什么是GDPR?您需要了解的有關(guān)新的一般數(shù)據(jù)保護(hù)法規(guī)的所有內(nèi)容通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)就在這里。以下是它的含義，它如何影響個(gè)人和企業(yè) - 以及如何確保合規(guī)性。

GDPR代表什么？

GDPR代表通用數(shù)據(jù)保護(hù)法規(guī)。它是歐洲數(shù)字隱私立法的核心。

它是怎么產(chǎn)生的？

2012年1月，歐盟委員會(huì)制定了整個(gè)歐盟數(shù)據(jù)保護(hù)改革計(jì)劃，以使歐洲適應(yīng)數(shù)字時(shí)代。差不多四年后，就所涉及的內(nèi)容及其實(shí)施方式達(dá)成了協(xié)議。

改革的關(guān)鍵組成部分之一是引入通用數(shù)據(jù)保護(hù)條例(GDPR)。這個(gè)新的歐盟框架適用于所有成員國(guó)的組織，對(duì)歐洲及其他地區(qū)的企業(yè)和個(gè)人都有影響。

“歐洲的數(shù)字化未來只能建立在信任的基礎(chǔ)上。憑借堅(jiān)實(shí)的數(shù)據(jù)保護(hù)共同標(biāo)準(zhǔn)，人們可以確信他們能夠控制自己的個(gè)人信息，”數(shù)字單一市場(chǎng)副總裁Andrus Ansip說。改革于2015年12月達(dá)成一致。

什么是GDPR？

GDPR的核心是一套新的規(guī)則，旨在讓歐盟公民更好地控制其個(gè)人數(shù)據(jù)。它旨在簡(jiǎn)化企業(yè)的監(jiān)管環(huán)境，以便歐盟的公民和企業(yè)能夠充分受益于數(shù)字經(jīng)濟(jì)。

這些改革的目的是反映我們現(xiàn)在所處的世界，并在整個(gè)歐洲范圍內(nèi)為互聯(lián)網(wǎng)時(shí)代帶來法律和義務(wù) - 包括圍繞個(gè)人數(shù)據(jù)，隱私和同意的法律和義務(wù)。

從根本上說，我們生活的幾乎每個(gè)方面都圍繞著數(shù)據(jù)。從社交媒體公司到銀行，零售商和政府 - 我們使用的幾乎所有服務(wù)都涉及收集和分析我們的個(gè)人數(shù)據(jù)。您的姓名，地址，信用卡號(hào)碼等都是由組織收集，分析，也許是最重要的。

什么是GDPR合規(guī)？

數(shù)據(jù)泄露不可避免地發(fā)生。信息丟失，被盜或以其他方式釋放到那些從未打算看到它的人手中 - 而這些人往往有惡意。

在GDPR的方面，不僅做到組織必須確保個(gè)人數(shù)據(jù)法律和嚴(yán)格的條件下聚集，但那些誰收集和管理它有義務(wù)保護(hù)它免受濫用和利用，以及尊重?cái)?shù)據(jù)的權(quán)利所有者 - 或因不這樣做而面臨處罰。

GDPR適用于誰？

GDPR適用于在歐盟境內(nèi)運(yùn)營(yíng)的任何組織，以及歐盟以外向歐盟客戶或企業(yè)提供商品或服務(wù)的任何組織。這最終意味著世界上幾乎所有大公司都需要GDPR合規(guī)戰(zhàn)略。

立法適用于兩種不同類型的數(shù)據(jù)處理程序：“處理器”和“控制器”。每項(xiàng)定義均載于“一般數(shù)據(jù)保護(hù)條例”第4條。

請(qǐng)參閱：符合GDPR標(biāo)準(zhǔn)？這是一個(gè)方便的五步準(zhǔn)備清單

控制人是“個(gè)人，公共機(jī)關(guān)，機(jī)構(gòu)或其他機(jī)構(gòu)，單獨(dú)或與他人共同決定個(gè)人數(shù)據(jù)處理的目的和手段”，而處理者是“人，公共機(jī)關(guān)，機(jī)構(gòu)或其他機(jī)構(gòu)，代表控制器處理個(gè)人數(shù)據(jù)“。例如，如果您受英國(guó)數(shù)據(jù)保護(hù)法的約束，您可能也需要符合GDPR標(biāo)準(zhǔn)。

“如果你對(duì)違規(guī)行為負(fù)責(zé)，你將承擔(dān)更多的法律責(zé)任。加工商的這些義務(wù)是GDPR的新要求，”英國(guó)信息委員會(huì)辦公室負(fù)責(zé)注冊(cè)數(shù)據(jù)控制器，采取行動(dòng)保護(hù)數(shù)據(jù)，處理問題和處理不當(dāng)數(shù)據(jù)。

