3

GDPR 生效,企业如何做到合法合规?

 3 years ago
source link: https://www.sensorsdata.cn/blog/20180704/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

神策数据全面支持出海客户合规 GDPR!

神策小秘书 标签: 数据分析, GDPR, 数据安全, 神策数据 2018年07月04日

5 月 25 日,欧盟通用数据保护条例要求(GDPR)正式生效,GDPR 被誉为有史以来规模最大,也是最具惩罚性的隐私法之一。GDPR 对于信息治理和数据隐私保护的认知更加深入,相关模型和规定更为明确和严格。

GDPR 的适用范围不限制企业实际数据处理行为是否在欧盟内进行,非欧盟成员国的企业(包括免费服务)只要满足下列两个条件之一,就受到 GDPR 的管辖:

①为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。

②为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。

这个条例将对中国企业的移动应用安全,以及数据收集、处理和交易产生重大影响。

因此中国出海企业应该积极应对 GDPR。以下 GDPR 基本信息与核心要点,与中国出海企业息息相关。

保护对象:GDPR 以个人可识别信息为核心概念,凡是可以用作识别个人身份的相关信息,均落入 GDPR 保护范围,如网络数据、医疗保健和遗传数据、政治观点、性取向等。

惩罚力度:对违法企业的罚金最高可达 2000 万欧元(约合 1.5 亿元人民币)或者其全球营业额的 4%,以高者为准。

授权许可:企业提供的授权许可需要简洁、明晰,并且需要提供合理的拒绝选项等。

数据权利:GDPR 增强了数据主体的权利,强调数据可携带权(从数据控制方获得个人信息的副本)、被遗忘权、限制数据处理的权利、反对数字画像和数据自动处理的权利。

泄露通知:一旦发生数据泄露,企业必须在 72 小时内通知监管部门和用户。

数据保护官:企业必须设立数据保护官岗位,监管和规范数据处理活动。

为应对 GDPR,中国出海企业应积极反观自身在欧盟管辖区域内运行和开展业务的风险,识别并明确记录与处理欧盟数据主体的个人信息相关的一切活动,以满足监管要求。比如:

• 确保每项处理活动皆具有合法目的;

• 新梳理自己的安全体系架构,提升企业的隐私数据安全保护能力;

• 制定数据保护计划,建立持续的评估流程,改变企业处理、存储和保护用户个人数据的方式等。

作为第三方数据分析服务商,神策数据一直以来将企业客户的数据安全和合规性作为公司最重要职责。

在整个行业全力提升数据安全和隐私保护之时,神策数据随着出海客户的增多,也在加大研发投入,全方位、系统性地响应新法令。

目前,神策数据已经全面升级数据保护和服务,一切工作已准备就绪。

第一,数据全生命周期的透明、可审计。

GDPR 强调要增强数据控制权与数据可见性,第 5、6、25 和 32 条分别对数据控制权做了介绍,要求:

• 明确目的的数据采集,为达到目的采集最少的数据;

• 保证数据主体的个人数据的合法性、正当性和透明性;

• 对个人数据的应用应当是准确且可及时更新的;

• 确保数据的完整性和保密性;

神策数据为企业客户提供的全程透明化的数据服务,可审计跟踪。由于神策数据可采集的是最细粒度的数据,因此从前端数据接收、中间入库、数据处理、数据应用与查询等环节等数据生命周期的各个环节均透明化,能精确地了解所有数据层面的访问及操作请求,访问者信息与操作行为可精准化地监控、追溯,实现全方位的风险控制。

第二,想采集哪些数据,可灵活定义,从源头保证合规。

灵活、可控的数据采集则可以从源头上避免不合规的数据采集。神策分析通过各个 SDK 提供的接口和数据采集的预处理机制,用户可以灵活把控和自定义所要采集的数据,例如完全不采集某个用户的数据,或者不采集某些字段等特定类别的数据采集。

第三,新增数据删除功能(如某用户在某设备上的数据及衍生数据等),相关数据自助操作完成。

GDPR 规定,数据主体在特定情形下,拥有要求控制者删除关于个人数据的权力。第17 条和第 28 条明确做出关于“删除权”、“被遗忘的权利”的法令,即使在收集数据之后,个人依然对该数据有支配权和一定程度的控制权:当用户撤销对企业的许可、请求企业删除数据、服务期限结束或终止时,企业应该及时删除。

另外,GDPR 对数据主体的权利中提到数据主体有“免受数据画像影响”的权利。

虽然从技术可行性和执行成本来说,针对性删除数据的难度很大,但神策数据能做到以下两方面:

①支持企业能够根据实际需求灵活地删除数据。例如,可删除某一个用户的所有数据,也可删除某用户对某一设备数据,并删除与用户个人数据相关的所有备份。

②基于用户个人数据的衍生出来其他形式的数据或者展现形式。如报表、用户画像等,神策数据均可同步删除,防止任何后续的数据应用。

综上所述,GDPR 法令背后是对用户的隐私和安全的尊重,该条例完全更新了欧盟成员国以及任何与欧盟各国进行交易或持有欧盟公民数据的公司必须安全存储和管理个人数据的方式,这在一定程度上推动了中国市场的健康发展,中国目前全行业从产品设计和研发都在提升数据安全和隐私保护的意识。

作为一家肩负“重构中国互联网数据根基”使命的企业,神策数据会积极推动中国数据化建设良性发展,加大研发投入帮助出海企业客户保持合规性,并持续构建更强大的数据保护计划,让中国企业践行数据驱动无后顾之忧。

更多数据分析干货和案例,可以关注“神策数据”公众号了解~


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK