在過去(qù)的一(yī)個周末，歐盟史上最嚴厲隐私保護法GDPR正式生(shēng)效。GDPR是二十年來數據隐私規則領域發生(shēng)的最重要變化，給歐盟、乃至全世界的企業都将帶來重大(dà)影響。無論企業是否在歐盟境内，隻要與歐盟企業發生(shēng)業務往來，或涉及存儲、處理、交換任何歐盟公民的數據，都必須嚴格遵守該條例。

 

想要快速了解法案内容？這些關于GDPR的知(zhī)識點可以幫你快速理清脈絡。

 

01什麽是GDPR？

《一(yī)般數據保護法案》（General Data Protection Regulation (GDPR)）由歐洲議會投票通過，這項法案賦予歐盟公民更多的個人數據控制權，另外(wài)對那些收集、處理和存儲個人數據的公司提出更高的責任要求，新法案由11章共99條組成，于2018年5月25日正式生(shēng)效。（→_→完整法案内容可在文末獲取查看）

GDPR作爲一(yī)套用來保護歐盟普通公民個人隐私信息數據的新法規，對個人信息的保護及監管達到了前所未有的高度，是史上最嚴格的數據保護法案。

 

02适用的範圍

    GDPR适用的數據主體(tǐ)，不僅僅是企業，也包括決定和參與個人數據處理的任何個人、組織，涵蓋政府部門、公共組織、司法機構及其他實體(tǐ)。上述個人或實體(tǐ)（除歐盟境内企業及機構，隻要涉及向歐盟境内個人提供服務并處理或監控個人數據）作爲數據控制者或數據處理者的均在适用實體(tǐ)範圍内。

 

03涉及哪些個人數據

“個人數據”定義是指任何指向一(yī)個已識别或可識别的自然人信息。該可識别的自然人能夠被直接或間接的識别，尤其是通過參照諸如姓名、身份證号碼、定位數據、在線身份認證标識，或者通過參照針對自然人的一(yī)個或多個要素（物(wù)理、生(shēng)理、遺傳、心理、經濟、文化或社會身份）。這意味着GDPR擴大(dà)了定義，包括“已識别”和“可識别”的數據信息，已識别個人數據指傳統個人數據（姓名、照片、電(diàn)子郵件、電(diàn)話(huà)号碼、家庭住址、身份證号碼、銀行帳号或社保卡号等），可識别個人的信息是指位置定位數據、移動設備ID以及某些情況下(xià)的IP地址、生(shēng)物(wù)特征數據和遺傳數據等。

 

04對兒童數據的特别規定

GDPR在“信息社會服務中(zhōng)适用兒童同意的條件”規定，如果直接向兒童提供信息社會服務時，該兒童的年齡應當爲16周歲以上。若兒童未滿16周歲，隻有在征得監護人同意或授權的範圍内其處理才合法。各成員(yuán)國可以對上述年齡進行調整，但是不得低于13歲。組織如涉及兒童個人數據的處理，應予以特别保護。

 

05數據洩露強制通知(zhī)的規定

GDPR規定，在發生(shēng)個人數據洩露時，除非個人數據的洩露不會産生(shēng)危及自然人權利和自由的風險，否則數據控制者應在獲知(zhī)洩露之時起的72小(xiǎo)時内向監管機構發送通知(zhī)報告。組織應注意如發生(shēng)個人數據洩露等安全事件，需履行的通報和告知(zhī)義務。

 

06處罰的規定

不遵守規定的數據隐私法規的後果就是會受到嚴厲的制裁和巨額的罰款。 

07GDPR對違規組織采取根據情況分(fēn)級處理的方法：

如果組織未按要求保護數據主體(tǐ)的權益、做好相關記錄，或發生(shēng)了更爲嚴重的侵犯個人數據安全的行爲，如未獲得客戶同意處理數據，或核心理念違反“隐私設計”要求，或違反規定将個人數據跨境傳輸，或違反歐盟成員(yuán)國法律規定的義務等，組織有可能面臨最高2000萬歐元或組織全球年營業額的4%（兩者取其高）的巨額罰款。

