前言：

整理本文的原因有三：

1细溅、網(wǎng)上很多關(guān)于GDPR的文章并不全面，甚至有誤

2、以此機會在公司內(nèi)部開展關(guān)于GDPR的專項培訓(xùn)

3画髓、青蓮云的部分客戶業(yè)務(wù)在未來會受到GDPR的影響

之后录粱，我計劃編寫一系列相關(guān)文章腻格，更多的是站在企業(yè)角度來思考法案對物聯(lián)網(wǎng)行業(yè)的影響以及應(yīng)對措施，一來希望與同行企業(yè)可以就GDPR進行更多的互動討論啥繁；二來也是希望傳播國際法案對于安全和隱私的態(tài)度菜职，共同提高物聯(lián)網(wǎng)安全意識。

以下您將了解到：

1旗闽、什么是GDPR（重要）

2酬核、GDPR的發(fā)展歷程

3、GDPR的關(guān)鍵術(shù)語定義（重要）

4适室、GDPR會影響哪些企業(yè)（重要）

5嫡意、GDPR不適用于哪些情況

6、GDPR約束了哪些數(shù)據(jù)（重要）

7捣辆、GDPR中數(shù)據(jù)主體的權(quán)利（重要）

8蔬螟、GDPR中處理個人數(shù)據(jù)的基本原則（重要）

9、GDPR中對合法處理數(shù)據(jù)的定義

10汽畴、GDPR中針對兒童數(shù)據(jù)的處理規(guī)定

11旧巾、GDPR中數(shù)據(jù)控制者與數(shù)據(jù)處理者的義務(wù)（重要）

12、GDPR中針對特別類型個人數(shù)據(jù)的處理規(guī)定

13忍些、GDPR中關(guān)于數(shù)據(jù)主體被遺忘權(quán)的規(guī)定（重要）

14冀泻、GDPR中關(guān)于數(shù)據(jù)主體可攜帶權(quán)的規(guī)定（重要）

15赖欣、GDPR中關(guān)于個人數(shù)據(jù)泄露通知的規(guī)定（重要）

16、GDPR中關(guān)于設(shè)立數(shù)據(jù)保護官的規(guī)定

17、GDPR關(guān)于執(zhí)法和處罰的規(guī)定（非常重要）

18询枚、總結(jié)

什么是GDPR

2016年4月14日，歐洲議會投票通過了商討四年的《一般數(shù)據(jù)保護法案》（General Data Protection Regulation (GDPR)），新法案由11章共99條組成，該法案將于2018年5月25日正式生效戈钢，將取代現(xiàn)有的《數(shù)據(jù)保護指示》（Data Protection Directive 95/46/EC），統(tǒng)一歐盟成員國關(guān)于數(shù)據(jù)保護的法律法規(guī)是尔。

此外殉了，GDPR新規(guī)是在28個歐盟成員國統(tǒng)一實施生效的，這將使28個歐盟及歐洲經(jīng)濟共同體成員國的隱私保護法更具有一致性和現(xiàn)代性拟枚。

GDPR作為一套用來保護歐盟公民個人隱私和數(shù)據(jù)的新法規(guī)薪铜，其頒布意味著歐盟對個人信息的保護及監(jiān)管達到了前所未有的高度，堪稱史上最嚴格的數(shù)據(jù)保護法案

GDPR的發(fā)展歷程

圖片來自于網(wǎng)絡(luò)

GDPR的關(guān)鍵術(shù)語定義

個人數(shù)據(jù)：是指任何指向一個已識別或可識別的自然人（數(shù)據(jù)主體）的信息恩溅。該可識別的自然人能夠被直接或間接地識別隔箍，尤其是通過參照諸如姓名、身份證號脚乡、定位數(shù)據(jù)蜒滩、在線身份識別這列標識，或者是通過參照針對該自然人一個或多個如物理奶稠、生理俯艰、遺傳、心理锌订、經(jīng)濟竹握、文化或社會身份的要素。

處理：是指針對個人數(shù)據(jù)或個人數(shù)據(jù)集合的任何一個或一系列操作辆飘，諸如收集啦辐、記錄、組織蜈项、建構(gòu)昧甘、存儲、自適應(yīng)或修改战得、檢索、咨詢庸推、使用常侦、披露、傳播或其他利用贬媒、排列聋亡、組合、限制际乘、刪除或銷毀坡倔，無論此操作是否采用自動化手段。

匿名化：是一種使個人數(shù)據(jù)在不使用額外信息的情況下不指向特定數(shù)據(jù)主體對待個人數(shù)據(jù)的處理方式。該處理方式將個人數(shù)據(jù)與其他額外信息分別存儲罪塔，并且使個人數(shù)據(jù)因技術(shù)和組織手段而無法指向一個可識別和已識別的自然人投蝉。