GDPR最終將法律義務(wù)放在處理器上以維護(hù)個(gè)人數(shù)據(jù)的記錄及其處理方式，如果違反組織，則提供更高水平的法律責(zé)任。

什么是GDPR下的個(gè)人數(shù)據(jù)？

控制器還被迫確保與處理器的所有合同都符合GDPR。

根據(jù)現(xiàn)行法律認(rèn)為屬于個(gè)人的數(shù)據(jù)類型包括姓名，地址和照片。GDPR擴(kuò)展了個(gè)人數(shù)據(jù)的定義，因此IP地址之類的東西可以是個(gè)人數(shù)據(jù)。它還包括敏感的個(gè)人數(shù)據(jù)，如遺傳數(shù)據(jù)和生物識(shí)別數(shù)據(jù)，可以處理這些數(shù)據(jù)以唯一地識(shí)別個(gè)人。

GDPR什么時(shí)候生效？

經(jīng)過四年的準(zhǔn)備和辯論，GDPR于2016年4月獲得歐洲議會(huì)批準(zhǔn)，該指令的官方文本和法規(guī)于2016年5月以歐盟所有官方語言發(fā)布。該法案在歐洲各地生效聯(lián)盟于2018年5月25日。

GDPR合規(guī)期限是什么？

截至2018年5月25日，預(yù)計(jì)所有組織都將遵守GDPR。

英國(guó)脫歐如何影響GDPR？

英國(guó)目前將于2019年10月31日離開歐盟。英國(guó)政府表示，這不會(huì)影響該國(guó)正在實(shí)施的GDPR，盡管該國(guó)不再是一個(gè)國(guó)家，但GDPR將為英國(guó)的利益服務(wù)。歐盟成員國(guó)。因此，英國(guó)脫歐不太可能對(duì)組織的GDPR合規(guī)要求產(chǎn)生任何影響。

GDPR對(duì)企業(yè)意味著什么？

GDPR在整個(gè)非洲大陸制定了一項(xiàng)法律，并制定了一套適用于在歐盟成員國(guó)開展業(yè)務(wù)的公司的規(guī)則。這意味著立法的范圍遠(yuǎn)遠(yuǎn)超過歐洲本身的邊界，因?yàn)樵谠摰貐^(qū)以外但在“歐洲土地”上活動(dòng)的國(guó)際組織仍然需要遵守。

其中一個(gè)希望是通過GDPR簡(jiǎn)化數(shù)據(jù)立法，可以為企業(yè)帶來好處。歐盟委員會(huì)聲稱，通過對(duì)整個(gè)歐盟擁有單一的監(jiān)管機(jī)構(gòu)，它將使企業(yè)在該地區(qū)內(nèi)運(yùn)營(yíng)變得更加簡(jiǎn)單和便宜。事實(shí)上，委員會(huì)聲稱GDPR將在歐洲每年節(jié)省23億歐元

“通過統(tǒng)一歐洲的數(shù)據(jù)保護(hù)規(guī)則，立法者正在創(chuàng)造商機(jī)和鼓勵(lì)創(chuàng)新，”委員會(huì)說。

參見：歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）：備忘單（TechRepublic）

他們說，這意味著監(jiān)管保障從最早的開發(fā)階段就將數(shù)據(jù)保護(hù)措施納入產(chǎn)品和服務(wù)中，在新產(chǎn)品和新技術(shù)中提供“設(shè)計(jì)數(shù)據(jù)保護(hù)”。

還鼓勵(lì)組織采用“假名”等技術(shù)，以便從收集和分析個(gè)人數(shù)據(jù)中受益，同時(shí)保護(hù)客戶的隱私。(盡管有些團(tuán)體認(rèn)為，鑒于世界上連接設(shè)備的數(shù)量，這已經(jīng)太晚了。)

GDPR對(duì)消費(fèi)者/公民意味著什么？

由于發(fā)生了大量的數(shù)據(jù)泄露和黑客攻擊，許多人的不幸現(xiàn)實(shí)是，他們的一些數(shù)據(jù) - 無論是電子郵件地址，密碼，社會(huì)安全號(hào)碼還是機(jī)密健康記錄 - 都已暴露在互聯(lián)網(wǎng)上。

GDPR帶來的主要變化之一是讓消費(fèi)者有權(quán)知道他們的數(shù)據(jù)何時(shí)被黑客入侵。組織必須盡快通知相關(guān)的國(guó)家機(jī)構(gòu)，以確保歐盟公民能夠采取適當(dāng)措施防止其數(shù)據(jù)被濫用。

