關(guān)于GDPR很多域名投資人或是域名持有人都還并不知道具體的影響是什么,經(jīng)常留意域名行業(yè)動態(tài)的朋友可能已經(jīng)知道���,GDPR帶來域名whois查詢的變化���,最直觀的就是不在提供聯(lián)系人資料顯示,而今天譽名網(wǎng)將和大家聊聊關(guān)于歐盟GDPR大家都會有疑惑的一些問題���。
一����、什么是GDPR�?
GDPR,全稱為 General Data Protection Regulation�����,是歐盟 2016 年 4 \r\n月通過的一項通用數(shù)據(jù)保護條例(或稱“一般數(shù)據(jù)保護法案”)��,是 1995 年歐盟「EU法規(guī)95/46/c」法規(guī)(數(shù)據(jù)保護指令)的更新版本����。
二、為什么會出臺GDPR條例�?
歐盟擁有較為完善的數(shù)據(jù)保護框架,包括一系列的指令�、協(xié)議���、條例等���,其中最重要的是 1995 年通過的數(shù)據(jù)保護指令(“ 95 \r\n指令”)�����,為歐盟成員國立法保護個人數(shù)據(jù)設(shè)立了最低標(biāo)準(zhǔn)�����。但是新技術(shù)的沖擊���,95 \r\n指令在各成員國內(nèi)的不協(xié)調(diào)性及程序的復(fù)雜化,都使得歐盟現(xiàn)存的法律難以應(yīng)對不斷出現(xiàn)的安全風(fēng)險����,所以 GDPR 應(yīng)運而生。
三��、GDPR何時開始具體實施�?
GDPR 將于 2018 年 5月 25 日起正式實施。GDPR 于 2016 年 4 月獲得歐盟議會通過����,該條例將在兩年過渡期后生效���,即于 2018 年 \r\n5 月 25 日起正式實施。
四�、GDPR條例的適用主體?
GDPR \r\n不僅適用于位于歐盟內(nèi)部的組織�����,還適用于位于歐盟以外的組織����,只要它們向歐盟數(shù)據(jù)主體提供產(chǎn)品或服務(wù)或監(jiān)控其行為。它適用于所有處理和持有歐盟數(shù)據(jù)主體個人資料的公司��,而不管公司的位置如何�。具體要求如下:
(1)在歐盟成員國有法人實體的公司;
(2)在歐盟沒有設(shè)立實體公司����,但因為業(yè)務(wù)關(guān)系而持有歐盟居民個人資料的公司;
通俗來講�,無論您的公司總部在哪兒,只要與歐盟的人做生意,或者監(jiān)視歐盟公民的行為�,亦或收集歐盟公民的數(shù)據(jù),您就受到GDPR的管轄�����。
五���、GDPR的處罰規(guī)則是什么?
GDPR 不僅僅是《歐盟數(shù)據(jù)保護指南》的范圍擴大版�����,它還是總體上更為嚴(yán)苛的法規(guī)�����,包含更嚴(yán)厲的違規(guī)處罰���,對于違反 GDPR 的行為���,處罰具體如下:
(1) 嚴(yán)重違規(guī)者罰金將會是上限 2000 萬歐元或該企業(yè)全球年營業(yè)額的 4%(以兩者較高者為準(zhǔn));
(2) 一般違規(guī)者罰金將會是上限 1000 萬歐元或該企業(yè)全球年營業(yè)額的 2%(以兩者較高者為準(zhǔn))���;
舉個例子���,蘋果公司最近兩年的年收入都超過了 2000 億美元����,如果蘋果公司嚴(yán)重違反了 GDPR 的規(guī)定���,那么罰金就有可能高達 80 億美元��。
六���、對于處罰嚴(yán)重程度的判斷依據(jù)是什么?
1����、違規(guī)的性質(zhì)、嚴(yán)重程度和違規(guī)的持續(xù)時間
2�、違規(guī)是故意的還是因疏忽而造成的
3、對個人身份信息的責(zé)任心和控制程度
4�、違規(guī)是單個事件還是重復(fù)事件
5、受到影響的個人資料的種類
6�����、個人遭遇損害的程度
7、為了減輕損害而采取的行動
8�����、由違規(guī)產(chǎn)生的財務(wù)預(yù)期或收益
七���、GDPR推行的目的是什么�����?
GDPR \r\n的目標(biāo)是保護所有歐盟公民免受隱私和數(shù)據(jù)泄露的影響,借賦予歐盟公民個人信息保護的基本權(quán)利��,來增加消費者對在線服務(wù)和電子商務(wù)的信心����。企業(yè)也可通過給消費者一種自身數(shù)據(jù)被合理存儲和保護的安全感,來贏得消費者的信任����。
八、與1995年的數(shù)據(jù)保護指令相比��,此次GDPR的特點有哪些���?