數(shù)據(jù)控制者：能單獨或聯(lián)合決定個人數(shù)據(jù)的處理目的和方式的自然人、法人征堪、公共機構(gòu)瘩缆、行政機關(guān)或其他非法人組織。

數(shù)據(jù)處理者：是指為數(shù)據(jù)控制者處理個人數(shù)據(jù)的自然人佃蚜、法人庸娱、公共機構(gòu)、行政機關(guān)或其他非法人組織谐算。

數(shù)據(jù)接受者：只是接收到被傳遞的個人數(shù)據(jù)的主體熟尉，無論其是否是第三方的自然人、法人洲脂、公共機構(gòu)斤儿、行政機關(guān)或其他非法人組織。政府因在歐盟或其成員國法律框架內(nèi)特定調(diào)查接收到的個人數(shù)據(jù)腮考，不得視為“數(shù)據(jù)接受者”雇毫。

個人數(shù)據(jù)外泄：是指個人數(shù)據(jù)在傳輸、存儲或進行其他處理時的由安全問題引發(fā)的個人數(shù)據(jù)被意外或非法破壞踩蔚、損失棚放、變更、未經(jīng)授權(quán)披露或訪問馅闽。

GDPR會影響哪些企業(yè)

歐盟GDPR法案具有域外效應(yīng)飘蚯。也就是說，GDPR賦予了歐盟在個人信息安全方面的域外管轄權(quán)福也。

主要受影響的企業(yè)為以下四類：

1局骤、設(shè)立在歐盟境內(nèi)的企業(yè)（控制者、處理者）

2暴凑、未在歐盟境內(nèi)設(shè)立峦甩，但向歐盟境內(nèi)的數(shù)據(jù)主體（自然人）提供產(chǎn)品和服務(wù)的企業(yè)（控制者、處理者）

3现喳、未在歐盟境內(nèi)設(shè)立凯傲，但涉及監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體（自然人）行為的企業(yè)（控制者、處理者）

4嗦篱、未在歐盟境內(nèi)設(shè)立冰单，但在歐洲成員國法律適用的地方設(shè)立的企業(yè)（控制者、處理者）

總結(jié)來說灸促，GDPR不僅適用于位于歐盟境內(nèi)的企業(yè)組織機構(gòu)诫欠，也適用于位于歐盟以外的企業(yè)組織機構(gòu)涵卵，無論機構(gòu)所在地位于哪里，只要其向歐盟數(shù)據(jù)主體提供產(chǎn)品荒叼、服務(wù)或者監(jiān)控相關(guān)行為轿偎，或處理和持有居住在歐盟境內(nèi)的數(shù)據(jù)主體的個人數(shù)據(jù)，都將受到GDPR法案的監(jiān)管甩挫。

GDPR法案同樣適用于“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”贴硫。如果是數(shù)據(jù)處理者涉案，數(shù)據(jù)控制者也無法免除責任伊者，GDPR規(guī)定控制者需要承擔更多的責任英遭，以確保和數(shù)據(jù)處理者之間的合同能夠嚴格遵守GDPR的規(guī)定。

GDPR不適用于哪些情況

GDPR更多的是監(jiān)管企業(yè)對數(shù)據(jù)的使用行為亦渗。以下4個方面的數(shù)據(jù)使用情況不適用于GDPR：

1挖诸、為了預(yù)防、調(diào)查法精、偵查或起訴刑事犯罪多律，主管當局為執(zhí)行刑事處罰目的而產(chǎn)生的數(shù)據(jù)處理行為

2、基于國家安全目的而產(chǎn)生的數(shù)據(jù)處理行為

3搂蜓、自然人在純粹的個人或家庭活動中產(chǎn)生的數(shù)據(jù)處理行為

4狼荞、歐盟法律規(guī)定范圍之外的活動過程中產(chǎn)生的數(shù)據(jù)處理行為

GDPR約束了哪些數(shù)據(jù)

個人數(shù)據(jù)：

可以通過某個標識直接或間接識別某一自然人的信息。

不管是采用自動化手段還是人工進行歸類的數(shù)據(jù)帮碰，包括按時間順序排列的包含個人數(shù)據(jù)的記錄集合相味。

已經(jīng)被匿名化的個人數(shù)據(jù)，取決于用已有標識來識別特定個體的困難程度殉挽。

敏感個人數(shù)據(jù)：

也被稱為“特殊種類的個人數(shù)據(jù)”丰涉。

包括揭示種族或民族出身、政治觀點斯碌、宗教或哲學(xué)信仰一死、工會成員的個人數(shù)據(jù)。

包括遺傳數(shù)據(jù)和經(jīng)過處理可以唯一識別個體的生物特征數(shù)據(jù)傻唾。

不包括涉及刑事定罪和罪行的個人數(shù)據(jù)投慈，但該類數(shù)據(jù)的處理和保存有特殊要求。

GDPR中數(shù)據(jù)主體的權(quán)利（第三章）

1冠骄、知情權(quán)

