GDPR && CCPA
CCPA
2018年6月28日,美国加利福尼亚州(“加州”)颁布了《2018年加州消费者隐私法案》(“CCPA”),旨在加强消费者隐私权和数据安全保护。CCPA被认为是美国国内最严格的隐私立法,将于2020年1月1日生效。
该法律的一些重要条款包括:企业必须披露收集的信息、商业目的以及共享这些信息的所有第三方;企业需依据消费者提出的正式要求删除相关信息;消费者可选择出售他们的信息,而企业则不能随意改变价格或服务水平;对于允许收集个人信息的消费者,企业可提供“财务激励”;加州政府有权对违法企业给予罚款,而每次违法行为将被处以7500美元的罚款。
该法案还规定,从2020年开始,掌握超过5万人信息的公司必须允许用户查阅自己被收集的数据,要求删除数据,以及选择不将数据出售给第三方。公司必须依法为行使这种权利的用户提供平等的服务。
隐私协议
1)EULA不符合德国相关法律。
最终用户许可协议(英語:end-user license agreements,英文缩写:EULA)是指软件开发者或发行者授权用户使用特定软件产品时的规定,大多私有软件附带此协议,如不接受则无法安装。
2)只可以采集隐私协议中声明的数据
3)强制用户先承认隐私后才能使用的方式,可能是导致一种无法律效力的行为。
GDPR
欧盟的“通用数据保护条例”(GDPR,General Data Protection Regulation)于2018年5月25日生效。
非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。
该公司就受到GDPR的管辖。
严重违反GDPR的情况下,罚款最高可达集团上财年全球营收总额4%或两千万欧元。
https://cloud.tencent.com/developer/article/1423315
对于我们来讲:
1. 不得收集能识别到自然人的用户隐私数据。
2. 不得将统计数据传给数据不安全国家。
数据不安全国家包括中国。数据安全国家:美国、新加坡。
以下内容来自如上链接地址。
对于企业或者说企业的安全负责人,如何来实施相关措施来保证符合GDPR的相关规定呢?在这里,我分享下我个人的见解。
1.数据处理原则
要求企业在进行数据收集、存储和处理时要提供收集的目的用途、存储的时间、收集的方式、收集的数据类型、存储和处理数据的安全技术保障措施、数据操作审批权限、取得用户同意、签订契约以及针对儿童的相关条件等等。
企业在进行用户数据的相关活动中必须要了解上述内容要求,并作出相关承诺,在收集之前就要提供类似用户隐私声明一类的内容,同时明确自己的责任和义务。
2.禁止的特殊类型数据
除GDPR法规第9条、第10条例外规定的情形,其他情况下应禁止处理这些特殊类型的数据,包括:种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、基因数据、为了特定识别自然人的生物性识别数据、和自然人健康、个人性生活或性取向相关的数据等以及涉及犯罪定罪与违法相关的个人数据。
企业在进行用户数据处理时一定要明确这些禁止的特殊类型数据,除非符合法规规定的例外情形,否则千万不要试图去收集和处理这些数据,以免受到影响。
3.数据主体访问权
数据主体应该具有或者说企业应该提供给数据主体访问个人信息的处理目的、数据类型、数据接收者和接收者的类型、存储的期限和依据标准、数据来源信息、数据转移保障措施等。
不管是系统提供的隐私说明或是签订的合同必须能让数据主体或用户能够随时访问到这些信息,只有这样才能保障数据主体的访问权。
4.数据主体更证权
数据主体要能够或者说企业应该提供给数据主体对其个人数据更正和完善的权利。
当个人信息被收集、存储和处理时,要提供相关接口和入口让数据主体或用户随时能够对自己的个人数据进行修改,比如常见的用户个人中心,可以对个人的资料进行修改更新。
5.数据主体擦除权(被遗忘权)
除条例第17条21(3)规定的情形,企业要提供给数据主体或用户擦除其个人数据的权利。
大部分企业提供的应用或服务不会让数据主体或用户直接删除个人数据的,基于此,可以提供接收数据主体擦除请求的通道,帮助用户擦除一些不再必要的数据。
6.数据主体限制处理权
当数据主体对个人数据的准确性有争议、认为处理是非法的、为了提起法律辩护等情形时,企业要提供给用户限制处理权。
当发生这些情况时,用户如果提出要求不让企业继续处理其个人数据时,企业必须接收,停止对其个人数据的处理,可以采取冻结账号及切断和其关联的所有活动。
7.数据携带权
数据主体要能够或者企业应该提供将已经经过整理、普遍使用和机器可读的数据无障碍地从一个数据控制者到另一个控制者。
就是说企业收集、处理的用户数据要进行格式化整理,并且能够支持格式化导出且机器可读。
8.数据主体反对权
当企业为了一些直接营销的目的,而未经数据主体或用户同意的情况下直接使用与其相关的用户画像时,数据主体或用户有权反对。
无论采取管理手段或技术手段,在使用用户画像进行营销之前都必须征得用户同意,以免造成不必要的影响。
9.合规认证
企业要进行相关的隐私认证,积极参与GDPR合规认证,选择有资质的、规范的认证机构,而不是简简单单随便找个“所谓的隐私认证机构”或自认证,通过之后将徽章资质放到官网上面,一定得是GDPR的认证且是权威认证机构。
10.签署协议
无论数据控制者或者数据处理者,在对个人数据进行处理时,必须签订保密协议。以及在涉及对用户数据进行共享、传输和处理时与第三方或其他合作方进行合作时,必须签订相关的协议,明确责任,确保个人数据的保护得到应有的保证。
11.数据处理安全
企业在对数据进行收集、处理等活动时应该采取如下安全措施保证个人数据安全。
数据脱敏技术:要对个人数据进行匿名化。
数据加密技术:要对个人数据在存储和传输过程中进行加密。
数据完整性技术:要对个人数据在存储和传输过程中的完整性进行校验,避免被篡改。
数据访问控制技术:要对个人数据设置合理的访问控制策略,避免未授权访问和不正当的访问。
数据备份技术:要对个人数据进行备份,保证可用性。
数据恢复和响应技术:要对个人数据及时进行恢复和响应测试,确保恢复和响应的可行性。
12.设立数据保护官 DPO(Data Protection Officer)
企业需要雇佣设立专门的数据隐私保护官员来监督GDPR的执行,以及对涉及的个人数据进行相关的安全防护。
第29条数据保护工作组(由所有欧盟数据保护机构的代表组成)则建议不确定的企业“最好”都任命DPO。
与欧盟子公司签订协议。协议内容规定:数据范围和最少人使用等内容。数据不安全国家就可以使用欧盟数据。
参考:
http://net.blogchina.com/blog/article/698050101
http://www.sohu.com/a/242233916_721493
http://column.caijing.com.cn/20180523/4457753.shtml
