數字化浪潮席卷全球，越來越多的企業在利用技術來徹底改變企業的業績或觸角。數據作為數字化轉型的根基，對企業來說至關重要。據調查發現，在全球數據泄露事件中，違規事件發生率較高的行業：零售業占16.7%; 金融與保險業占13.1%; 醫療機構占11.9%。(Trustwave 2018年全球安全報告)。而這幾個行業正是數字化轉型的先驅。發展與風險并存，在數字化過程中對數據的保護成為了企業的頭等大事。

[[236510]]

2017年6月1日施行的《中華人民共和國網絡安全法》，強調了對基礎設施及個人信息的保護。2018年5月1日實施的《信息安全技術個人信息安全規范》，從國家標準層面，明確了企業收集、使用、分享個人信息的合規要求，為企業制定隱私政策及個人信息管理規范指明了方向。而在2018年5月25日正式生效的GDPR，被稱為歐盟“史上最嚴”條例，業已產生了巨大的影響：

• Google、Facebook，在GDPR生效日分別收到了歐盟39億歐元、37億歐元罰款的訴訟。蘋果、亞馬遜、LinkedIn等公司也面臨隱私監管機構提起的訴訟。
• GDPR生效后，芝加哥時報、洛杉磯時報等多家美國媒體網站在歐洲的服務器關停。
• 微信海外版、新浪微博國際版等多家互聯網企業向歐洲區用戶更新隱私政策，請求重新授權。QQ停止部分國際版服務，并將推出新版本，提示用戶升級。國航、東航均對其APP及官方網站隱私條款進行了更新。
• 海爾、華為早已雇請專門團隊應對新規。

為此，安全值&谷安研究院對GDPR深度解讀，將要點進行了歸納，助您快速了解GDPR。

1. 適用性(中國企業)

2. 數據相關方

• 數據主體(data subject)：享有數據權利的主體，個人數據所指向之自然人為數據主體
• 控制者(controller)：義務主體，指單獨或者與他人一起，決定個人數據處理之目的和方式的自然人、法人或者其他組
• 數據處理者(processor)：義務主體，代表控制者，處理個人數據的自然人、法人或者其他組織
• 第三方(Third party)：指未對“個人數據”有任何授權的其他方

3. 個人數據定義

“任何指向一個已識別或可識別的自然人的信息”，例如：

• 基本的身份信息：姓名、地址和身份證號碼…
• 網絡數據：位置、IP地址、Cookie數據和RFID標簽…
• 醫療保健和遺傳數據;生物識別數據，如指紋、虹膜等;種族或民族數據;政治觀點;性取向。

4. 數據處理定義

“指對個人數據或個人數據集合上執行的任何操作”

5. 數據處理原則

確保數據在整個數據生命周期的安全

• 數據收集：收集目的明確、合法，數據主體同意授權
• 數據處理：處理過程合法、透明，具備保障
• 存儲：安全、保密，存儲期受嚴格限制

6. 數據主體權利

• 許可權
• 訪問權
• 糾正權
• 限制處理權
• 反對權
• 可攜權
• 被遺忘權
• 告知權

7. 同意條件

• 數據處理的前提是用戶同意，如果用戶同意是在包含其他事項的書面聲明中，則該書面聲明中的同意請求應當具有明顯的辨識度并使用清楚、直白的語言，以容易理解且容易獲取的方式呈現，否則視為無效。
• 用戶有權隨時撤回其同意，同意的撤回應當和同意的作出一樣容易。
• 兒童的同意：16歲以上兒童的同意可以是處理其個人數據的合法條件，不滿16歲的兒童，只有當其監護人授權同意時，處理其個人數據才是合法的。

8. 組織責任

• 監測、審查、評估數據處理程序
• 最小化的數據處理及保留
• 為數據處理建立保障
• 記錄數據處理的策略、程序、具體操作

9. 數據保護官(DPO)

如果組織大規模的監控或處理大量的個人數據，則必須任命數據保護官。職責如下(至少包括)：

• 向企業和企業員工提供GDPR數據保護方面的信息和建議;
• 對企業GDPR合規以及數據保護方面所做的工作進行監管;
• 對企業DPIAs方面工作的參與和管理;
• 同監督機構合作，負責數據外泄的緊急匯報;
• 協助實現數據主體的數據權利;

10. PIA(隱私影響評估)

當進行有風險的或大規模數據處理時,組織必須進行隱私影響評估。

包括以下步驟：

• A.項目PIA需求分析：分析PIA是否為該項目的必須流程
• B.項目涉及信息描述：包含涉及什么信息、如何收集、用途、是否涉及轉移等
• C.風險識別：數據處理對數據主體及企業帶來風險的識別
• D.方案評估：評估方案措施、效果及成本
• E.方案執行：執行方案并記錄執行過程、相關決策。
• F. PIA結果整合及監控：將PIA結果及整改措施融入項目，并不斷監控PIA執行及優化。

11. PBD(隱私設計)

在提供的產品、服務的各個環節，都應充分考慮隱私保護，使之成為組織工作中必不可少的一部分。

12. 關于罰金

監管機構可征收高達2000萬歐元的嚴重處罰，或者上一年全球年營業額的4%，以較高者為準。

制裁相關因素：

• 違規的性質、嚴重程度和違規的持續時間
• 違規是故意的還是因疏忽導致
• 對個人身份信息處理的控制程度
• 違規是單個事件還是重復事件
• 涉及的數據主體遭遇損害的程度
• 為了減輕損害是否采取行動
• 由違規產生的財務預期或收益
• 與數據保護機構的合作情況

13. 數據外泄通告機制

組織在發生數據外泄時必須在72小時內，即刻通報給監管機構。并且，若外泄會給個人帶來風險，也應該及時通知當事人。

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文