2伪煤、訪問權(quán)

3、反對權(quán)

4猴抹、可攜帶權(quán)

5、糾正權(quán)

6锁荔、刪除權(quán)/被遺忘權(quán)

7蟀给、限制處理權(quán)

8蝙砌、免受數(shù)據(jù)畫像影響

GDPR中處理個人數(shù)據(jù)的基本原則

1、合法跋理、正當择克、透明

2、處理數(shù)據(jù)的目的是有限的

3前普、僅處理為達到目的的最少數(shù)據(jù)

4肚邢、確保數(shù)據(jù)準確、及時更新

5拭卿、存儲數(shù)據(jù)的期限不得長于為達到目的所需要的時間

6骡湖、采取技術(shù)和管理措施以保護數(shù)據(jù)的安全

7、數(shù)據(jù)控制者有責任并應(yīng)能夠證明做到了以上幾點

GDPR中對合法處理數(shù)據(jù)的定義

?至少滿足一下中的某一項峻厚，處理數(shù)據(jù)才是合法的

1响蕴、數(shù)據(jù)主體同意為了特定目的處理其數(shù)據(jù)

2、處理數(shù)據(jù)是為了簽訂或履行合同的需要

3惠桃、處理數(shù)據(jù)是為了遵守法定義務(wù)的需要

4浦夷、處理數(shù)據(jù)是為了保護數(shù)據(jù)主體或其他自然人的至關(guān)重要的利益

5、處理數(shù)據(jù)是為了公共利益或形式政府授受的權(quán)力

6辜王、處理數(shù)據(jù)是為了追求數(shù)據(jù)控制者的合理利益劈狐，但不得損害數(shù)據(jù)主體的利益

GDPR中針對兒童數(shù)據(jù)的處理規(guī)定

處理16歲以下兒童的個人數(shù)據(jù)，必須獲得該兒童父母或監(jiān)護人的同意或授權(quán)呐馆。各成員國可以對上述年齡進行調(diào)整肥缔，但是不得低于13歲。

GDPR中數(shù)據(jù)控制者與數(shù)據(jù)處理者的義務(wù)

1摹恰、設(shè)置DPO（數(shù)據(jù)保護官）

2辫继、文檔化管理

3、數(shù)據(jù)保護影響評估

4俗慈、事先咨詢機制

5姑宽、數(shù)據(jù)泄露報告機制

6、安全保障措施

7闺阱、遵守數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則

GDPR中針對特別類型個人數(shù)據(jù)的處理規(guī)定

禁止收集處理反映個人種族或民族起源炮车、政治觀點、宗教和哲學(xué)信仰酣溃、是否是工會組織成員的數(shù)據(jù)瘦穆、個人基因識別數(shù)據(jù)、生物數(shù)據(jù)赊豌、或涉及健康扛或、性生活或性取向的數(shù)據(jù)。

但在例外的情況下也可以收集加工以上數(shù)據(jù)碘饼，如已獲得個人的明示同意熙兔，或數(shù)據(jù)控制者因處理勞動關(guān)系悲伶、社會保險之需要并在法律允許的范圍內(nèi)且已采取了適當?shù)谋Ｗo手段等。

GDPR中關(guān)于數(shù)據(jù)主體被遺忘權(quán)的規(guī)定（重要）

?當個人數(shù)據(jù)已和收集處理的目的無關(guān)住涉、數(shù)據(jù)主體不希望其數(shù)據(jù)被處理或數(shù)據(jù)控制者已沒有正當理由保存該數(shù)據(jù)時麸锉，數(shù)據(jù)主體可以隨時要求收集其數(shù)據(jù)的企業(yè)或個人刪除其個人數(shù)據(jù)。

如果該數(shù)據(jù)被傳遞給了任何第三方（或第三方網(wǎng)站）舆声，數(shù)據(jù)控制者應(yīng)通知該第三方刪除該數(shù)據(jù)花沉。

GDPR中關(guān)于數(shù)據(jù)主體可攜帶權(quán)的規(guī)定（重要）

?數(shù)據(jù)主體可向數(shù)據(jù)控制者索要其數(shù)據(jù)，也可將其個人數(shù)據(jù)轉(zhuǎn)移至另一個數(shù)據(jù)控制者媳握。

