GDPR不关国内企业的事？一首凉凉送给你

经过近四年的讨论以及两年的过渡期，欧盟《通用数据保护条例》(GDPR)近日在欧盟全体成员国正式生效。

在条例生效当天，由于没能及时取得用户授权，包括《芝加哥时报》和《洛杉矶时报》在内的多家美国热门新闻网站在欧盟地区陷入了瘫痪。

 

GDPR将带来什么变化?

这被广泛认为是欧盟有史以来最为严格的网络数据管理法规，将对网络世界带来重大影响。

GDPR从何而来?

旧版的《数据保护指令》是在移动互联网到来之前的1995年制订的。这些年，互联网公司收集了海量的网络用户个人信息，需要新的条例来规范企业的数据搜集行为。

“个人数据”包括哪些?

GDPR大幅拓展了对于“个人数据”的定义，除了姓名、手机号、用户名、IP地址、定位地址这些常规信息外，还包括生物信息、健康数据、政治观点等敏感信息。

 

GDPR对用户会产生什么影响?

GDPR 新增了几个重要数据主体权利：

信息泄露通知：数据一旦泄露，必须在 72 个小时内向主管监管机构报告，同时第一时间通知用户。

访问权：用户有权获取信息，以确认企业是否要对与他们相关的个人数据进行处理、处理地点、处理目的。

被遗忘权：用户有权要求企业删除其个人数据，这意味着用户将可随时删除自己在网上的“黑历史”。

可携带权：用户有权接收与自己相关的数据，并有权将这些数据发送给另一个数据控制者。

隐私保护设计：企业应当在系统设计起步就纳入数据保护，而不是系统开发完成后再增加保护。

企业违规将会怎么样?

理论上，违规企业最高可能受到2000万欧元或全球营业额4%的罚款，以较高者为准。

 

GDPR对中国企业有何影响?

许多企业可能认为，如果公司是在中国处理数据，就不用遵守欧盟的条例。但事实上，GDPR的管辖范围并不局限在欧盟境内：一家企业只要涉及到使用任何欧盟个人数据，都适用于GDPR。

知道创宇安全专家对此解释，这意味着任何Web站点或APP只要能够被欧盟境内的个人访问和使用、产品或服务使用的语言是英语或欧盟成员国语言、产品标识的价格为欧元，都可以被理解为该产品、服务的目标用户包括欧盟用户，从而需要适用GDPR。

“不论是传统的金融业(银行、保险等)、服务业(乘车、航空等)，还是电商、娱乐、社交等新兴领域，除非企业选择放弃欧盟市场，否则企业针对个人数据所触碰的各个领域，包括物联网、云、以及各类移动应用场景，均受到GDPR的监管。”

 

知道创宇安全专家进一步表示，GDPR合规要求十分高，企业需要投入大量人力财力，才能确保执行。对于中国企业来说，必须立刻敲响警钟，做好充分准备，加强对数据安全和用户隐私的保护工作。

国内是如何保护个人数据的?

在中国，

《全国人民代表大会常务委员会关于加强网络信息保护的决定》于2012年12月发布并生效，

《中华人民共和国网络安全法》于2017年6月1日生效，

以上两种法规均包含对数据隐私保护的要求。

《信息安全技术个人信息安全规范》在2018年5月1日正式实施，

该规范属于推荐性国家标准，对个人信息的收集、保存、使用、转让等环节进行了规定。

 

知道创宇安全专家指出，数据的所有权应该归用户所有，企业或机构只是对这些数据进行临时托管，用户应有知情权和选择权。同时企业应当保护好用户的数据，有责任把数据做好加密，不应该做出超出范围的采集、存储、传输及使用。

但现实情况是，用户信息滥用甚至是盗用的情况屡见不鲜。轻者如基于“兴趣标签”、“访问历史”等的互联网广告推荐，没有得到用户“真正的许可”，追踪个人信息也属于违规。重者如黑客入侵、内鬼泄密等造成的用户数据泄露，由此带来的精准化诈骗或财产人身伤害，企业将必须承担责任与重罚，因此选择专业的安全服务保障业务系统安全也是合规的重要一步。

GDPR的到来将对中国互联网带来巨大冲击，这关乎每一个互联网公司的未来发展，关乎国内互联网基础性商业模式的大调整，更重要的是，关乎我们每一个网民。因此整个行业都需要全力提升数据安全和隐私保护的意识，加大设计、研发和安全防御的投入，以加速符合GDPR的要求。

免责声明：本文来源于网络，仅代表作者本人观点，与前瞻网无关。凡来源非前瞻网的新闻（作品）只代表本网传播该消息，并不代表赞同其观点。请读者仅作参考，并请自行承担全部责任。