 

漢武安全實驗室針對GDPR中(zhōng)的核心要點深度分(fēn)析了國内企業的應對策略。這裏的應對建議涉及到系統架構、人員(yuán)管理、流程管理、風險評估、業務邏輯、應急響應等衆多環節，以下(xià)内容可作爲企業自查的一(yī)種分(fēn)析方式

 

1.必須明确詢問用戶，是否允許同意搜集他們的數據。必須以清晰的方式詢問用戶，而不能以任何方式默認用戶授予開(kāi)發者數據使用許可權。

2.提供自助登錄入口，可供查詢、更新個人信息；提供賬戶銷毀/删除功能，确定服務或協議終結，可允許選擇銷毀賬号及信息，并删除一(yī)切有關個人數據，包括第三方賬戶登錄（可以通過加密數據，然後删除密鑰）。

3.需要加強密鑰管理以保護加密的數據，合理區分(fēn)數據控制者和數據處理者，對權限和身份進行合理劃分(fēn)。

4.識别數據存儲的位置（特别需要注意雲計算服務資(zī)源），數據的類型及風險級别，嚴格把控信息數據的訪問控制。

5.遵守“知(zhī)其所需”（Need to know）原則，隻收集所需要的最少個人數據，并采取技術和管理措施來保護數據的存儲安全和傳輸安全，避免個人數據被篡改、丢失、未經授權披露或被惡意攻擊。

6.設置專門的隐私保護人員(yuán)，實施問責機制；建立數據生(shēng)命周期管理，定期更新或銷毀，定義流程及描述以對數據洩露做出敏捷反應。

7.建立内部隐私管控制度，并與專業數據安全服務公司保持聯系。

8.進行全面的風險評估；應用關鍵安全控制來恰當地檢測、管理和緩解數據處理環境中(zhōng)的任何漏洞；根據企業策略配置系統，并維護該配置；持續監視日志(zhì)文件，警惕任何潛在數據洩露或漏洞。

 

面對“史上最嚴”的數據監管條例，帕拉迪擁有專業資(zī)深的數據安全專家團隊爲其保駕護航。在确保企業和産品滿足GDPR合規要求的前提下(xià)，帕拉迪也将爲渠道合作夥伴和客戶提供數據安全方面的支持和建議。

 

01

帕拉迪的漢武安全實驗室是由一(yī)支專業的數據安全專家組成的團隊，該團隊可以幫助客戶對數據保護條例的具體(tǐ)要求及數據安全現狀進行解讀與分(fēn)析，協助客戶發現數據安全防護弱點，建立數據安全防護，提升整體(tǐ)信息安全防護能力與等級。

02

帕拉迪産品從設計之初，就擁有中(zhōng)英操作界面，并聯合合作夥伴一(yī)起打開(kāi)了海外(wài)市場。在産品的海外(wài)銷售過程中(zhōng)，我(wǒ)(wǒ)們根據各國的法律、文化、政策等要求都做了較爲嚴格的産品整改。從使用界面、交付流程、報表展現、底層加固、文化适應等多方面，與合作夥伴一(yī)起進行了上千項耗時一(yī)年多時間的整改工(gōng)作。帕拉迪的産品不但交付到了亞非拉，同時也獲得了歐盟某成員(yuán)的國電(diàn)信級用戶的信賴支持。面對新的GDPR法案要求，帕拉迪已具備适用的根基，并且有能力、有經驗根據條例要求進行一(yī)系列的整改。

 

Tips:

關于歐盟 GDPR 原文，參見：

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv：OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

由漢武安全實驗室整理中(zhōng)文翻譯版網盤鏈接：

https://pan.baidu.com/s/1W0hvOcGzXfkNhOg8wDtLxg

全國信息安全标準化技術委員(yuán)會秘書(shū)處發布《網絡安全實踐指南(nán)——歐盟GDPR 關注點》：

static/file/1527251794595094938.pdf