《通用数据保护条例》(GDPR) 是欧盟 (EU) 的一项法律,规定了欧盟内外的组织处理欧盟居民的个人数据的方式。GDPR 于 2016 年由欧洲议会和欧盟理事会通过,并于 2018 年 5 月 25 日生效。
具体来说,GDPR
- 定义了法律允许的个人数据的传输和处理方式;
- 详细说明了组织保护静态和传输中个人数据的具体方式;以及
- 确立了欧盟居民对个人数据的收集、使用和拥有的权利。
GDPR 将个人数据定义为与可识别人员相关的任何信息,包括直接和间接标识符。直接标识符是指一个人的唯一数据点,例如姓名或信用卡号。间接标识符包括仍可以识别一个人的非独特特征,例如外形特征和出生日期。
用 GDPR 术语来说,数据主体是指某条数据所涉及的个人。例如,如果一家公司收集电子邮件地址,这些地址的所有者将是数据主体。
虽然 GDPR 是一项欧洲法律,但其影响范围遍及全球。它适用于收集或使用欧盟居民个人数据的任何地方的任何组织。
为了帮助组织满足 GDPR 的要求,IBM 正在通过设计加强其对数据隐私的持续承诺。IBM 正竭力将数据保护原则更深入地融入其业务流程。这项工作还加强了现有的保护措施,以限制对个人数据的访问,包括在默认情况下阻止共享个人数据的移动应用程序。
作为这项工作的一部分,许多 IBM® Cloud 产品和服务都获得了欧盟云行为准则 (EU Cloud CoC) 认证(链接位于 ibm.com 外部)。EU Cloud CoC 的要求为云服务提供商 (CSP) 提供了框架,以证明其遵守 GDPR 的能力。有关已获得 EU Cloud CoC 认证的特定 IBM Cloud 产品和服务的更多信息,请访问我们的 EU Cloud CoC 页面或阅读我们的遵守声明验证(链接位于 ibm.com 外部)。
有关 IBM 安全和隐私的更多信息,请访问 IBM Trust Center。
有关 IBM 数据隐私合约条款的更多信息,请参阅 IBM 条款中的“数据保护”部分。
有关与数据隐私相关的问题,请直接联系 IBM 隐私团队:chiefprivacyoffice@ca.ibm.com 。
GDPR 的数据处理规则和原则适用于欧洲经济区活跃的所有数据控制者和处理者,这包括所有 27 个欧盟成员国以及冰岛、列支敦士登和挪威。
数据控制者(控制者)是指收集个人数据并确定其使用方式的任何组织、公共机构或其他团体或个人。例如,保留用户数据库的社交媒体网站将成为控制者。
数据处理者(处理者)是以某种方式对个人数据进行操作(例如分析、存储或更改数据)的任何组织。公司既可以是控制者,也可以是处理者。处理者也可以是代表控制者处理数据的第三方机构,如提供数据存储和分析的云服务提供商。
所有位于 EEA 的控制者和处理者都受到 GDPR 的约束,即使是在 EEA 之外存储和处理数据。
如果符合以下任何条件,欧洲经济区以外的企业也将受到 GDPR 的约束:
- 公司定期向欧洲经济区居民提供商品和服务,即使没有资金易手。
- 公司定期监控欧洲经济区居民的活动,例如使用跟踪 cookie。
- 公司代表欧洲经济区的控制者处理数据。
唯一不受 GDPR 约束的数据处理活动是国家安全或执法活动以及纯粹的个人数据使用。
GDPR 规定了控制者和处理者在处理个人数据时必须遵循的几项原则。从广义上讲,这些原则规定所有处理活动必须定义明确、透明和公平。
根据目的限制原则,公司收集的任何数据都必须有特定、合法的目的。他们必须向用户传达相关目的,并且仅收集该目的所需的最少量数据。
公司必须公平使用数据。他们必须随时向用户通报个人数据的处理情况,并遵守数据保护规则。根据存储限制原则,公司仅限在实现其目的之前保留个人数据。一旦不再需要相关数据,就应将其删除。
GDPR 定义了公司可以用于处理个人数据的法律依据。必须至少满足这些条件之一,否则即为非法处理。
数据主体同意处理其数据。如果个人同意,则公司可以处理其数据。只有在知情、确认且自由提供的情况下,同意才有效。
