freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一文读懂GDPR
2020-12-13 18:27:48

GDPR 通用数据保护条例-中文版全文

GDPR将对人们的网络足迹、使用的APP和服务如何保护或利用这些数据产生重大影响。

下面我们将对有关GDPR人们最关心的问题进行解读。

GDPR是什么?

一般数据保护条例(General Data Protection Regulation)是一项全面的法律,赋予了欧盟居民对个人数据的更多控制权,并试图澄清在线服务商在收集、利用欧洲用户个人数据的规则和责任。它取代了1995年通过的欧盟关于数据保护的法律,并对现有的公约做出了一些重大改变。

该规定扩大了公司必须考虑到的个人数据范围,并要求他们密切跟踪他们存储的欧盟居民的数据。如果欧盟的某个人想要一个公司删除他或她的数据,发送数据副本,或者更正数据中的错误,该公司必须遵守

GDPR甚至比这还要更进一步。欧盟居民现在可以反对公司使用他们数据的具体方式。但只要公司停止将这些信息用于特定目的,他们就不介意这家公司保留这些数据。

GDPR要求公司需要在数据泄露的72小时内通知用户,目前还很少有公司做到这点。

欧盟将如何执行GDPR?

欧盟的每个成员国都将有自己的执行机制,每个国家都将有一个GDPR主管。

居民可以向各自国家的管理机构投诉。违反该法律的公司将面临可能非常严重的罚款。对GDPR违规的最大罚款是2000万欧元,或者一家公司年度全球收入的4%,将取两者中的较高者。

GDPR只适用于欧盟的公司吗?

不,GDPR适用于任何收集、处理、管理或存储欧洲公民数据的组织。包括大多数主要的在线服务和收集、处理、管理或存储数据的企业。正因为如此,GDPR本质上是为数据保护设置了一个新的全球标准。

GDPR能保护什么数据?

该规定适用于广泛的个人数据,包括一个人的姓名和sf证号码。它还能保护一个人在网上和现实世界中所做活动的信息数据。这包括位置信息,以及IP地址、cookies和其他数据,这些数据可以让公司在用户浏览互联网时追踪他们。

这将如何影响社交媒体公司?

许多大型在线服务和社交媒体公司正在更新他们的隐私政策和服务条款,为新立法做准备。

当Facebook和它的子公司Instagram声称拥有用户的个人资料和照片时,这引起了用户的愤怒。GDPR让我们更清楚地知道,这类活动是不合适的。

非欧盟居民会受到影响吗?

Facebook、微软、Twitter、苹果和其他公司都向欧盟以外的用户提供了一些额外的数据权限。

但这些权限并没有法律效力,这意味着如果你不是欧盟居民,你就不能因为他们违反了GDPR而对微软提起诉讼。欧洲的监管正在改变大公司对待用户数据的方式。

另一种影响是,你在过去几个月里可能会收到大量的隐私政策更新。许多公司在GDPR生效前制定了新的隐私政策,然后他们也会同时告诉你这一切。

GDPR将如何影响黑客攻击和入侵?

GDPR要求那些对客户data失去控制的公司,或者已经被黑客入侵的公司,在72小时内通知用户。这是最高刑罚的规则之一。例如,如果Facebook被发现未能遵守这个规则,它将承担高达16亿美元的罚款(基于其2016年的年营收400亿美元)。

GDPR对未成年人是否有特殊保护?

GDPR要求企业和组织获得父母的同意,才能处理16岁以下儿童的个人数据。

GDPR的意义
《欧盟一般数据保护条例》(General Data Protection Regulation,GDPR)生效,欧洲人可以重新控制他们自己的数据了。
“它给高科技企业带来了巨大的影响,其影响之深远已超出欧盟,波及全球多个国家。该条例适用于所有欧盟实体的数据,无论其身在何地或其数据被放在什么平台。高科技公司存储、处理或交换任何欧盟公民的数据时,都必须符合GDPR。

GDPR的效力层级在欧盟是“条例”,编号为EU-DSGVO,其效力仅次于宪法。与以往的隐私规定相比,GDPR有何不同之处呢?
第一,GDPR要求责任共担。在过去,收集和使用数据的数据拥有者需要对数据保护负责。如今,史无前例地,数据处理者(如提供数据处理服务的云服务提供商等)也将需要直接承担合规风险和义务。在数据保护上,数据供应链自上而下的各方都会被问责。网络公司必须与合作伙伴们明确各自的责任和义务。

各国企业的应对
GDPR对获取和管理个人信息提出了新的、更严格的要求。它赋予个人明确的权利,给高科技企业通过人工、流程和技术进行客户data管理带来了重要影响。不仅如此,GDPR还对客户信任产生影响。信任是数字化经济的基石。达到GDPR所要求的数据隐私和安全要求,是维系消费者信任和保护企业品牌的根本。同时,违规将被严令禁止。GDPR大大增加了数据保护的强制性和责任性,对违规的处罚金额提高到2000万欧元或企业全球年营业额的4%(二者取较高值)。

据统计,目前在28个欧盟国家中,有12个国家已经正式更新了其国内法,将GDPR嵌入其中,同时还有8个国家告知欧盟委员会它们将在近期尽快完成其立法程序。对于那些欧盟国家没有将GDPR纳入国内法的国家
。欧盟已经对上述国家做出了警告,请它们尽快更新法律系统,否则将把它们告上欧洲法院。

