什么是欧盟通用数据保护条例(GDPR)?
《通用数据保护条例》(General Data Protection Regulation 简称 GDPR,以下简称《条例》),前身是欧盟在 1995 年制定的《计算机数据保护法》。2016 年 4 月 14 日,欧洲议会投票通过了商讨四年之久的《通用数据保护条例》,该法规包括 91 个条文,共计 204 页,经过两年的时间之后,将于今年 5 月 25 日正式开始生效。该条例的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,可称得上史上最严格的数据保护条例。
部分《条例》规定
- 对违法企业的罚金最高可达 2000 万欧元(约合 1.5 亿元人民币)或者其全球营业额的 4%,以高者为准。
- 网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录,并获得用户的同意,否则按“未告知记录用户行为”作违法处理。
- 企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。
- 明文规定了用户的“被遗忘权”(right to be forgotten),即用户个人可以要求责任方删除关于自己的数据记录。
GDPR 新规截止实施时间
企业必须在 2018 年 5 月 25 日之前遵守 GDPR 新规要求。
哪些类型的隐私数据将受到 GDPR 保护?
- 基本的身份信息,如姓名、地址和身份证号码等;
- 网络数据,如位置、IP 地址、Cookie 数据和 RFID 标签等;
- 医疗保健和遗传数据;
- 生物识别数据,如指纹、虹膜等;
- 种族或民族数据;
- 政治观点;
- 性取向。
GDPR 新规将影响哪些企业?
任何存储或处理欧盟国家内有关欧盟公民个人信息的公司,即使在欧盟境内没有业务存在,也必须遵守 GDPR。有关必须遵守 GDPR 新规的公司的具体标准如下所示:
- 在欧盟境内拥有业务;
- 在欧盟境内没有业务,但是存储或处理欧盟公民的个人信息;
- 超过 250 名员工;
- 少于 250 名员工,但是其数据处理方式影响数据主体的权利和隐私,或是包含某些类型的敏感个人数据。
这也就意味着,GDPR 新规几乎适用于所有的公司。普华永道提供的调查结果显示,92%的美国公司认为 GDPR 将成为最重要的数据保护措施。
为实现 GDPR 合规要求,企业需要怎么做?
- 树立来自最高管理层的紧迫感
- 号召所有的利益相关者
- 进行风险评估
- 雇用或任命一个数据保护官(DPO)
- 制定数据保护计划
- 不要忘记移动设备
- 制定一个汇报 GDPR 合规进度的计划
- 实施降低风险的措施
- 如果你的企业很小,请在需要的时候寻求帮助
- 测试事件响应计划
- 建立持续的评估流程
- 着眼改善自身业务
《通用数据保护条例》与以往有何不同?
- 变化 1:适用范围极大扩展
- 变化 2:统一的法律规则之下仍有一些例外
- 变化 3:一站式监管
- 变化 4:处理数据须有合法理由
- 变化 5:坚实强大的数据主体权利
- 变化 6:严格问责——数据控制者
- 变化 7:严格问责——数据处理者
- 变化 8:完善跨境数据流动机制
- 变化 9:对数据画像活动的特别规制
- 变化 10:监管权力、处罚与司法救济