GDPR通用数据保护条例-要点总结

黑客专题访客2021-10-11 17:57:0011443A⁺A^-

数字化浪潮席卷全球，越来越多的企业在利用技术来彻底改变企业的业绩或触角。数据作为数字化转型的根基，对企业来说至关重要。据调查发现，在全球数据泄露事件中，违规事件发生率较高的行业：零售业占16.7%; 金融与保险业占13.1%; 医疗机构占11.9%。（Trustwave 2018年全球安全报告）。而这几个行业正是数字化转型的先驱。发展与风险并存，在数字化过程中对数据的保护成为了企业的头等大事。

2017年6月1日施行的《中华人民共和国网络安全法》，强调了对基础设施及个人信息的保护。2018年5月1日实施的《信息安全技术个人信息安全规范》，从国家标准层面，明确了企业收集、使用、分享个人信息的合规要求，为企业制定隐私政策及个人信息管理规范指明了方向。而在2018年5月25日正式生效的GDPR，被称为欧盟“史上最严”条例，业已产生了巨大的影响：

Google、Facebook，在GDPR生效日分别收到了欧盟39亿欧元、37亿欧元罚款的诉讼。苹果、亚马逊、LinkedIn等公司也面临隐私监管机构提起的诉讼。
GDPR生效后，芝加哥时报、洛杉矶时报等多家美国媒体网站在欧洲的服务器关停。
微信海外版、新浪微博国际版等多家互联网企业向欧洲区用户更新隐私政策，请求重新授权。QQ停止部分国际版服务，并将推出新版本，提示用户升级。国航、东航均对其APP及官方网站隐私条款进行了更新。
海尔、华为早已雇请专门团队应对新规。

为此，安全值&谷安研究院对GDPR深度解读，将要点进行了归纳，助您快速了解GDPR。

1.适用性（中国企业）

2.数据相关方

数据主体（data subject）：享有数据权利的主体，个人数据所指向之自然人为数据主体
控制者（controller）：义务主体，指单独或者与他人一起，决定个人数据处理之目的和方式的自然人、法人或者其他组
数据处理者（processor）：义务主体，代表控制者，处理个人数据的自然人、法人或者其他组织
第三方（Third party）：指未对“个人数据”有任何授权的其他方

3.个人数据定义

“任何指向一个已识别或可识别的自然人的信息”，例如：基本的身份信息：姓名、地址和身份证号码…

网络数据：位置、IP地址、Cookie数据和RFID标签…

医疗保健和遗传数据;生物识别数据，如指纹、虹膜等;种族或民族数据;政治观点;性取向。

4.数据处理定义

“指对个人数据或个人数据集合上执行的任何操作”

5.数据处理原则

确保数据在整个数据生命周期的安全

数据收集：收集目的明确、合法，数据主体同意授权
数据处理：处理过程合法、透明，具备保障
存储：安全、保密，存储期受严格限制

6.数据主体权利

●许可权 ●访问权 ●纠正权 ●限制处理权

●反对权 ●可携权 ●被遗忘权 ●告知权

7.同意条件

数据处理的前提是用户同意，如果用户同意是在包含其他事项的书面声明中，则该书面声明中的同意请求应当具有明显的辨识度并使用清楚、直白的语言，以容易理解且容易获取的方式呈现，否则视为无效。
用户有权随时撤回其同意，同意的撤回应当和同意的作出一样容易。
儿童的同意：16岁以上儿童的同意可以是处理其个人数据的合法条件，不满16岁的儿童，只有当其监护人授权同意时，处理其个人数据才是合法的。

8.组织责任