企业可能准备不足
要想全面落实GDPR,企业必须掌握所存储和处理数据的特征,从而可以全面保护数据。目前,领先企业能够成功追溯70%~80%的数据来源,但仍有许多企业尚不具备这一能力。甚至许多领先企业也表示难以探寻剩余20%相关数据的下落。

当前全球每年有数十亿条客户info遭到泄露。GDPR规定,如果数据遭到泄露,用户有权快速获取相关信息,这就要求企业必须在72小时内向数据保护机构报告数据泄露事件。但目前只有1%的云服务供应商能够在24小时内向客户发出数据安全事故通知。

国内发展情况
当前国内互联网行业都在想办法提升数据安全和隐私保护的意识,加大设计和研发时的投入,以加速符合GDPR的要求。这项新规对于用户而言是好事,用户需要对自己的数据有一定的控制权。这就要求任何一家公司如果能够做到遵循隐私保护的原则,就应该在做任何产品之前,从用户的角度出发来设计产品。

随着移动互联网高速发展,大量的隐私以及个人数据会存储在移动设备端,这也使得用户对移动设备的个人数据以及隐私资料保护非常重视。“目前市场上的智能设备大多数是与个人相关的产品,因此面临很高的个人信息被泄露的风险。一个设备如果存在漏洞,可能被利用把用户的视频、音频、日常对话等私密的信息发送出去,所以一定要引入严格的安全与隐私标准,进行严格安全检测。”

据了解,目前GDPR的规定虽然强调了用户的知情权、访问权和被遗忘权,用户可以要求被告知公司掌握了自己的哪些数据并要求对其进行删除,然而,大多数企业在修改GDPR的用户隐私政策时,比较宽泛模糊。

比如硅谷科技巨头谷歌和Facebook都已经修改了它们的用户政策条款,其中Facebook主要强调了人脸识别技术的应用应获得用户的准许。目前用户上传照片时,系统会自动通过人脸识别技术标识出照片中的人物,采取的是用户默认同意的条款,除非用户自己提出异议。

目前苹果公司已经停止了在机器学习和人工智能系统开发中使用用户数据,微软也为GDPR投入了1600多名工程师,Facebook则将约15亿用户的注册地从爱尔兰转向了美国。

GDPR是一个比较好的契机,让我们的企业审视自己的隐私保护政策,倒逼我们去努力合规。拒绝或者存有侥幸心理都是不对的。这一过程中需要数据公司的服务和技术上的支持,会增加客户成本,但同时也能令企业的价值得到提升。”
根据数据分析公司SAS上个月的一份调研报告,随着GDPR大限到来,只有7%的企业完成了合规,近半数的受访企业表示这一新规将对公司的人工智能相关项目产生重大影响。全球仅有不到一半的企业(49%)表示它们能按期达到GDPR的合规要求。不少小公司由于缺乏资源和指导,仍然处于观望状态。

互联网国际化绕不开GDPR
违反GDPR罚款很高,有一定的威慑力,企业只有三种选择,要么退出欧洲市场;要么努力合规;还有一种就是承担被罚款的风险。我想最后一个选项不是任何一家负责任的公司愿意选择的,所以真正的选择就只有前两个。
企业出海欧洲业务必须符合GDPR条例,增加投入,从法律规定的研究到云计算基础设施的布局,从大数据技术措施到组织措施,在所有业务落实GDPR的要求。

当前国内企业陆续在做GDPR落地,我们在安全领域的招聘市场明显能感觉到。GDPR合规要求十分高,企业需要投入大量人力财力,才能确保执行。对于中国企业来说,必须做好充分准备,加强对数据安全和用户隐私的保护工作。
实际上GDPR将对中国互联网带来翻天覆地的冲击。关乎每一个互联网公司的未来发展,事关目前中国互联网基础性商业模式的大调整,更重要的是,关乎我们每一个网民。

阿里云GDPR落地案例
作为国内标杆的云厂商。阿里云在当日表示已从平台、系统、产品、服务、合规、流程、政策等方面,全面按照该要求持续进行数据保护与相关服务改进,相关工作已经准备就绪。例如为客户提供账号删除功能,同时将通过信任中心向全球客户提供GDPR相关信息、服务和工具支持。
GDPR被各界认为是有史以来最为严格的数据保护法规,作为一项强制性法律,它取代了欧盟通行20年的数据保护指令(95/46 / EC)。GDPR侧重“自然人的基本权利和自由,特别是数据主体的权利,尤其是“数据的被遗忘的权利/删除权”,而是否提供账号删除服务也成了是否符合GDPR的最显著标志之一。
阿里云全面按照GDPR要求推进数据保护工作。一直以来,阿里云从流程、人员、技术、合规等方面确保数据在云上的安全性。《安全白皮书》中披露了阿里云在数据安全、访问控制、人员安全、物理安全、基础设施安全等十几个方面的安全措施。在产品规划当中阿里云遵从默认隐私设计理念,将安全融入到系统和产品设计中。所有新发布的云产品上线之前,须通过安全+隐私设计双重评估,确保证其合规性。

本文作者:, 转载请注明来自FreeBuf.COM

# 安全管理
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