【热点】当GDPR来敲门(上)

未来已来2018-05-29 17:44

欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)已于2018年5月25日正式生效,谷歌、Facebook,以及Facebook旗下WhatsApp和Instagram第一时间被投诉了,法律圈、安全圈针对该法案的讨论如火如荼。本文试图从安全从业者的角度解读GDPR,同时为中国互联网企业出海合理应对GDPR提供一些可操作的措施。另外,“GDPR中国版”–《个人信息安全规范》也于2018年5月1日正式生效,本文将会分析该规范与GDPR的异同,以及面对这两个版本的“GDPR”,中国互联网企业如何将其安全合规需求与企业安全建设结合在一起。

GDPR有什么特别

众所周知,欧洲对个人信息安全保护重视程度比美国更甚。1995年欧盟即发布了《数据保护指令》(Data Protection Directive, DPD),到了2016年4月,更是通过了“史上最严个人信息保护法案”–GDPR用于取代DPD。该条例完全更新了欧盟成员国以及任何与欧盟各国进行交易或持有欧盟公民数据的公司必须安全存储和管理个人数据的方式。目前该条例在28个欧盟成员国统一实施生效,这将使28个欧盟及欧洲经共体成员国的隐私保护法更具有一致性和现代性。但是,GDPR的合规要求是相当高的,需要大多数企业投入大量的人力、财力才能得以实现。

下面从GDPR与DPD相比的特别之处来理解GDPR。

GDPR扩展了保护对象

首先,GDPR虽然是一个法律问题,但是与隐私安全保护息息相关。GDPR以个人可识别信息(Personally dentifiable information, PDI)为核心概念,凡是可以用作识别个人身份的相关信息,均落入GDPR保护范围,这些信息不再只是单纯的姓名、电话或是地址,同时也包括浏览器的Cookie、IP位置,或是足以识别个人身份的生物特征以及医疗资料。比如下面的信息:

  • 基本的身份信息,如姓名、地址和身份证号码等;
  • 网络数据,如位置、IP地址、Cookie数据和RFID标签等;
  • 医疗保健和遗传数据;
  • 生物识别数据,如指纹、虹膜等;
  • 种族或民族数据;
  • 政治观点;
  • 性取向。

GDPR扩大了责任主体范围

GDPR的责任主体分为controller:管理者和processor:执行者,只要其数据处理活动与向欧盟境内的数据主体提供商品、服务(无论免费与否)有关,或其数据处理活动涉及到监测欧盟境内数据主体的行为即构成GDPR责任主体。细化一点说,GDPR的适格企业只要具备以下其中1个条件:

  • 在欧盟境内拥有业务;
  • 在欧盟境内没有业务,但是存储或处理欧盟公民的个人信息;
  • 在欧洲境内有办事机构,且超过250名员工;
  • 在欧洲境内有办事机构,少于250名员工,但是其数据处理方式影响数据主体的权利和隐私,或是包含某些类型的敏感个人数据。

GDPR增强了数据主体的权利 GDPR既包含了指令中数据主体已经拥有的权利,还赋予数据主体额外的权利,包括:

  1. 数据可携带权(从数据控制方获得个人信息的副本)
  2. 被遗忘权
  3. 限制数据处理的权利
  4. 反对数字画像和数据自动处理的权利:对于仅仅依据数据自动处理(包括画像)作出的、具有法律效力或可能产生显著影响的决定,数据主体有权要求免于受这样的决定的制约。在很多情形下,个人有权选择从数字画像和数据自动处理中退出。数据控制者面临更强的透明度要求。

严格规定了个人同意的条件

个人同意仍然作为个人信息收集和使用的前提,但相对于DPD,GDPR对何为有效的个人同意的前提,做出了更加严格的要求。核心的变化是,数据主体做出声明,或者做出清晰的肯定性动作,同意被认为才有效。个人沉默、提前勾选的选项、静止等状态,不足以认定个人表达了同意。GDPR还明确了何种情况下,同意不是由数据主体自由地做出的。数据控制方还应当告知数据主体撤回同意的权利。

详细规定了数据处理者责任

对数据处理方赋予新的合规要求,是GDPR最重要的变化之一。以下是要点:

  1. 数据控制方、数据处理方的定义没有改变
  2. GDPR直接对数据处理方课以义务,而且不履行这些义务时,将会直接问责。
  3. 数据处理方的主要义务
  • 采用合适的技术和组织方面的措施,以保证一定的数据安全水平
  • 详细记录数据处理活动
  • 如果数据处理方位于欧盟境外,在某些情形中,数据处理方应在欧盟境内任命一位数据保护官和一位代表
  • 履行与数据控制方一样的数据跨境流动合规要求
  • 就数据安全事件,强制通知数据控制方
  1. 如不合规,数据处理方将直接受监督机构的管辖
  2. GDPR适用于位于欧盟境内的数据处理方,或在欧盟境内发生的数据处理活动。还将适用于位于欧盟境外的数据处理方,不过仅限于向欧盟境内居住的个人提供商品或服务的有关数据处理行为,或者与记录欧盟境内居住的个人的行为的有关数据处理行为。
  3. 数据控制方和数据处理方应当签署详细的数据处理协议。GDPR详细地规定了协议的条款
  4. 数据处理方只有在获得数据控制方的事先同意后,才能使用次一级数据处理方(sub-processors)。次一级数据处理方与上一级数据处理方应当签署数据处理协议,协议中规定的义务,和上一级数据处理方与数据控制方签署的协议的内容相同。
  5. 数据处理方在数据控制方允许的范围外,开展的数据处理行为,将被GDPR认定为数据控制方,同时应履行数据控制方相同的责任。

数据处理记录文档化

数据控制方和数据处理方应保留关于数据处理活动的详细记录,并随时应监督机构的要求提供。

通过设计实现隐私保护和通过默认设置实现隐私保护

考虑到最新发展、执行的成本、数据处理的性质、范围、情境、目的,以及对自然人权利和自由的不同程度和大小的风险,数据控制者应在一开始决定数据处理方式时,及开始数据处理时,采用合适的技术和组织方面的措施,例如假名化;这些措施的目的在于有效地落实数据保护原则,例如数据最小化原则,及将必需的保护措施整合进数据处理流程中,以满足《条例》提出的要求,并保护数据主体的权利。
数据控制者应采用合适的技术和组织方面的措施,以实现默认的情况下,仅仅处理为实现目的而最少必需的个人数据。此义务适用于收集到的个人数据,数据处理的范围,数据存储周期,以及数据被访问的程度。特别是这些措施应保障在默认情况下,在个人没有作出同意时,个人数据不会被不限定的自然人访问。

数据保护影响评估

如果处理个人信息可能导致个人权益有较高的风险被侵害时(特别是采用新技术时),数据控制方应当进行数据保护影响评估。 在以下场景中,数据保护影响评估被特别要求:

  • 自动数据处理包括数字画像,评估对个人的影响
  • 对特定类别的数据进行大规模处理时
  • 对开源数据进行系统性监测时

问责原则

应当保证采取合适的技术和组织方面的措施,以保证合规,同时具备向外界客观地展现合规的能力。

数据保护官

部分私营部门机构和大多数公共部门机构将被要求任命一名数据保护官,以监督数据处理活动。

  • 公共部门处理数据的情形
  • 数据控制方和处理方的核心活动如果包含对数据主体开展常态、系统、大规模的监测时
  • 数据控制方和处理方的核心活动如果包含对特定类别的数据开展大规模处理时
  • 成员国法律有所要求时

数据跨境流动机制的重构

GDPR保留的1995年指令关于数据跨境流动的机制,同时增加了新的制度安排,例如认证机制、行为守则、以及基于正当目的偶尔为之的数据传输时可一定程度上免除相关义务。 除一定例外之外,国别性质的许可被免除。GDPR正式认可了有约束力的公司准则。

数据安全事故通知

在数据安全事故发生之后,数据控制方应当及时向监督机构报告,在可行时,应当在72小时内,除非数据安全事故不太可能导致数据主体权益受损。 如果未能在72小时内报告,应当提供合理的解释。 如果安全事件对个人权益造成损害的可能性高,则数据控制方应当及时通知受影响的数据主体。

执法和处罚

GDPR将会统一各成员国监督机构的权力和任务,并大幅增加处罚标准。为重大违规事件,罚款可高达2000万欧元或前一财年全球收入的4%。

GDPR对中国企业出海有什么影响

GDPR适用范围

只要企业收集欧盟公民的数据,就受到GDPR的管辖。除非你的公司在业务和技术上非常严格地排除了欧盟,否则还是得处理GDPR合规问题。最近10年,中国企业争相出海,从做手机起步的小米重兵布局印度,到猎豹移动通过AWS在欧美移动app时长叱咤风云,可以说,随着对全球对个人信息保护的重视,各种法律、安全合规要求只会越来越多。所以,GDPR是中国企业出海,无法绕过的一道坎,今天绕过了,明天在另一个地方,类似的规定也会接踵而来。

带来的挑战

理念的转变

  • 从设计和默认上保护数据隐私:

