度落地人员设置如何搭建网安法下的数据安全合规体系了解公司面临的风险与法律要求政策实施与执行梳理并建立制度流程及安全事件应急预案制度组织设置、人员指责检测数据安全定期测试数据安全系统及时修补数据安全漏洞数据识别与评估制度反馈合规建设步骤