消費(fèi)者還承諾在處理方式方面更容易訪問他們自己的個(gè)人數(shù)據(jù)，組織需要詳細(xì)說明他們?nèi)绾我郧逦锥姆绞绞褂每蛻粜畔ⅰ?/p>

一些組織已經(jīng)采取行動(dòng)確保情況確實(shí)如此，即使它像向客戶發(fā)送電子郵件一樣基本，其中包含有關(guān)數(shù)據(jù)使用方式的信息，如果他們不同意成為他們的一部分，也可以選擇退出它的。許多組織(例如零售和營(yíng)銷部門的組織)已聯(lián)系客戶詢問他們是否想要成為其數(shù)據(jù)庫的一部分。

在這種情況下，客戶應(yīng)該有一種簡(jiǎn)單的方法可以選擇不在郵件列表中的詳細(xì)信息。與此同時(shí)，其他一些部門也被警告說，為了確保遵守GDPR，他們還有很多工作要做 -特別是在涉及同意的情況下。

GDPR還帶來了一個(gè)澄清的“被遺忘權(quán)”流程，該流程為不再需要處理個(gè)人數(shù)據(jù)的人提供了額外的權(quán)利和自由，并且沒有理由保留它。

組織需要牢記這些消費(fèi)者權(quán)利。

此隱私電子郵件是否真的來自實(shí)際的公司？這可能是騙局嗎？

所有部門中各種規(guī)模的組織都會(huì)向客戶發(fā)送電子郵件，要求他們選擇加入以繼續(xù)接收消息和其他營(yíng)銷材料。在大多數(shù)情況下，如果客戶確實(shí)希望保留在列表中，他們只需要單擊電子郵件中告知公司希望保持聯(lián)系的部分。

然而，由于許多組織在GDPR上發(fā)送電子郵件，犯罪分子和詐騙者將其作為發(fā)送網(wǎng)絡(luò)釣魚電子郵件的主要機(jī)會(huì)，以便抓住人們不知情的情況 - 特別是考慮到人們?nèi)绾螐慕M織接收比平常更多的電子郵件。

Redscan的研究人員發(fā)現(xiàn)了其中一個(gè)方案，其中看到犯罪分子冒充Airbnb并聲稱用戶將無法接受新的預(yù)訂或向潛在的客人發(fā)送消息，直到新的隱私政策被接受為止。攻擊者特別提到新的歐盟隱私政策是發(fā)送郵件的原因。

然而，這個(gè)計(jì)劃背后的人非常利用GDPR來竊取信息，因?yàn)殡m然真正的Airbnb消息沒有要求任何信息，但是收到虛假消息的人被要求提供他們的個(gè)人信息，包括賬戶憑證和支付卡信息。

它不太可能是犯罪分子為了自己的利益而扛起GDPR的唯一嘗試。

什么是GDPR違規(guī)通知？

GDPR規(guī)定所有組織都有責(zé)任報(bào)告某些類型的數(shù)據(jù)泄露，這些數(shù)據(jù)泄露涉及未經(jīng)授權(quán)訪問或丟失個(gè)人數(shù)據(jù)給相關(guān)監(jiān)管機(jī)構(gòu)。在某些情況下，組織還必須通知受違規(guī)行為影響的個(gè)人。

組織有義務(wù)報(bào)告任何可能導(dǎo)致個(gè)人權(quán)利和自由風(fēng)險(xiǎn)的違規(guī)行為，并導(dǎo)致歧視，聲譽(yù)受損，經(jīng)濟(jì)損失，保密性或任何其他經(jīng)濟(jì)或社會(huì)劣勢(shì)。

什么是符合GDPR標(biāo)準(zhǔn)的違規(guī)通知？

TECH PRO RESEARCH

IT領(lǐng)導(dǎo)者對(duì)無文件惡意軟件威脅的指南

事件響應(yīng)政策

IT領(lǐng)導(dǎo)者的網(wǎng)絡(luò)攻擊恢復(fù)指南

審計(jì)和記錄策略

2018年的網(wǎng)絡(luò)安全：一系列預(yù)測(cè)

如果公司丟失數(shù)據(jù)，無論是因?yàn)榫W(wǎng)絡(luò)攻擊，人為錯(cuò)誤還是其他任何原因，公司都有義務(wù)提供違規(guī)通知。

