2016年4月27日,欧盟议会通过了取代了1995年颁布的《数据保护指令》的《一般数据保护条例》》(General Data Protection Regulation,简称GDPR),并在2018年5月25日生效。其复杂的条例、严苛的规定、沉重的处罚让所有人都惊呼:最严格的数据保护法来了。
时至今日,GDPR已经实施将近一年,它给企业的数据管理带来哪些挑战?企业应该注意哪些要点?在4月25日,由北京移动金融产业联盟、移动支付网联合主办的2019第三届中国移动金融发展大会上,APUS法务总监吴映京以《GDPR对企业数据合规管理的新挑战》为主题进行了深入的探讨。
多样化用户权利带来的挑战
GDPR对获取和管理个人信息提出了严格的要求,它明确的赋予了个人对数据的权利,分别是知情权、访问权、更正权、可携带权、删除权、限制处理权、反对权七大主要权利,这些权利在我国《网络安全法》和《个人信息安全规范》中也有了不同程度的体现。
吴映京对七大权利进行了简要的介绍。他表示,互联网产品要合规的实现用户权利,首先要明确如何征得用户同意合法采集获得数据、其次是实现隐私功能设计,最后是数据库设计。
在用户同意设计中,吴映京总结了六个要点,分别是:自愿可选择、明确、清晰、全面、明示、合理,并向我们展示了APUS在同意设计上的探索,如APUS的PDCP模型,也就是在数据使用目的变更情况下如何重新取得用户的同意。
在功能设计上,吴映京介绍了Privacy Dashboard(隐私控制面板)的概念,并以Goolge的隐私控制面板为例生动的说明了用户的隐私如何通过可视化的功能实现。
在数据库设计上,吴映京提出了可以通过数据分类建立不同类型数据库,个人数据与非个人数据通过中间连接进行耦合,中间连接件的高权限加密的数据库方案。在遇到用户要求实现删除权时,个人数据与非个人数据断开链接,实现数据删除。
数据使用与流动的挑战
在数据使用和流动带来的挑战中有个人数据界定问题、数据匿名化问题、数据地图应用问题、数据角色问题。
GDPR强化了对个人数据的保护,什么样子的数据能算作个人数据呢?吴映京表示,GDPR所保护的个人数据,是一种可以直接或间接识别自然人的数据,特别是可被姓名、ID号、位置数据、在线ID或特定于该自然人的物理、生理、遗传、心理、经济、文化或社会身份的多种因素参照的自然人。
在企业能够识别个人数据之后,想要最大化的使用数据就要考虑数据匿名化,其中GDPR前言明确表明“数据保护的原则不应当适用于匿名化数据”,也就是匿名化后的数据可以更有效的使用和传输而不适用个人数据处理的严格限制。匿名化的要求是数据本身无法识别到特定个人。
在数据角色问题当中,吴映京强调企业在适用GDPR及类似法律时需要明确自己在数据处理、使用环节的角色,不同的角色有不同的责任,控制数据和处理数据的角色责任强度也不同,有助于企业更有效率和成本可控的实现数据合规。
内部组织的挑战
最后,吴映京讲到了内部组织的挑战。他表示,不管是GDPR还是国内《网路安全法》,数据管理不仅是法律上的概念,它涉及到隐私技术,人员内控和按网络和系统安全,不是单个部门可以独立完成的,需要多个部门的统筹配合。
其次是,GDPR要求企业要有一个数据保护官(DPO),可以以国内《网络安全法》的网络安全负责人的角色作类比,DPO需要可以全方位、全流程进行个人数据保护,独立监控企业合规情况,要能够使用风险评估方法,进行数据保护评估,最后要能够留存企业数据活动的记录。合格的DPO应该能够充分的掌握数据权利、进行数据保护方案设计、熟悉产品研发和大数据及组织开展隐私影响评估。
展开全文
- 移动支付网 | 2019/3/29 9:03:24
- 中新社 | 2021/9/3 10:55:30
- IT之家 | 2021/8/2 9:33:01
- FreeBuf.COM | 2020/6/23 10:27:15
- 数据法盟 | 2020/5/26 9:03:03
- 出海互联网法律观察 | 2020/5/12 9:27:56
- 数据法盟 | 2020/2/21 10:47:20
- 金融科技微洞察 | 2019/11/21 10:00:54
- 移动支付网 | 2019/11/21 9:32:16
- 移动支付网 | 2019/11/19 9:00:50
- 新浪美股 | 2019/10/8 10:11:45
- 隐私护卫队 | 2019/9/3 11:12:03
- 移动支付网 | 2019/7/16 8:54:26
- 隐私护卫队 | 2019/7/9 11:26:56
- FT中文网 | 2019/5/27 14:24:44