GPDR正式实施期限是2018年5月25日,任何一个未能满足新法规的组织将面临高达前一年全球收入4%的罚款,或者是2000万欧元。无论实施了哪种罚款,任何进一步的数据处理活动都将遭受潜在的叫停风险。因此无论是否加入了欧盟,只要你正在以任何方式处理欧盟公民的数据,就必须服从GDPR的条约。
随后,特别是在金融服务机构的行为可能会使客户身份被盗用的情况下,监管机构越来越关注金融服务机构持有和管理数据的方式。但是根据Veritas Technologies的一项新的研究报告,今天只有2%的组织兼容GDPR。
我们知道,新的数据保护制度将给处理数据的公司带来相当大的责任和制裁,而金融服务业比大多数企业面临更多的风险。
GDPR的总体目标是成为隐私权的法律。随着新政权加大对违规行为的惩罚力度,加强执法力度,可处罚公司每年全球营业额的最高可达4%。此外,它还引入了与美国大多数州类似的强制性的数据泄露报告要求,但要求在72小时内报告泄露情况。
将新规则描述为当前数据保护机制的更新或改进是不准确的。这不是对法律的微调; 是一个正在发生更根本的变化。新的规则更加详细、高要求和负有法律责任的。GDPR是一个政治上的推动的新的更严格的法律。欧洲的许多人更关心的是数据,尤其是数据泄露这个问题,而不是20年前的数据。
一、实现72小时内报告窗口
为了实现在72小时内(在新规则下)报告违约的情况,安全厂商必须在24小时内通知违约行为。安全问题的主要责任在数据控制上,但我们看到的大部分违规行为都是供应商的责任。公司将需要合同义务,以确保供应商及时告知他们,以便他们能够处理他们的报告义务。即使你知道有漏洞,需要用正确的安全漏洞格式来做报告。
作为一个易受攻击的行业,金融服务机构必须特别注意,制定适当的政策、程序和培训,以确保在72小时内报告违规行为。同时要记住,除了向数据保护监管机构报告违约,他们还可能需要告诉金融服务监管机构、其他金融服务公司(例如合同要求的)以及受影响的个人。下图是对72小时内可进行上报调研。
图1 在72小时内识别和报告数据泄露的困难
二、数据保护官员DPO
新规则中另一个重要的结果是,组织可能需要有一个数据保护官员(DPO)来处理数据保护的合规性问题。
过去,有些组织在数据保护的方法上不够严格。一些人可能在公司内部接受过一些培训,但现在很有可能组织机构有义务任命一个经过适当培训的DPO。当处理数据泄露问题,并确保组织对其风险进行适当的评价以确保其客户安全和声誉,良好的DPO的任命将是有用的。DPO应该有一定的独立性,并直接向最高管理层汇报。
新的数据保护制度将给处理数据的公司带来相当大的责任和制裁,而金融服务业比大多数风险更大。因此,遵守新规则将面临相当大的挑战,实施必要的政策和基础设施需要一些时间。今天可以肯定的是,组织必须从现在开始,以便在新规则实施时能够适当地遵守。
三、企业机构目前实施GPDR存在困难分析
1. 离职员工的数据盗窃,下图是对离职员工是否可访问公司数据的调研。
图2 公司前雇员是否能够访问公司的数据调研
2.数据储存在云里—— 谁负责。
3.有了“忘记的权利”,这是挑战开始。
4.没的能力有效地搜索和分析个人资料。
5.无法实现对所有存储数据的准确可见性。
四、相对于《数据保护指令》创新总结
1.扩大了适用范围 | 1. 欧盟境内的数据控制方、数据处理方; 2.欧盟境外的数据控制方、数据处理方,只要其数据处理活动与向欧盟境内的数据主体提供商品、服务(无论免费与否)有关,或其数据处理活动涉及到监测欧盟境内数据主体的行为 |
---|---|
2.增强了数据主体的权利 | GDPR既包含了指令中数据主体已经拥有的权利,还赋予数据主体额外的权利,包括: 1. 数据可携带权(从数据控制方获得个人信息的副本) 2. 被遗忘权 3. 限制数据处理的权利 4. 反对数字画像和数据自动处理的权利:对于仅仅依据数据自动处理(包括画像)作出的、具有法律效力或可能产生显著影响的决定,数据主体有权要求免于受这样的决定的制约。在很多情形下,个人有权选择从数字画像和数据自动处理中退出。 数据控制者面临更强的透明度要求。 |
3.严格规定了个人同意的条件 | 个人同意仍然作为个人信息收集和使用的前提,但相对于1995年的指令,GDPR对何为有效的个人同意的前提,做出了更加严格的要求。核心的变化是,数据主体做出声明,或者做出清晰的肯定性动作,同意被认为才有效。个人沉默、提前勾选的选项、静止等状态,不足以认定个人表达了同意。GDPR还明确了何种情况下,同意不是由数据主体自由地做出的。数据控制方还应当告知数据主体撤回同意的权利。 |
