2018年歐盟數據保護規則的改革。更嚴格的數據保護規則意味著人們對自己的個人數據有更大的控制權，企業也能從公平的競爭環境中獲益。

上週的文章中，我們為大家分享了GDPR的一些基本內容。本次我們與大家一起學習下該法規中對於「數據」一詞的具體定義。

一、「數據」涉及三大主體及權利/義務

1、GDPR法規主要面向了三個主體

• 用戶（Individual）：享有知情權、訪問和更正權、刪除權。
• 數據所有者（Data Controller）：主要責任包括必須證明其是在GDPR規定範圍內進行個人信息收集的，即合法、真實、透明、精準、最小限度的做了收集個人信息的工作。同時還需證明其盡了最大努力的對收集到的個人信息進行了保護，包括制定了嚴格的數據管理方案，數據保護計劃，以及危機應對辦法等。
• 數據傳輸者（Data Processor）：必須證明是在數據所有者規定的範圍能進數據的收集、傳輸、存儲以及管理等要求。必須按照數據所有者的要求，證明其盡到了數據保護責任。

2、個人數據的定義

個人數據是指任何與已識別或可識別的活人有關的資料。收集到的不同的信息可以導致一個特定的人的身份識別，這也構成了個人數據。主要有以下三類：

• 個人身份：例如電話號碼、地址、車牌、相片、影片、電郵內容、問卷表單等；
• 生物特徵： 例如病歷資料、指紋、臉部辨識、視網膜掃描等；
• 線上定位資料： 例如 Cookie、IP 位置、行動裝置 ID、社羣網站活動紀錄等。

除去以上，還有政治態度等只要是一個人所能產生出的任何資料，幾乎都被重新定義為個人數據並受到保護。

二、GDPR Key Changes

從https://www.eugdpr.org/the-regulation.html網站解讀總結出的法規涉及的關鍵詞可以看出，本次法規的主要特點有一下幾方面：

1、領土外適用性

這導致了適用範圍涉及到全球所有公司、組織（只要為歐盟成員國的公民提供服務並且獲取了信息，本法規就適用）。

對GDPR最大的誤讀就是，不在歐洲的公司不必擔心GDPR。 GDPR對歐盟公民的個人資料擁有管轄權，無論在哪裡（進行數據）處理，該條例都是適用的。

2、處罰嚴厲以及連帶責任

違反GDPR的組織可能被罰款高達4%的年度全球營業額或€2000萬(≈127820000人民幣元)，需要注意的是，這些規則同時適用於控制器和處理器——這意味著「雲」將不能免除GDPR的強制執行。

3、同意/撤銷權利

法規明確要求，公司將不再能夠使用冗長的、難以辨認的、充滿法律術語的條款和條件。收集信息的請求必須與其他事項明確區分，並以清晰、簡單明瞭、可理解的語言提出。用戶想要撤銷同意，必須很容易。

4、用戶對數據擁有絕對控制權

用戶對自己的數據擁有訪問、更正、刪除、移植等眾多權利，數據擁有者必須配合執行。

5、隱私保護從源頭開始（privacy by design）

法規要求數據擁有者的隱私保護從系統設計開始就考慮並設計，任何被認定是「數據中樞」的實體都必須有一個負責執行GDPR的數據保護官員（Data Protection Officers）。這位數據保護官將在數據主體出現隱私風險時向監管當局發出警報，並承擔相關法律責任（第33條）。

6、違反通知

根據GDPR，在所有可能「給個人權利和自由帶來風險」的會員國中，違約通知將成為強制性的。這必須在發現漏洞後的72小時內完成。數據處理器也將被要求在第一次發現數據泄露後，「毫不延誤地」通知他們的客戶控制器。

三、企業如何進行合規應對？

現階段，如果您的產品或者您的客戶的產品會有可能出售的歐盟成員國或者為其公民提供服務，那麼，您就必須合規。

另外，據有關媒體報道，中美日韓等國正在積極跟進，將很快有類似治理法規出臺。所以，每一個IT企業都應該做好應對措施。下面，我們從數據傳遞的過程來梳理：

1、數據收集

法規要求企業必須合法、真實、透明、精準、最小限度的進行個人信息的收集工作。

應對措施：充分保障用戶知情權，對「服務協議」和「隱私條款」進行相應調整，清晰明確表明企業將收集的數據、使用及用戶享有的許可或撤銷許可權益。通過端到端直連通信、用戶本地存儲數據等措施來有效降低在數據收集過程中產生的數據泄露的安全隱患。同時也大幅度降低數據收集過程中的GDPR合規投入。

2、數據存儲

涉及數據所有者（Data Controller）、數據傳輸者（Data Processor）兩個主體，明確了只有經過授權的用戶才能訪問數據。主要責任中明確的表明該類型企業需要制定包括嚴格的數據管理方案，數據保護計劃，以及危機應對辦法等在內的一攬子數據保護機制。在數據存儲上比單要保障數據的安全性，也要保障數據的實效性，與用戶明確的數據存儲時間超出即刻安全銷毀數據。

應對措施：優化數據管理方案，由專門崗位人員負責對數據進行管理，未經授權堅決拒絕訪問數據；在兩端對數據進行加密，防止存儲或轉發的過程中發生第三方泄密事件。

3、數據處理

涉及數據所有者（Data Controller）、數據傳輸者（Data Processor）兩個主體，主要明確了確認、記錄、評估、限制採集、限制加工等幾個方面的義務。法規明確了數據所有者、數據傳輸者的所有數據處理必須是在用戶知情並且確認的情況下進行，數據處理僅限於數據收集的目的，需要對數據處理過程進行詳細記錄（包括了數據類型、期限、是否輸出到第三方等），並且需要進行持續的安全評估，隨時應對安全威脅。

應對措施：調整隱私保護設計，從源頭控制，盡量做到用戶數據存儲在用戶本地並在用不本地處理，只上傳必要的數據處理結果；對收集的數據以及處理結果按照要求記錄處理過程；並增訪問許可權限制以及時間限制。

四、企業GDPR合規進程中有哪些痛點？

1、最小化採集如何實現？

2、如何應對連帶責任？

3、網路連接安全保障投入較高

4、用戶絕對權利的配合執行（刪除、移植等）

5、新要求下管理、保護數據的投入巨大（根據有關調查，企業每年需要投入100萬美元以上來改善GDPR合規性）

……………………

五、LongTooth（長牙）——可能是現階段最小成本的GDPR合規方案

LongTooth（長牙）團隊在2016年歐盟剛通過GDPR相關法律的時候就已經開始按照其要求設計LongTooth5.0產品了。

LongTooth（長牙）分散式IOT通信技術，將從源頭上杜絕數據泄漏安全隱患。IOT服務交互的過程中不存在任何泄漏用戶數據的環節，端到端直接交付服務，所有數據存在於用戶本地。

菩提本無樹、明鏡亦非臺。LongTooth（長牙）分散式IOT通信技術，將助您以最小化的成本坦然面對GDPR衝擊。

推薦閱讀：

相關文章