GDPR强调“security by design and by default”,要求从规划设计上应当做到安全,同时要将安全作为默认规则。很显然,放眼全球,即便是Apple、Google,也未必完全达到,更何况对安全和隐私保护相对欠缺的中国企业。

  • 学习、接受成本高昂:

因为观念上的转变,以及理解、学习GDPR就需要投入:国内目前的介绍很多只是从英文材料翻译过来而已,为了准确理解GDPR,很多需要找咨询机构或者律所进行解读,这就是成本。而且GDPR缺乏具体实践案例,很多企业注定要花费大量成本进行摸索。

技术与流程的转变

理解了GDPR后,需要按照GDPR进行梳理或者整改,就涉及到具体落地。

  • 数据收集时需要明确获得用户同意,涉及用户协议和隐私政策的修改
  • 不能将原始数据直接传回国内,而是脱敏或者加密后才回传国内,与此同时,测试环境不应当使用线上用户数据
  • 数据保存的高可用,需要保障用户数据的一致性和可靠性
  • 加强用户数据的监控与异常事件告警
  • 权限控制和审计:对于内部访问用户数据行为进行权限控制以及审计,避免出现“内鬼”或者攻击者通过内部用户非法获取用户数据
  • 应急响应流程和安全演练与评估:企业应当制订相应的用户数据安全事件响应机制并加以评估测试。

强调企业内部协作

法务、安全、人力、公共关系、产品、市场营销和用户关系部门的通力合作,是GDPR落地的必要条件,任何一个部门的单打独斗,都无法撑起GDPR的合规需求。

很大的不确定性

  • GDPR也留下了许多解释空间,使得其执法灵活性很高:

公司必须为个人数据提供“合理”的保护等级,但是却并未明确界定“合理”的标准。如此一来,在涉及评估数据违规和违规罚款的问题时,就为GDPR管理机构留出了很大的解释余地。

中国互联网企业如何应对GDPR

认真考虑自身在欧盟管辖区域内运行和开展业务的风险

  • 识别并明确记录与处理欧盟数据主体的个人信息相关的一切活动,包括确保每项处理活动皆具有合法目的。

  • 确保收集个人数据时始终向数据主体发出充分的通知,告知对方其被收集的数据有哪些,并明确说明目前正在处理的数据内容。

  • 为回应欧盟民众的数据主题访问请求(简称 DSAR)以及其它权利主张做好准备。GDPR 规定各企业需要在30天时限之内回应相关请求。

从研究和借鉴的视角提升自身的隐私数据安全保护能力

  • 建立一套隐私影响评估流程,对数据保护及个人隐私权影响作出正式分析,并将其引入任何新的业务流程或系统。

  • 通过充分、得到认同且有约束力的企业规则或其它合同条款以保护被转移至欧盟之外的个人数据。

  • 审查访问控制、加密、化名与技术安全措施,以保护由企业控制的个人信息。

  • 在发生危及欧盟公民个人信息的安全事件后的72小时之内,向欧盟数据保护机构发出通报。

  • 任命一名数据保护官,负责对数据保护工作进行定期及系统性监测,同时负责内部教育、培训以及合规性审计事务。此人还将负责企业与GDPR监管当局之间的沟通,以及与数据主体间的交互。此要求适用于一切拥有高度敏感数据,或处理及/或存储大量欧盟个人数据的组织——无论这些主体是否属于组织外的员工或个人。

结合GDPR要求调整或完善自有产品以满足监管和市场要求

  • 进行风险评估
  • GDPR还要求控制员和处理员指定一个数据保护员(DPO)来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定名DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理层报告。
  • 改变企业处理、存储和保护用户个人数据的方式。
  • 公司必须在发现违规事件的72小时内,向监管当局和受到违规事件影响的个人通报数据违规行为。
  • 制定数据保护计划
  • 制定一个汇报GDPR合规进度的计划
  • 实施降低风险的措施
  • 建立持续的评估流程

实践GDPR的方法:落实TOMs

Controller和Processor均要落实TOMs:技术和组织措施,主要包括以下几个部分:

  • 保障系统与服务的保密性:这里包括数据访问权限控制,传输加密等
  • 保障系统与服务的完整性:这里包括数据的安全存储、日志保存以及访问控制
  • 保障系统与服务的可靠性:这里主要是数据的备份容灾
  • 安全事件应急响应机制的建立:这里主要是安全事件的应急,需要有明确的处理流程
  • 对已有流程和技术的评估测试:对于已经建立的技术和流程措施,需要通过演练和安全测试,确认其有效性和执行效率

下篇请见【热点】当GDPR来敲门(下)

本文来自网易实践者社区,经作者林伟壕授权发布。未经许可请勿转载。