GDPR (General Data Protection Regulation) —通用数据保护规范将于2018年5月25日开始在欧盟实施。该条例制定的目的,是想借赋予欧盟公民个人信息保护的基本权利,来增加消费者对在线服务和电子商务的信心。GDPR的核心,是对个人数据的收集和之后的存储使用,规定更高的透明度与管控。对GDPR的正面阐释,是企业通过给消费者一种自身数据被合理存储和保护的安全感,来赢得消费者的信任。
尽管GDPR背后的原则前景光明,但该新规定无疑也将给在欧盟做生意或收集欧盟公民数据的公司和企业带来负担。并且如果你觉得该规定仅仅针对位于欧盟的公司,那就大错特错了。实际上,无论公司总部在哪儿,无论数据存储和处理地点在哪儿,只要是与身处欧盟的人做生意,或者监视欧盟公民的行为,就必须遵从GDPR,而这也将是未来企业业务发展必须要考虑的问题之一。
GDPR不仅仅是《欧盟数据保护指南》的范围扩大版,它还是总体上更为严苛的法规,包含更严厉的违规处罚。违规最高罚金可达公司全球总收益的4%或2000万欧元中的高者。除了高额罚金,GDPR还加入了以下条款:引入强制数据泄露通告。遭受安全事件并导致个人身份信息泄露的公司,需要在事件发现后72小时内,将事件报告给他们指定的数据保护机构;引入具备数据保护法令专业知识的指定数据保护官员。该角色必须是独立的、自治的,并直接向高层管理汇报。
GDPR提出的要求显然不止这些,仅靠我们也解释不完。这个法规无关于技术,只是面向数据安全的一些规定。数据控制者必须实现“足够的措施”,来确保其处理系统和所掌握信息的机密性和完整性。这包括:应用关键安全控制来恰当地检测、管理和缓解数据处理环境中的任何漏洞;根据企业策略配置系统,并维护该配置;主动识别偏离该策略的系统;持续监视日志文件,警惕任何潜在数据泄露或漏洞;维持有效检测、响应和缓解任何安全事件的能力;以安全的方式使用云服务。当然Convene无纸化会议系统也在积极的采取这些必要措施,不遗余力的保证用户的数据安全性和完整性。
以下就是一些关于大数据业务的公司在遵从GDPR遇到的一些关键挑战:
(1) 数据存储,确定个人数据在多个不同的(可能是孤立的)数据源之间存储的位置 。关于 GDPR,组织最终将需要评估所有数据的存储位置,并确保其可访问,而不仅仅是那些有业务需要访问的数据。数据团队领导者(如果组织在GDPR下需要DPO)应该能够轻松地了解和审核数据来源,哪些人可以访问什么数据,以及哪些来源用于哪些项目。
(2) 调整团队, 使整个组织(包括IT,市场营销,客户支持和数据团队)的每个人都调整新策略和执行任何更改。
(3) 适应数据主体要求, 制定流程以适应数据主体的要求,确保所有的团队能够及时执行流程。
根据GDPR,数据主体拥有以下的权利:
- 被遗忘(已擦除数据)。
- 访问(获取有关正在处理哪些数据的信息,以及用于什么目的)。
- 数据可移植性(接收有关它们的个人数据的副本)。
- 以纯粹的算法为基础,对影响他们的决策的问题进行解决。
(4) 数据管理, 在审核情况下,确保适当的数据管理,安全和监控。
(5) 适应性 , 实施敏捷型的解决方案,使组织的操作灵活,轻松适应变化。变革是不可避免的,数据保护和隐私法规的现实是,它们将随着新兴技术的不断发展而变化。这也就需要企业采用灵活的解决方案,并适应未来的技术和法规的变化。
更多参考译文如下:
https://yq.aliyun.com/articles/123230
http://www.managershare.com/post/360788
京公网安备11010502040208号