這必須包括有關(guān)違規(guī)行為的大致數(shù)據(jù)，包括信息類別和因事件而受到損害的個(gè)人數(shù)量，以及相關(guān)個(gè)人數(shù)據(jù)記錄的類別和大致數(shù)量。后者考慮了如何存在與單個(gè)個(gè)體相關(guān)的多組數(shù)據(jù)。

組織還需要提供數(shù)據(jù)泄露的潛在后果的描述，例如盜竊資金或身份欺詐，以及描述為處理數(shù)據(jù)泄露而采取的措施，并應(yīng)對(duì)可能產(chǎn)生的任何負(fù)面影響。面對(duì)個(gè)人。

還需要提供數(shù)據(jù)保護(hù)官員的聯(lián)系方式，或處理違規(guī)行為的主要聯(lián)系人。

我們需要指定數(shù)據(jù)保護(hù)官嗎？

根據(jù)GDPR的條款，如果組織對(duì)特殊類別的數(shù)據(jù)進(jìn)行大規(guī)模處理，對(duì)行為跟蹤等個(gè)人進(jìn)行大規(guī)模監(jiān)控，或者是公共機(jī)構(gòu)，則必須指定數(shù)據(jù)保護(hù)官(DPO)。

就公共當(dāng)局而言，可以在一組組織中任命一名DPO。雖然上述組織以外的組織不必強(qiáng)制指定DPO，但所有組織都需要確保他們具備遵守GDPR法規(guī)所需的技能和人員。

參見：GDPR證明科技巨頭可以被馴服

關(guān)于誰應(yīng)該成為DPO或者他們應(yīng)該具備哪些資格，沒有固定的標(biāo)準(zhǔn)，但根據(jù)信息專員辦公室的說法，他們應(yīng)該具有與組織實(shí)施的比例相稱的專業(yè)經(jīng)驗(yàn)和數(shù)據(jù)保護(hù)法。

如果GDPR要求，未能指定數(shù)據(jù)保護(hù)官員可能被視為不合規(guī)并導(dǎo)致罰款。

GDPR合規(guī)性是什么樣的？

GDPR可能看起來很復(fù)雜，但問題的真相是，在很大程度上，立法正在鞏固目前構(gòu)成英國(guó)數(shù)據(jù)保護(hù)法案一部分的原則。

但是，有一些GDPR要素，例如違規(guī)通知，并確保有人負(fù)責(zé)組織需要解決的數(shù)據(jù)保護(hù)，或承擔(dān)罰款風(fēng)險(xiǎn)。

準(zhǔn)備GDPR沒有“一刀切”的方法。相反，每個(gè)企業(yè)都需要知道確切需要達(dá)到什么才能遵守，誰是負(fù)責(zé)確保其發(fā)生的數(shù)據(jù)控制者。

“你應(yīng)該實(shí)施全面但相稱的治理措施，”英國(guó)ICO表示。“最終，這些措施應(yīng)該最大限度地降低違規(guī)風(fēng)險(xiǎn)，并維護(hù)個(gè)人數(shù)據(jù)的保護(hù)。實(shí)際上，這可能意味著更多的組織政策和程序，盡管許多組織已經(jīng)制定了良好的治理措施。”

看：GDPR會(huì)真正保護(hù)歐盟公民嗎？61％的信息安全專業(yè)人士說是（TechRepublic）

這可能是小企業(yè)中的個(gè)人，甚至是跨國(guó)公司的整個(gè)部門的責(zé)任。無論哪種方式，都需要考慮預(yù)算，系統(tǒng)和人員才能使其發(fā)揮作用。

根據(jù)GDPR促進(jìn)問責(zé)制和治理的規(guī)定，公司需要實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施。這些可包括數(shù)據(jù)保護(hù)規(guī)定(工作人員培訓(xùn)，處理活動(dòng)的內(nèi)部審計(jì)和人力資源政策審查)，以及保存處理活動(dòng)的文件。ICO表示，組織可以看到的其他策略包括數(shù)據(jù)最小化和假名，或允許個(gè)人監(jiān)控處理。

在為GDPR做準(zhǔn)備時(shí)，ICO等機(jī)構(gòu)就應(yīng)該考慮的內(nèi)容提供了一般性指導(dǎo)。所有組織都需要確保他們已經(jīng)執(zhí)行了所有必要的影響評(píng)估并符合GDPR標(biāo)準(zhǔn)，否則可能會(huì)違反新指令。

GDPR在這里，現(xiàn)在呢？

截至2018年5月25日，GDPR已經(jīng)生效，其前幾天和幾周，公司向客戶發(fā)送電子郵件，要求他們選擇加入新的隱私和同意政策。在最初的24小時(shí)內(nèi)，電子郵件變得如此厚實(shí)和快速，許多網(wǎng)絡(luò)用戶感到不知所措。

