欧盟GDPR有多狠?未合规的数据处理活动或将被叫停!

上海小胖 译 2017-09-19 11:32:25

译者介绍

上海小胖[Miracle Young]中国第十五位MONGODB PROFESSIONAL获得者,资深Python开发、DBA。DevOps践行者,曾独立开发Web服务平台,电商爬虫系统、运维管理系统,涵盖数据热力图、核心数据监控、服务器监控系统等。个人博客地址-https://segmentfault.com/u/shanghaixiaopang

 

与欧盟的通用数据保护规定的(GDPR)时间越来越近了。从2018年5月25日起,任何一个未能满足新法规的组织将面临高达全球收入4%的罚款,或者是2000万欧元——无论哪种罚款——任何进一步的数据处理活动都将遭受潜在的叫停风险。因此无论是否加入了欧盟,只要你正在以任何方式处理欧盟公民的数据,就必须服从GDPR的条约。

 

也就是说,该规定不应该被视为一些不知名的官文强加的。相反,对于更积极的组织来说,它提供了一个机会来改变他们在数字经济中与客户的关系。

 

在接下来的博客系列中将深入去了解这份规定,了解这份规定对我们而言意味着什么:

 

  • 第1部分,将提供一个GDPR的入门介绍,这将会覆盖规定的基本原理和关键措施。

  • 第2部分,将探讨GDPR对我们的数据平台意味着什么。

  • 第3部分,我们将讨论MongoDB的产品和服务将如何支持我们的业务。

  • 第4部分,我们将探讨GDPR将如何帮助客户去实施,并提供了几个案例供研究。

 

如果你不能等到所有的4个部分内容,想现在就了解全部的话,可以下载完整的GDPR:Impact to Your Data Management Landscape 白皮书

(链接https://www.mongodb.com/collateral/gdpr-impact-to-your-data-management-landscape

 

GDPR基本原理

 

据预测,到2021年为止,网络犯罪将使全球经济损失6万亿美元,比2016年又增加了3万亿美元。被一些人描述为“对世界上每一家公司的最大威胁”,公众对数据安全的关注度正在日趋增长——这不仅仅是犯罪分子如何利用偷来的数据进行欺诈,还涉及到我们所接触的组织如何使用我们的个人数据。许多人在询问是否可以把以换取货物、服务和就业的数据用于:

 

  • 损害我们的声誉?

  • 拒绝我们可能需要获得的医疗保健或金融服务?

  • 根据我们的政治观点、宗教、社团或种族歧视我们?

  • 减少我们的自主、自由和个性?

 

欧洲联盟(欧盟)的通用数据保护规定(GDPR)2016 / 679的设计就是面对这些问题的。保护个人–GDPR术语中的“数据对象”–变得不只是一个对组织收集和处理数据隐私的法律义务,保护数据隐私同样也是所有欧盟公民的一项基本人权。GDPR于2016年5月24日公布,并将自2018年5月25日起执行。

 

一系列的要求和控制的定义来规范GDPR收集、存储、处理、保存、分享欧盟公民的个人数据。然而,加特纳预测,超过50%受GDPR影响的公司不会在2018年底–规定生效后的9个月内完全符合。

 

现有的欧盟数据保护立法(数据保护方针95/46/EC)于1995年引入,但在今天的隐私要求和未来设想中,越来越被认为是不够的:

 

  • 实现在每个成员国之间变化,造成复杂性、不确定性和成本。不一致既影响了新兴数字经济中的用户信任,也影响了欧盟在全球市场的竞争力。

  • 过去20多年的技术改进使得私营企业和当局能够以前所未有的规模收集和使用个人数据,以便开展活动。社交网络、云计算、电子商务、Web服务、移动设备和应用程序、物联网、机器学习等等的出现,使得现有的规章制度不足。

 