为了能够在知情的条件下同意,公司必须明确解释其收集的内容以及将如何使用这些数据。为了确认同意,用户必须采取意向明确的行动来表明他们同意,例如签署声明或选中复选框。同意不得设置为默认选项,因此预先选中复选框之类的方式会违反 GDPR。为了自由提供同意意见,公司不得以任何方式影响或胁迫数据主体。除非这种处理方式是相关服务正常运行的必要条件,公司不得要求用户同意才能使用某项服务。例如,公司可能需要某人的信用卡号才能向其出售某些产品,但可能不需要其 IP 地址。
如果是出于多种目的处理数据,公司不得捆绑同意意见。数据主体必须能够单独接受或拒绝每个处理活动。组织必须保留同意记录。数据主体可以随时撤销同意。如果撤销,则公司必须停止处理。
必须处理数据,才能与数据主体或代表主体签订合同。例如,如果有人申请贷款,银行可能需要处理他们的财务数据和雇佣记录。
控制者有处理数据的法律义务。例如,一些医疗卫生法规要求医院将患者数据存档。
必须对数据进行处理以保护数据主体或其他人的切身利益。这是指必须处理数据以挽救他人生命或防止伤害的情况。
必须处理数据以执行符合公共利益或控制者官方部分权力的任务。新闻行业是出于公共利益原因处理个人数据的典型案例。政府机构可以处理个人数据以履行其官方职能。
必须对数据进行处理以追求控制者或第三方的合法权益。合法权益是指公司可以通过数据处理获得的利益。例如,出于网络安全目的对员工进行背景调查或跟踪公司网络上的 IP 地址。处理属必要的,才能算作合法权益。如果公司能够在没有相关数据的情况下完成任务,则不得主张合法权益。数据主体还必须对处理情况有合理预期。如果数据主体获悉以某种方式使用他们的数据而感到意外,该公司可能并没有合法的利益理由。数据主体的权利通常高于公司的合法权益。
收集数据之前,组织必须建立并记录其基础。他们必须将这些基础传达给用户。未经数据主体同意,公司不得事后改变其基础。
GDPR 认为某些类型的数据尤为敏感。这些特殊类别包括有关个人种族或民族、宗教信仰、政治观点和生物识别数据等的信息。
公司只能在非常特殊的情况下才能处理特殊类别数据。这包括但不限于:
数据主体已明确同意。
相关处理对于科学或历史研究十分必要。
犯罪记录数据只能由官方当局控制并按其指示进行处理。
除了遵循处理原则并为所有处理活动建立法律基础外,组织还必须遵循一些其他规则才能符合 GDPR。
如果公司希望以对数据主体构成重大风险的方式处理数据,则必须首先进行数据保护影响评估。可能触发评估的情况可能包括敏感数据的任何自动处理或任何大规模处理。
评估必须描述处理过程,解释其必要性,评估风险并寻找减轻风险的方法。如果评估表明存在重大且未能缓解的风险,公司必须在采取行动之前咨询相关数据保护机构。
根据 GDPR,某些公司必须任命数据保护官 (DPO)。DPO 是负责 GDPR 合规的独立公司官员。公司不能对履行职责的 DPO 进行报复。
DPO 的职责包括就 GDPR 和其他数据保护法向组织提供建议,监督数据保护影响评估,以及充当政府监管机构和数据主体的联络点。
所有公共机构都必须任命 DPO。如果私营公司会大规模监控数据主体或将处理特殊类别数据作为核心活动,则必须任命 DPO。此外,欧洲以外公司如果定期处理欧洲经济区居民的数据或特别敏感的数据,则必须在欧洲经济区指定代表。
数据控制者对其与处理者和第三方共享的任何数据负责。控制者和处理者通常会签订正式的数据处理协议,以遵守 GDPR。这些具有约束力的合约概述了详细信息,例如处理者可以执行的处理类型,以及必须采用的安全措施类型。
第三方处理者只能在控制者的指导下处理数据。他们不能将控制者的数据用于自己的目的。
欧洲经济区的控制者只能在特定条件下将数据传输给欧洲经济区以外的所谓“第三国”处理者。他们可以自由将数据传输到欧盟委员会认为拥有充分的数据隐私法律的任何第三国。控制者也可以将数据传输给委员会认为保障措施充分的个人处理者。如果相关国家或地区和处理者都没有得到欧盟委员会的批准,只要控制者能确保数据得到保护,仍可允许传输。