在截止日期之前，一些組織和平臺(tái)，包括社交媒體網(wǎng)站評(píng)分網(wǎng)站Klout只是關(guān)閉了運(yùn)營(yíng)--Klout沒有明確指出GDPR，但5月25日的日期可能并非巧合。它不是關(guān)閉操作或限制訪問歐洲用戶的唯一服務(wù)。

5月25日上午訪問美國(guó)新聞網(wǎng)站如洛杉磯時(shí)報(bào)，芝加哥時(shí)報(bào)和巴爾的摩太陽報(bào)的歐洲用戶發(fā)現(xiàn)他們無法訪問這些網(wǎng)站，出版商指出GDPR是其中的原因。

“不幸的是，我們的網(wǎng)站目前在大多數(shù)歐洲國(guó)家都無法使用。我們正在研究這個(gè)問題，并致力于尋找支持我們?cè)跉W盟市場(chǎng)上全系列數(shù)字產(chǎn)品的選項(xiàng)，”芝加哥論壇報(bào)網(wǎng)站上的一份聲明說。

Lee Enterprises和Tronc集團(tuán)在新聞出版物上發(fā)布了類似的聲明 - 許多這些出版物的一年仍向試圖訪問這些網(wǎng)站的歐洲用戶顯示相同的信息。

拒絕用戶訪問產(chǎn)品 - 至少暫時(shí) - 被許多人視為值得付出的代價(jià)，以避免潛在的罰款。雖然有些人會(huì)問這個(gè)問題，他們對(duì)用戶數(shù)據(jù)做了什么以及他們有什么同意?

GDPR自推出以來發(fā)生了哪些變化？

截至2019年5月，美國(guó)出版商的許多問題仍然沒有得到解決，Tronc等人仍然向歐洲用戶道歉。

由于包括Facebook在內(nèi)的一些最大的科技公司表示他們已經(jīng)開始感受到GDPR的叮咬，因此出版商不是唯一不得不接受新現(xiàn)實(shí)的組織。社交網(wǎng)絡(luò)指責(zé)GDPR在今年第二季度每月用戶數(shù)下降約100萬，以及歐洲廣告收入增長(zhǎng)下滑。

各種規(guī)模的組織都發(fā)現(xiàn)自己受到某種程度的影響。Forrester的分析師表示，許多公司報(bào)告其電子郵件和其他聯(lián)系方式的可尋址市場(chǎng)減少了25%至40%。

結(jié)果，許多公司發(fā)現(xiàn)自己不得不考慮吸引消費(fèi)者和創(chuàng)造收入的新方法。分析師Gartner表示，由于GDPR等立法，一些公司可能不得不重新考慮其數(shù)據(jù)中心戰(zhàn)略。

自GDPR推出以來，全球一些最大的科技公司試圖將其產(chǎn)品重新定位為以隱私為重點(diǎn) - 這種策略可能在某種程度上是由于對(duì)隱私和同意的認(rèn)識(shí)提高。

蘋果首席執(zhí)行官蒂姆庫克呼吁美國(guó)引入相當(dāng)于GDPR的數(shù)據(jù)，以防止數(shù)據(jù)被用戶武器化。與此同時(shí)，F(xiàn)acebook首席執(zhí)行官馬克扎克伯格最近談到了隱私將如何成為Facebook的未來- 盡管他承認(rèn)有些人可能會(huì)發(fā)現(xiàn)這很難相信。

GDPR和數(shù)據(jù)保護(hù)的下一步是什么？

世界各國(guó)和地區(qū)似乎通過引入或修改數(shù)據(jù)保護(hù)立法從GDPR中獲取線索。自引入GDPR以來，已表示將改變其隱私法的國(guó)家包括巴西，日本，韓國(guó)，印度等。

加利福尼亞州硅谷也將在加利福尼亞州消費(fèi)者隱私法案中引入自己的數(shù)據(jù)隱私法，該法案自2020年1月1日起生效。

該立法遵循GDPR的腳步，允許個(gè)人對(duì)如何使用他們的個(gè)人數(shù)據(jù)有更大的發(fā)言權(quán)，但在許多方面它并沒有達(dá)到這樣的程度：沒有設(shè)定時(shí)間限制通知消費(fèi)者違反和組織不會(huì)因違規(guī)而面臨罰款。

然而，將這項(xiàng)立法引入科技行業(yè)的熱度似乎表明隱私和同意是可能改變硅谷運(yùn)作方式的問題。