将GDPR的改革介绍给欧盟公民,使得他们对自己的个人数据有更多的控制权。在这样的背景下,个人数据的范围已经扩大——包括可以唯一地标识一个人,如姓名、身份证号码、位置数据、网络标识符,或通过物理、生理、遗传、心理、经济、文化,或是个人社会认同等一个或多个具体元素的。

 

GDPR的关键措施

 

在EU的调查中,十个欧洲人中有九个担心移动应用程序在未经他们同意的情况下收集个人数据,十个人中有七个担心公司可能对他们所披露的数据做出潜在的用途。GDPR试图通过一系列新措施解决这些问题:

 

  • 个人必须对数据收集提供明确的同意——“默认同意”不再有效。寻求同意的组织还必须提供清楚的资料,说明如何使用这些数据、保留多长时间以及如何与第三方共享数据。个人可以随时撤回同意,不受任何偏见影响。如果数据用于处理超出原始同意的目的,则必须向个人请求额外的权限。

  • “被遗忘的权利”,也称为“删除权”,就是当所有者要求不再保留数据、要求删除数据时,组织没有任何理由拒绝该请求。

  • 组织必须更容易地访问个人的数据,使他们能够查看存储有关它们的数据以及处理方式,与之共享的数据,以及在不受限制的情况下在服务提供商之间迁移该数据的能力。

  • 对于如何根据个人数据进行自动化决策,需要进行审查的权利,例如,通过机器学习算法根据风险分数降低交易。

  • 当个人资料被违反时,必须在72小时内向成员国的“监督机构”(成员国独立公共机构负责监督国内生产总值执行情况)披露,使个人得到通知并采取适当的补救措施。

  • 数据保护必须通过设计,默认情况下,要求数据保护控制从最早的开发阶段构建到产品和服务中,并在收集个人数据的所有应用程序中采用隐私友好的默认设置。

  • 被证实不符合规定的组织将收到惩罚性的金融追索权(例如,全球收入的4%或2000万欧元)。

 

新法规旨在提供清晰和一致的隐私规则,不仅在欧盟范围内,而且还在全球范围内为每个组织处理公民数据,作为在欧盟提供产品和服务的一部分。

GDPR引入了具体术语来定义组织内的角色和责任,包括:

 

  • Data Protection Officer(DPO),是由数据控制者或处理者雇用的个人,负责就GDPR规定提供咨询意见,向最高管理层报告。 DPO最终由当地监管机构负责。

  • Data controller,通常是与数据主体(个人)共享数据的组织。

  • Data processor,代表控制器工作的组织和/或个人,例如诸如业务分析师或开发商的直接雇员,或诸如信用评级机构或工资核算处理器的外部服务提供商。 数据处理器是具有访问个人数据的任何实体或个人。

 

GDPR对数据泄露的定义

 

了解在这个新规定的背景下,数据泄露意味着什么是非常重要的。 GDPR应用的范围比仅保密或未经授权处理个人数据的定义更广泛,表明数据保护方法超出了狭义的访问概念。它还包括可用性和完整性。 

 

GDPR文本规定:

 

第一部分总结

 

这是关于GDPR博客系列的第1部分。在第2部分中,将研究具体的GDPR要求,并将其映射回一组必需的数据库功能。

 

声明

 

要了解国内生产总值的规定,作用和责任的全面描述,建议读者参考“欧盟官方公报”(EU(EU)2016/679)(国际劳工组织(EU)2016/679)的案文,并参考法律、律师解释规则如何适用于其组织。(链接 http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN

 

此外,为了有效地实现本博客系列中描述的功能,至关重要的是确保根据MongoDB安全文档中详细说明的说明和说明实现数据库。 读者应考虑聘请MongoDB全球咨询服务部门协助实施。

 

 

译自:https://www.mongodb.com/blog/post/gdpr-impact-to-your-data-management-landscape-part-1?jmp=twt

原标题:GDPR: Impact to Your Data Management Landscape: Part 1

 

活动预告