控制者和处理者必须采取组织层面和技术层面的安全措施来保护个人数据。
组织层面措施包括对员工进行 GDPR 规则培训,和实施正式的数据治理政策等流程。
技术层面安全控制措施包括软件、硬件和其他技术工具。例如,加密和其他假名化技术可能让黑客难以拦截个人数据。例如:
- 身份和访问管理、数据丢失防护和其他数据安全工具可以强制执行权限,因此只有正确的人员才能出于正确的理由访问个人数据。数据备份解决方案可以恢复损坏或已删除的数据。
- 安全信息和事件管理 (SIEM) 平台可以跟踪网络活动并检测数据泄露或滥用,让组织能够加快响应事件的速度。
- 虽然网络漏洞的存在可能不会违反 GDPR,但这些漏洞可能会让黑客更容易获取受保护的数据,从而导致违规。漏洞管理和攻击面管理解决方案可以帮助公司发现并关闭这些漏洞。
GDPR 指导公司通过设计并在默认情况下采用数据保护原则。换句话说,组织应该将数据安全作为其设计或部署的每个流程、产品和系统的关键因素。数据保护原则应该是公司一切工作的基础,而不是事后考虑的问题。
控制者必须在 72 小时内向监管机构报告大多数个人数据泄露事件。如果违规行为给数据主体造成风险(例如金钱或身份盗窃),公司必须通知受影响的数据主体。
泄漏通知必须直接发送给受害者。除非直接沟通不合理,否则公告并不足够。通知应包括有关被盗数据类型、数据主体面临的风险以及公司如何处理这种情况的详细信息。通知还必须告诉数据主体如何联系 DPO 或其他关切的代表。如果违规行为不太可能对数据主体构成任何实际风险,公司无需通知数据主体。例如,如果被盗数据经过高度加密且黑客无法使用,则无需通知。
GDPR 在其管辖范围内为数据主体规定了多项权利。
数据主体有权知道谁拥有其数据、他们获得这些数据的方式以及正在使用这些数据做什么。
数据主体有权访问公司拥有的任何数据。
数据主体有权更正不准确或过时的个人数据。
有时称为“被遗忘权”,指主体有权要求公司删除其数据。公司必须遵守,除非他们对数据的权益(例如,维护某些记录的法律义务)超越了这项权利。
如果主体认为其数据不准确、遭到非法使用或不再需要用于公司目的,他们可以要求公司限制其数据的使用方式。公司必须遵守,除非能够证明其在处理数据方面拥有压倒性的权益。
数据主体有权将其数据从一家公司转移到另一家公司。公司必须通过以可共享格式存储数据,或根据主体的请求将其发送给第三方来促进个人数据的传输。
数据主体可以随时拒绝处理其数据。除非公司能够证明自己有压倒一切的合法理由,否则必须停止处理。
GDPR 将概要分析定义为使用自动化处理来评估一个人的某些方面,例如预测他们的工作表现或网页浏览行为。未经受影响人员同意,公司不能使用自动化处理制定重大决策。数据主体有权对仅基于自动化处理做出的决定提出异议。他们可以对决策提出意见,并要求公司任命一名员工来核查决策。
GDPR 由称为数据保护机构 (DPA,也称为监管机构)的公共监管机构执行。每个成员国都设置了自己的 DPA,此机构对总部设在其境内的公司拥有管辖权。监管机构可以对公司进行审计,听取数据主体的投诉并调查违规行为。如果潜在的违规行为涉及来自多个国家或地区的主体,则调查由公司或其代表所在国的监管机构负责领导。
如果不遵守相关规则,监管机构可以处以罚款并强制要求组织做出具体改变。他们可以强制公司尊重数据主体的要求并终止非法数据处理活动。
欧洲数据保护委员会 (EDPB) 可促进 DPA 之间的协调,并确保在整个 EEA 中一致地应用 GDPR 规则。
违规行为可能会被处以巨额罚款。轻微违规行为,例如未经父母同意处理儿童数据,可能会导致最高 10,000,000 欧元的罚款或该组织上一年全球收入的 2%,以较高金额为准。
重大侵权行为(例如出于非法目的处理数据)可能会导致高达 20,000,000 欧元的罚款或该组织上一年全球收入的 4%,同样以较高金额为准。