今年5月25日,欧盟《一般数据保护法案(General Data Protection Regulation)》(简称GDPR)将正式生效,要求不论是政府或是民间组织,都有义务保护其所搜集、处理、利用的个人数据。
什么是一般数据保护法案?
GDPR是为欧盟公民数据处理制定了一套统一的法律和更严格的规定,要求掌握(或处理)数据的组织必须依法建立一套系统化的管理机制,符合GDPR条款中所要求的个人数据保护原则。
一旦违反该法案。将被处以高额的行政罚款,违规行为还包括纯粹程序性的违规行为。其罚款范围是1000万到2000万欧元,或企业全球年营业额的2%到4%,并且以较大数额为准。
what?我的公司不在欧盟也得遵守?
GDPR与其前身《数据保护指令》相比,适用于更大范围的组织,所有处理欧盟26个国家公民数据的组织,也都必须遵守该法案,这意味着凡是要跟欧盟打交道的机构,都必须遵守该法案。
比如,如果在亚马逊或淘宝上的卖家存储了欧盟客户的个人信息、订单历史、付款偏好等网站活动,这些行为将构成“监控”。卖家和该电商平台都将受到GDPR的监管。
欧盟这则最严厉的数据保护法规,为大数据时代裸奔的大众穿上了衣服。可以预见的是,对个人隐私数据执行严厉的保护法案,也将成为未来的趋势,相信类似GDPR的法案也会迅速扩展到欧盟以外的其他地区,甚至中国。从这个层面上来说,企业必须增加数据保护的额外成本,在使用大数据时,也要承担相应的法律风险。
公司的大数据业务如何继续推进?
GDPR正式生效后,业务涉及欧盟的中国互联网企业该怎么办?如何处理欧盟居民的个人数据?企业应该从以下几个方面做好准备。
一方面,按照GDPR的规定执行
1)是否需要配置数据保护官(DPO)?
组织的数据保护官(DPO)需要向执行委员会报告,并有权监视组织的数据处理。拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们是否处理敏感数据的情况而定,拥有少于250名员工的组织可能也需要指定DPO。
2)是否有程序响应删除/修改/提供数据副本的请求?
除了数据保护指令规定的权利,例如访问数据副本,修改权和限制处理权。GDPR还包括在线信息删除和数据可移植性的权利(允许人们将其数据传输到另一个服务提供商)。这意味着组织必须制定完整的程序来回应这些类型的请求。
3)是否有符合GDPR要求的事件响应计划?
GDPR包括数据泄露通知要求。如果有危害人身的风险,数据违规将会受到监督机构的通知,限72小时内改正。受影响的数据科目也必须在没有“不当延误”的情况下通知。
另一方面,采纳第三方数据平台原生数据保护的SaaS方案
组织可以采纳专业的第三方数据平台提供的原生数据保护SaaS的解决方案。
比如,美国的Palantir Technologies、Civis Analytics等大数据分析公司,或者国内的北京数字联盟,他们都可以给客户提供包括网络安全服务、数据分析和数据保护在内的服务,能有效规避DGPR法规。