欧盟数据隐私安全法案“GDPR”即将生效，企业如何应对？

欧盟《通用数据保护条例》简称GDPR将于2018年5月25日生效将对企业收集、控制和处理个人数据的方式产生深远影响。但是并非位于欧盟的企业才会受到影响事实上任何与欧盟监管下的客户进行的业务都需要遵守GDPR。如果违反GDPR将面临可高达2千万欧元或全球年营业额的4%的巨额罚款而且不能用对该法规的无知作为辩护。

什么是GDPR

“通用数据保护条例”General Data Protection Regulation简称GDPR是一套新的欧盟处理、存储和管理个人信息的指导方针。基本归结起来就是欧盟正在对“哪些信息是否能被处理或存储以及需要进行什么样的通知相关个人对于他们自己的个人信息享有哪些权利”等问题进行强加规定和限制。

GDPR的目标是保护所有欧盟公民在一个日益增长的数据驱动的世界中免受隐私和数据泄露的影响。目前的网络环境与1995年的法案建立时已经截然不同因此GDPR将取代1995年的《数据保护法案》。

GDPR相关术语

遵守GDPR法规需要先理解法规中的相关术语

• 数据主体——信息所涉及的人

• 主体访问请求——来自相关个人要求对其个人数据采取措施的书面请求包括告知什么数据被存储了、存储在哪里要求对该数据的更正当然还有要求完全删除该数据。

• 个人资料——任何与可识别的个人相关的信息

• 数据处理——获取、记录、保持信息或对信息进行任何操作

• 数据控制者——确定处理数据的目的和方式的实体

• 数据处理者——代表数据控制者处理信息的任何个人或实体

GDPR的主要变化

与1995年的法案相比GDPR主要有以下变化

• GDPR适用于向欧盟公民提供服务向市场提供数据或收集数据的任何人无论您的组织位于何处。

• 存储和使用信息的授权同意书必须以易理解且易于访问的形式提供撤销授权也同样方便。

• 欧洲公民有权要求“数据遗忘”意味着他们可以在任何时候要求删除他们的信息。

• 所有数据保护机构都可以执行GDPR而不管业务所在位置。

• 违规的罚款可高达2千万欧元或全球年营业额的4%二者中选数额较高的一项

• 如果发生泄露公司必须立即通知相关的数据保护机构。

• 责任承担者扩大到“数据控制者和数据处理者”。

企业如何应对

对于中国企业而言即使您不直接收集终端用户的数据或者您不打算在欧盟做生意也需要注意该法规因为互联网的互联互通意味着个人信息可能在不经意间跨越了地域边界可高达2千万欧元的违规罚款可能对大部分企业造成重创。

随着互联网环境的变化新的数据隐私安全法案遍布全球如果您不想试探GDPR或其他数据隐私安全法案的容忍度建议在数据安全性方面遵守以下基本要求。

1.从设计之初保护隐私

在产品设计之初就以隐私数据保护的基础标准来开发会帮助企业减少大量合规性风险和损失。

2.数据最小化

只收集并存储能够达到目的的最少量的个人信息。将数据量按最小化标准操作处理不仅节省数据存储的成本也能最大限度降低合规风险。

3.数据生命周期管理

对于数据的收集、存储、使用、销毁等形成健全的数据生命周期管理流程。

4.网络通信的机密性和完整性

使用沃通SSL证书为网络通信提供安全性及数据完整性结合公钥加密和对称加密技术加密传输用户数据结合公钥技术和散列算法防止通信数据被篡改。需要注意的是数据传输加密不仅仅存在于客户端和服务器端之间数据流转的每个环节都需要确保全程加密。

5. 网络通信身份认证

由权威CA机构提供身份认证服务使用SSL/TLS技术验证通信方身份确认通信方身份后才能建立通信连接确保数据安全传输给正确的通信方防止身份仿冒。

基于PKI技术的SSL证书产品通过SSL/TLS协议的加密认证机制建立安全的网络连接实现数据传输的机密性、完整性并校验通信方的真实身份从技术上解决网上身份认证、数据机密性、信息完整性和抗抵赖等安全问题。

如果您希望了解更多关于HTTPS与SSL证书相关的信息请联系沃通CA

网址: www.wosign.com

电话: 0755-86008688