4.详细规定了数据处理者责任 | 对数据处理方赋予新的合规要求,是GDPR最重要的变化之一。以下是要点: 1. 数据控制方、数据处理方的定义没有改变 2. GDPR直接对数据处理方课以义务,而且不履行这些义务时,将会直接问责。 3. 数据处理方的主要义务 · 采用合适的技术和组织方面的措施,以保证一定的数据安全水平 · 详细记录数据处理活动 · 如果数据处理方位于欧盟境外,在某些情形中,数据处理方应在欧盟境内任命一位数据保护官和一位代表。 · 履行与数据控制方一样的数据跨境流动合规要求 · 就数据安全事件,强制通知数据控制方 4. 如不合规,数据处理方将直接受监督机构的管辖 5. GDPR适用于位于欧盟境内的数据处理方,或在欧盟境内发生的数据处理活动。还将适用于位于欧盟境外的数据处理方,不过仅限于向欧盟境内居住的个人提供商品或服务的有关数据处理行为,或者与记录欧盟境内居住的个人的行为的有关数据处理行为。 6. 数据控制方和数据处理方应当签署详细的数据处理协议。GDPR详细地规定了协议的条款 7. 数据处理方只有在获得数据控制方的事先同意后,才能使用次一级数据处理方(sub-processors)。次一级数据处理方与上一级数据处理方应当签署数据处理协议,协议中规定的义务,和上一级数据处理方与数据控制方签署的协议的内容相同。 8. 数据处理方在数据控制方允许的范围外,开展的数据处理行为,将被GDPR认定为数据控制方,同时应履行数据控制方相同的责任。 |
5.数据处理记录文档化 | 数据控制方和数据处理方应保留关于数据处理活动的详细记录,并随时应监督机构的要求提供。 |
6.通过设计实现隐私保护和通过默认设置实现隐私保护 | 考虑到最新发展、执行的成本、数据处理的性质、范围、情境、目的,以及对自然人权利和自由的不同程度和大小的风险,数据控制者应在一开始决定数据处理方式时,及开始数据处理时,采用合适的技术和组织方面的措施,例如假名化;这些措施的目的在于有效地落实数据保护原则,例如数据最小化原则,及将必需的保护措施整合进数据处理流程中,以满足《条例》提出的要求,并保护数据主体的权利。 数据控制者应采用合适的技术和组织方面的措施,以实现默认的情况下,仅仅处理为实现目的而最少必需的个人数据。此义务适用于收集到的个人数据,数据处理的范围,数据存储周期,以及数据被访问的程度。特别是这些措施应保障在默认情况下,在个人没有作出同意时,个人数据不会被不限定的自然人访问。 |
7.数据保护影响评估 | 如果处理个人信息可能导致个人权益有较高的风险被侵害时(特别是采用新技术时),数据控制方应当进行数据保护影响评估。 在以下场景中,数据保护影响评估被特别要求: · 自动数据处理包括数字画像,评估对个人的影响 · 对特定类别的数据进行大规模处理时 · 对开源数据进行系统性监测时 |
8.问责原则 | 应当保证采取合适的技术和组织方面的措施,以保证合规,同时具备向外界客观地展现合规的能力。 |
9.数据保护官 | 部分私营部门机构和大多数公共部门机构将被要求任命一名数据保护官,以监督数据处理活动。 · 公共部门处理数据的情形 · 数据控制方和处理方的核心活动如果包含对数据主体开展常态、系统、大规模的监测时 · 数据控制方和处理方的核心活动如果包含对特定类别的数据开展大规模处理时 · 成员国法律有所要求时 |
10.数据跨境流动机制的重构 | GDPR保留的1995年指令关于数据跨境流动的机制,同时增加了新的制度安排,例如认证机制、行为守则、以及基于正当目的偶尔为之的数据传输时可一定程度上免除相关义务。 除一定例外之外,国别性质的许可被免除。 GDPR正式认可了有约束力的公司准则。 |
11.数据安全事故通知 | 在数据安全事故发生之后,数据控制方应当及时向监督机构报告,在可行时,应当在72小时内,除非数据安全事故不太可能导致数据主体权益受损。 如果未能在72小时内报告,应当提供合理的解释。 如果安全事件对个人权益造成损害的可能性高,则数据控制方应当及时通知受影响的数据主体。 |
12.执法和处罚 | GDPR将会统一各成员国监督机构的权力和任务,并大幅增加处罚标准。为重大违规事件,罚款可高达2000万欧元或前一财年全球收入的4%。 |
五、总结
一方面,GPDR对我国的法律法规的健全有很大的借鉴作用,在“网安法”中有多种条款与之向契合。另一方面,涉外企业尤其涉及欧洲市场的金融机构,应更加清晰其具体条款。GDPR的核心是对个人数据的收集要求和收集后的存储使用要求,对数据管理提出更高透明度要求,最终目的是保护公民的合法权益,增加公民对企业和市场的信心。
* 本文作者阳阳金融安全,转载注明来自FreeBuf.COM