专家解读丨GDPR推行近两年,你真的准备好了吗?

2020-04-10 13:47

互联网经济颠覆传统的商业模式,数据的背后蕴藏着巨大的经济价值、商业价值,数据安全已经成为最重要的安全话题之一,数据安全行业的发展离不开政策法规的贯彻执行。

 

GDPR是迄今为止全球覆盖范围最广、最严格的数据安全隐私保护法规,它不是空洞的承诺,更不是一套理念,谷歌、万豪国际酒店、英国航空公司等都受到不同程度的罚款。

 

今天,闪捷信息首席安全咨询顾问顾源老师,将为大家带来GDPR系列专题。

 

顾源.jpg


顾源:

闪捷信息科技有限公司首席安全咨询顾问。拥有丰富的安全架构和安全管理经验,曾为国内外知名大型企业提供安全架构规划及安全管理咨询工作(如欧莱雅集团、平安集团、阿里系等多个企业)。

多年信息安全领域技术架构设计与信息安全领域咨询管理培训和授课经验。精通各种数据及隐私保护标准,拥有ISO27001、ISO27018、ISO27701、EXIN DPO、IAPP CIPT等各类隐私保护专业证书。

 

小编:顾老师,您能否给我们普及一下GDPR的核心是什么?

GDPR《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟的条例,前身是欧盟在1995年制定的《计算机数据保护法》。2018年5月25日,欧洲联盟实施《通用数据保护条例》。

GDPR的核心是一套新的规则,旨在让欧盟公民更好地控制其个人数据,简化企业的监管环境,以便欧盟的公民和企业都能充分受益于数字经济。

随着国际贸易的发展和保护的需要,统一欧洲隐私法的需求日益强烈。1995年“数据保护指令”95/46/EC条例应运而生,95/46/EC条例是欧盟隐私和人权法的重要组成部分,同时也是GDPR发展的前身。

但是95指令不协调和失衡的法律适用严重影响数据保护的实际效果和欧盟内的数据自由流动,公众开始普遍怀疑在线活动的安全性,数据保护法已经开始阻碍产业的成长。

经过多年讨论,最终欧盟2016/679号指令GDPR《通用数据保护条例》于2016年4月27日布鲁塞尔正式立法、于2016年5月25日正式生效、于2018年5月25日全面实施。

基于此,我们知道GDPR它实际上就是《欧盟数据保护指南》的继任者和扩大版。不管您公司总部在世界哪个角落,也不论您的数据存储和处理点在哪里,只要您与身处欧盟的人做生意,就必须遵守GDPR;一旦您收集欧盟公民的数据,就受到GDPR的管辖。

 

小编:企业的安全负责人都非常关心,如果企业违反GDPR的法规,对企业会有哪些影响呢?

欧盟数据保护委员会(EDPB),其前身为29条数据保护工作组(Article 29)作为监管机构,赋权履行监管指导义务并完全独立行使权力,是保护自然人处理其个人数据方面的一个重要组成部分。

2019年1月21日,法国监管机构国家信息与自由委员会(CNIL)对Google开出自GDPR自2018年5月生效以来的首张巨额罚单,罚款金额高达5000万欧元(约3.8亿元人民币)。此次罚款的根本原因是:Google在为用户提供个性化广告推送服务中违反GDPR的透明性原则,并且没有在处理用户信息前获取有效同意。

监管机构的行政罚款对于情节严重者可以分为以下两类罚款:

  1. 一般违规:最高1000万欧元或全球年营业额的2%中的高者。

  2. 严重罚款:最高2000万欧元或全球年营业额的4%中的高者。

可以说,GDPR实施以来,高额罚单在全球引起了广泛的关注。显然,避免数据泄露,以及实现要求的过程控制,才是避免罚款的关键。

 

小编:请问哪些企业会受到GDPR的管辖?

GDPR的适用范围相当广泛,一般来说分为三种情况:

  1. 成立于欧盟内的个人数据控制者或处理者,无论处理工作是否在欧盟内进行。

  2. 非成立于欧盟内的个人数据控制者或处理者,但是向欧盟的数据主体提供货物或者服务,无论是否需要数据主体支付款项的(包含免费)或者对数据主体的行为监控是发生在欧盟成员国境内的。

  3. 非欧盟组织处理欧盟境内个人的个人数据,只要此类处理行为涉及对这些个人的行为进行监控,且该处理行为发生在欧盟。

 

小编:为了满足GDPR的要求,企业需要如何做安全方面的规划?

我们建议,企业的安全负责人需要从以下几个方面来做好安全方面的规划并且逐步实施和完善:

  1. 识别GDPR所定义的个人信息及个人敏感信息的标准。

  2. 做好个人信息的分级分类,并制定个人信息分级分类标准。

  3. 了解敏感信息分布情况,识别数据流,绘制数据流量地图。

  4. 进行数据保护影响性评估(DPIA),识别个人信息保护风险。

  5. 进行数据保护风险处置,消减数据保护风险影响。

  6. 制定数据保护管理系统(DPMS),作为数据保护企业全员执行的体系标准。

  7. 在日常运行中定期稽核,审计数据保护执行情况,并持续改进。

 

小编:对企业逐步完善安全管理和建设,闪捷信息如何帮助企业满足GDPR的监管要求?

闪捷建议:

  1. 制定隐私政策向公众开放,描述企业对个人数据的收集、使用、处理、披露、监视等方面的数据隐私事宜,提供通用准则。

  2. 设立DPO岗位职责,涉及所有与保护个人数据有关的事宜,并保持与监管机构的联系。

  3. 数据控制者和数据处理者之间的约束性合同必须条款。

  4. 数据安全治理生命周期保护相关方案。

  5. 系统默认设计以及软件开发周期管理。SDLC + Privacy by Design (PbD)

  6. 数据跨境传输以及约束性企业规则(BCR)条款的制定。

  7. 数据泄露解决方案以及通报机制。

  8. GDPR相关合规标准,ISO27001,ISO27018,ISO29151,ISO27701,GB/T35273标准讲解。

 

法律的起源与文明的出现相伴相生,人类从“君权”、“物权”迈向“数权”,法律也完成了从“人法”、“物法”到“数法”的巨大转型。我们说看一个行业有没有前途和发展潜力,看它离大数据有多远,看它有多重视数据资产的保护。

 

GDPR出台已经快两年,对于这部“罚得多、管得宽、管的严”的法律,各位企业家和CIO朋友,你们真的准备好了吗?

 

下期,闪捷信息咨询专家将围绕实际合规案例为大家继续解读GDPR,敬请关注。

 

【关于闪捷信息】

闪捷信息(Secsmart)是一家专注数据安全的高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,创新性提出“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据库安全、数据防泄露、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。