最近國外很多科技企業(yè)都在更新自己的服務(wù)條例(就是那個你沒細(xì)看就同意了的)躯枢,起因則是歐洲5月份即將執(zhí)行的GDPR法案逛球,GDPR全稱General Data Protection Regulation巷送,直譯就是“數(shù)據(jù)保護(hù)總條例”醉拓。這是一個歐盟關(guān)于個人信息的法案圈盔,該法案保證在歐盟的居民可以自由選擇如何處理他們的個人資料,包括如何存儲和使用他們的數(shù)據(jù)罚拟;這里的保護(hù)應(yīng)用范圍并不僅是在歐企業(yè)台诗,也包括所有處理歐盟居民私人數(shù)據(jù)的國際企業(yè)完箩。因此不論你是中國企業(yè)、美國企業(yè)或是新西蘭企業(yè)拉队,如果你的服務(wù)提供給了歐盟的用戶而你又沒有遵守這個法案弊知,你就有可能面臨處罰。最近從Xero官博看了一篇文章解釋GDPR粱快,我對其中部分進(jìn)行了翻譯吉捶,現(xiàn)轉(zhuǎn)給你。
GDPR意味著什么
盡管初見GDPR有點(diǎn)嚇人皆尔,但很多人看到了社會對于數(shù)據(jù)保護(hù)方面的進(jìn)步。這里羅列出一些GDPR包括的領(lǐng)域:
- 屬于歐盟個人的數(shù)據(jù)(絕對意義的所有人)包括企業(yè)的客戶币励,員工慷蠕,供應(yīng)商以及所有會被收集私人信息的個體。私人信息包括姓名食呻,聯(lián)系方式流炕,健康水平,信用卡或銀行賬號仅胞。
- 收集私人信息的方式只有合法的情況下企業(yè)才可以收集個人信息每辟,比如說企業(yè)可能需要這些信息來完成銷售合同,或者客戶請求企業(yè)發(fā)一些有關(guān)產(chǎn)品或服務(wù)的信息給他干旧。無論如何渠欺,企業(yè)必須清晰的說明什么樣的個人信息被用來做什么,且只能被用來做什么椎眯。
- 各類協(xié)議及合同條款這些東西必須簡單清晰挠将,容易理解,并避免復(fù)雜的法律條款编整。
- 知情權(quán)個人可以質(zhì)疑企業(yè)保存了什么樣的個人信息舔稀。這個條款以前就有,但新的法律規(guī)定掌测,企業(yè)必須在一個月內(nèi)給予答復(fù)内贮,并且不可以收費(fèi)(以前可以)。
- 信息銷毀權(quán)客戶可以要求企業(yè)刪除所有關(guān)于自己的私人數(shù)據(jù)汞斧,除非企業(yè)處于合法的原因保留他們夜郁,比如繳稅記錄。
- 數(shù)據(jù)導(dǎo)出權(quán)個人可以申請一份個人數(shù)據(jù)的數(shù)字拷貝粘勒,并不能限制他們使用這份拷貝的用途拂酣,比如他們想要更換服務(wù)提供商。
注:因?yàn)檫@項(xiàng)法案的通過在英國脫歐前仲义,所以這項(xiàng)法案將適用于英國婶熬。
GDPR和數(shù)據(jù)保護(hù)
GDPR的出現(xiàn)意義重大剑勾,在它出現(xiàn)之前,企業(yè)把個人信息當(dāng)做他們可以利用的資源赵颅,完全不顧每個個體的權(quán)利虽另。比如說,有些公司公然販賣客戶的Email地址饺谬,允許未經(jīng)授權(quán)的人查看敏感信息捂刺,或者沒有足夠的安全措施來抵御黑客等等。GDPR把對個人信息的控制權(quán)交還給了每個人自己募寨,并且要求組織把數(shù)據(jù)保護(hù)當(dāng)做日常操作流程中重要的組成部分族展。這個法案帶來的沖擊首先可能會是那些大的,數(shù)據(jù)驅(qū)動的企業(yè)拔鹰,但小企業(yè)也不能豁免仪缸。下面我們就看看,面對GDPR列肢,小企業(yè)應(yīng)該如何去做恰画。
小企業(yè)GDPR檢查清單
GDPR包含很多方面,但它最基本的要求便是清晰和有職業(yè)操守——即像對待自己的珍貴的東西那樣對待它瓷马。下面羅列一些比較簡單拴还、實(shí)用的點(diǎn),幫助你符合GDPR的要求:
檢查產(chǎn)品和服務(wù)
- 檢查哪些產(chǎn)品和服務(wù)在收集和處理私人信息
- 確認(rèn)在處理私人信息的時候有足夠合法的理由
- 確認(rèn)可以執(zhí)行GDPR里定義的對用戶的義務(wù)(比如說知情權(quán)和銷毀權(quán))
審查通知和合同
- 根據(jù)GDPR的要求欧聘,更新內(nèi)部和外部的通知
- 根據(jù)GDPR的要求片林,更新用戶合同
指責(zé)到人
- 指定一個人負(fù)責(zé)數(shù)據(jù)保護(hù)和數(shù)據(jù)隱私
- 考慮是否需要設(shè)立專門職位(Data Protection Officer)——參見ICO的手冊
- 為員工提供數(shù)據(jù)保護(hù)方面的培訓(xùn)
關(guān)心系統(tǒng)安全
- 確認(rèn)系統(tǒng)在收集、處理和存儲私人數(shù)據(jù)時安全怀骤、可靠拇厢。
GDPR將在2018年5月正式開始執(zhí)行,所以有潛在歐盟區(qū)用戶的企業(yè)們晒喷,要抓緊時間改代碼嘍孝偎。不過該法案的保護(hù)對象是企業(yè)收集的個人信息,所以如果你們“承諾”不保存信息凉敲,也就沒關(guān)系了衣盾。不過估計(jì)歐盟區(qū)的用戶翻墻也會很辛苦,你們直接把歐盟的IP墻掉就好了爷抓。
雖然說起來势决,可能覺得歐洲的人們有點(diǎn)過度敏感了,但依然很高興可以看到這樣一個強(qiáng)制性的法規(guī)來保護(hù)私人信息蓝撇。反觀我國這方面果复,一個新手機(jī)號簽收一次快遞后,便幾乎可以收到各個行業(yè)的推銷電話渤昌。雖然我國早在2015年便出臺了《網(wǎng)絡(luò)安全法》虽抄,不過似乎重點(diǎn)在安全而不在網(wǎng)絡(luò)上走搁。特別其中的網(wǎng)絡(luò)實(shí)名制制度非常成功,在此影響下迈窟,現(xiàn)在的網(wǎng)絡(luò)環(huán)境異常干凈整潔私植。我國的網(wǎng)絡(luò)安全程度,再一次走在了世界的前列车酣。