GDPR中關(guān)于個人數(shù)據(jù)泄露通知的規(guī)定（重要）

?數(shù)據(jù)控制者應(yīng)在72小時之內(nèi)向監(jiān)管機構(gòu)報告?zhèn)€人數(shù)據(jù)的泄露情況碱屁。當數(shù)據(jù)泄露可能會給數(shù)據(jù)主體的權(quán)利或自由帶來巨大風險時，數(shù)據(jù)控制者必須毫不延誤的通知數(shù)據(jù)主體毙芜，以便數(shù)據(jù)主體及時采取措施忽媒。

GDPR中關(guān)于設(shè)立數(shù)據(jù)保護官的規(guī)定

為確保數(shù)據(jù)保護合規(guī)并處理數(shù)據(jù)保護相關(guān)事務(wù)，數(shù)據(jù)控制者和數(shù)據(jù)處理者需設(shè)置數(shù)據(jù)保護官（DPO）腋粥。

控制者和處理者應(yīng)當對數(shù)據(jù)保護官不下達任何指令晦雨，DPO不能因為執(zhí)行任務(wù)的原因被解雇或者受到刑事處罰。

數(shù)據(jù)保護官直接向最高管理者報告工作隘冲。

根據(jù)聯(lián)盟法律或者成員國法律規(guī)定闹瞧，數(shù)據(jù)保護官應(yīng)當對其執(zhí)行任務(wù)的內(nèi)容進行保密。

數(shù)據(jù)保護官也可以執(zhí)行其他任務(wù)展辞，履行其他職責奥邮。

GDPR關(guān)于執(zhí)法和處罰的規(guī)定（非常重要）

不遵守信的數(shù)據(jù)隱私法規(guī)的后果就是會受到嚴厲的制裁和巨額的罰款。

GDPR的處罰并不是像網(wǎng)上傳的那樣直接就罰全球營收的4%罗珍。而是有兩個等級的征收行政性罰款的規(guī)定：

對于一般性的違法洽腺，罰款上限是1000萬歐元，或者在承諾的情況下覆旱，最高為上一個財政年度全球全年營業(yè)收入的2%（兩者中取數(shù)額大者）蘸朋；

對于嚴重的違法，罰款上限是2000萬歐元扣唱，或者在承諾的情況下藕坯，最高為上一個財政年度全球全年營業(yè)收入的4%（兩者中取數(shù)額大者）；

判罰的嚴重程度是基于以下因素：

1噪沙、違規(guī)的性質(zhì)炼彪、嚴重程度和違規(guī)的持續(xù)時間

2、違規(guī)是故意的還是因疏忽造成的

3正歼、對個人身份信息的責任心和控制程度

4辐马、違規(guī)是單個事件還是重復(fù)事件

5、受到影響的個人資料的種類范圍

6局义、數(shù)據(jù)主體遭遇的損害程度

7喜爷、為了減輕損害而采取的行動

8膜楷、由違規(guī)產(chǎn)生的財務(wù)預(yù)期或收益

GDPR核心旨在保護隱私數(shù)據(jù)，并通過法案約束來建立企業(yè)和公民之間的信任關(guān)系贞奋，違反GDPR的代價遠不止財務(wù)層面，還將給企業(yè)聲譽造成極大破壞穷绵，并且導(dǎo)致企業(yè)和消費者之間產(chǎn)生信任危機

總結(jié)

?由于青蓮云所在的物聯(lián)網(wǎng)行業(yè)也處于GDPR法案的約束之中轿塔，故此整理出法案中的重點思想與業(yè)界分享。GDPR此次改革以保護公民的基本權(quán)利為理念仲墨，在提高個人數(shù)據(jù)保護標準的同時勾缭，也會增加企業(yè)的合規(guī)成本。法案的背后是對隱私和安全的需求目养，法案生效后會成為國際數(shù)據(jù)隱私保護標準俩由。

對于物聯(lián)網(wǎng)行業(yè)的相關(guān)企業(yè)（硬件、軟件癌蚁、制造幻梯、數(shù)據(jù)分析等）來說，從此刻開始提升物聯(lián)網(wǎng)安全意識努释，關(guān)注數(shù)據(jù)安全和用戶隱私安全碘梢，積極的采取相應(yīng)的整改或強化措施刻不容緩。青蓮云安全團隊也將在不斷提升自身安全攻防能力和安全合規(guī)意識的同時伐蒂，與客戶企業(yè)建立長期持續(xù)的安全咨詢合作關(guān)系煞躬，共同建設(shè)安全、自主逸邦、可信的物聯(lián)網(wǎng)安全新業(yè)態(tài)恩沛。