2018年5月25日,號稱史上最嚴的數據監管條例——GDPR (General Data Protection Regulation,通用數據保護條例 )正式生效。“史上最嚴”,絕非浪得虛名。一方面,它對“合法”的定義極為嚴苛;另一方面,它設定了天價罰款。物聯網企業要想符合GDRP的所有規定,無疑是一件富有挑戰性的工作。
01—GDPR 歷史追溯
GDPR是歐盟成員國在保護人權上的一個重要舉措,最早可追溯到1981年歐洲議會通過了有關個人數據保護的《保護自動化處理個人數據公約》。本次實施的GDPR法規是歐洲議會和歐洲理事會在2016年4月通過的法規,其取代了1995年數據保護指令的條例。
02—GDPR 三大主體
用戶(Individual)
對於用戶,GDPR在法律層面上賦予了其很多權利,主要是包括享有知情權、訪問和更正權、刪除權。
數據所有者(Data Controller)
數據所有者,主要責任包括必須證明其是在GDPR規定範圍內進行個人信息收集的,即合法,真實,透明,精準,最小限度的做了收集個人信息的工作。同時還需證明其盡了最大努力的對收集到的個人信息進行了保護,包括制定了嚴格的數據管理方案,數據保護計劃,以及危機應對辦法等。
數據傳輸者(Data Processor)
數據傳輸者,必須證明是在數據所有者規定的範圍能進數據的收集,傳輸,存儲以及管理等要求。必須按照數據所有者的要求,證明其盡到了數據保護責任。
03—GDPR 部分規則
規則關鍵詞:資料管制、有權刪除、資料安全、風險減輕和盡職調查、違反通知。
- 數據所有者事先向用戶說明會蒐集哪些必要信息,並獲得用戶的同意,否則按“未告知記錄用戶行為”作違法處理。
- 企業不能再使用模糊、難以理解的語言,或冗長的隱私政策來從用戶處獲取數據使用許可。
- 明文規定了用戶的“被遺忘權”(right to be forgotten),用戶個人可以要求責任方刪除關於自己的數據記錄。
- 對違法企業的罰金最高可達2000萬歐元(約合1.5億元人民幣)或者其全球營業額的4%,以高者為準。
04—GDPR 適用地域
本法適用於設立在歐盟內的控制者或處理者對個人數據的處理,無論其處理行為是否發生在歐盟內。
本法適用於對歐盟內的數據主體的個人數據處理,即使控制者和處理者沒有設立在歐盟內,其處理行為:
(a) 發生在向歐盟內的數據主體提供商品或服務的過程中,無論此項商品或服務是否需要數據主體支付對價;
(b) 是對數據主體發生在歐盟內的行為進行的監控的。
本法適用於設立在歐盟之外,但依據國際公法歐盟成員國法律可適用地的控制者對個人數據的處理。
低成本合規方式——LongTooth(長牙)助你坦然面對GDPR
LongTooth(長牙)團隊在2016年歐盟剛通過GDPR相關法律的時候就已經開始按照其要求設計LongTooth5.0產品了。
LongTooth(長牙)分佈式IOT通信技術,將從源頭上杜絕數據洩漏安全隱患。IOT服務交互的過程中不存在任何洩漏用戶數據的環節,端到端直接交付服務,所有數據存在於用戶本地。
菩提本無樹、明鏡亦非臺。LongTooth(長牙)分佈式IOT通信技術,將助您以最小化的成本坦然面對GDPR衝擊。
未完待續……
本次文章為大家介紹下GDPR的簡單內容,下一篇文章我們將為大家詳細分析介紹GDPR在數據的收集、存儲、保護等方面的要求,以及應對措施。
閱讀更多 LongTooth長牙Robin 的文章