1�����、擴大管轄的地域范圍:不僅包括歐盟內(nèi)的組織�,也包括歐盟外的組織;
2�����、處罰更加嚴(yán)厲:最高達 2000 萬歐元或該企業(yè)全球年營業(yè)額的 4%����;
3、引入強制數(shù)據(jù)泄露通告:遭受安全事件并導(dǎo)致個人身份信息泄露的公司��,需要在事件發(fā)現(xiàn)后 72 小時內(nèi)��,將事件報告給他們指定的數(shù)據(jù)保護機構(gòu)�����;
4����、引入具備數(shù)據(jù)保護法令專業(yè)知識的指定數(shù)據(jù)保護官員 (Data Protection Officer�����,DPO) \r\n:該角色必須是獨立的�����、自治的���,并直接向高層管理匯報。
九����、GDPR所規(guī)定的個人數(shù)據(jù)信息包括哪些?
與自然人或 “數(shù)據(jù)主體” 有關(guān)的任何信息�,可用于直接或間接識別此人��。它可以是任何名稱�����,照片���,電子郵件地址����,銀行信息,社交網(wǎng)站上的帖子��,醫(yī)療信息或計算機 \r\nIP 地址�����。
十�����、面對GDPR����,中國企業(yè)將面臨怎樣的出路選擇?
1����、停止向歐盟居民提供互聯(lián)網(wǎng)服務(wù) (包括免費的服務(wù));
2�、接到罰單后再去面對;
3���、主動完成歐盟 GDPR 的合規(guī)性要求����。
十一、企業(yè)或組織應(yīng)該增加哪些技術(shù)措施來滿足GDPR的規(guī)定����?
確保其處理系統(tǒng)和所掌握信息的機密性和完整性,應(yīng)包括以下措施:
1����、應(yīng)用關(guān)鍵安全控制來恰當(dāng)?shù)貦z測、管理和緩解數(shù)據(jù)處理環(huán)境中的任何漏洞��;
2�、根據(jù)企業(yè)策略配置系統(tǒng),并維護該配置��;
3�、主動識別偏離該策略的系統(tǒng);
4����、持續(xù)監(jiān)視日志文件�,警惕任何潛在數(shù)據(jù)泄露或漏洞;
5��、維持有效檢測、響應(yīng)和緩解任何安全事件的能力�;
6、以安全的方式使用云服務(wù)�����。
十二�����、在GDPR條例下歐盟公民有哪些個人數(shù)據(jù)的控制權(quán)����?
?
1、用通俗語言闡明如何訪問現(xiàn)有信息����、以及將個人信息用于何處;
2���、訪問個人數(shù)據(jù)���;
3、刪除或更正錯誤的數(shù)據(jù)����;
4��、可在某些情況下調(diào)整和擦除個人數(shù)據(jù)����;(簡稱“被遺忘權(quán)”)
5����、限制或反對處理個人數(shù)據(jù);
6��、索取一份個人數(shù)據(jù)的副本���;
7���、反對將數(shù)據(jù)用于某些特定的用途,比如營銷和分析�����。
十三���、GDPR對于數(shù)據(jù)保護有哪些主要規(guī)定���?
1、公司必須設(shè)立一個數(shù)據(jù)保護官 (Data Protection \r\nOfficer���,DPO)����。數(shù)據(jù)保護官必須直接匯報給最高管理層�,其職責(zé)是監(jiān)管和規(guī)范數(shù)據(jù)負(fù)責(zé)人和數(shù)據(jù)處理者的數(shù)據(jù)活動;
2���、公司需要保留用戶數(shù)據(jù)監(jiān)管信息�����,并定期刪除無關(guān)數(shù)據(jù)����;
3�����、公司必須部署合適的工具用以保護數(shù)據(jù),以防數(shù)據(jù)丟失��、損壞或泄露�����。當(dāng)發(fā)生任何數(shù)據(jù)泄露相關(guān)事件�,數(shù)據(jù)管控者與數(shù)據(jù)處理者需要在 72 小時內(nèi)進行報告;
4��、公司處理個人數(shù)據(jù)必須要有合法理由�,包括數(shù)據(jù)主體的同意、為了簽訂或履行合同需要��、遵守法定義務(wù)的需要����、為公共利益或行事政府授權(quán)以及為追求數(shù)據(jù)控制者的合法利益等;
5�����、當(dāng)用戶不再希望個人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒有合法理由保存該數(shù)據(jù)����,用戶有權(quán)要求刪除數(shù)據(jù)���;
6、用戶有權(quán)并可以無障礙的將其個人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個信息服務(wù)提供者處轉(zhuǎn)移至另外一個信息服務(wù)提供者處�����;
7�����、公司禁止收集處理反映個人種族或民族起源�、政治觀點�、宗教/哲學(xué)信仰、工會組織成員的數(shù)據(jù)����、個人基因識別數(shù)據(jù)、生物數(shù)據(jù)�����、涉及健康����、性生活或性取向的數(shù)據(jù)���。但在例外的情況下也可以收集加工以上數(shù)據(jù),如已獲得個人的明示同意����,或數(shù)據(jù)控制者因處理勞動關(guān)系、社會保險之需要在法律允許的范圍內(nèi)已采取了適當(dāng)?shù)谋Wo手段等���;
8����、公司處理 16 歲以下兒童的個人數(shù)據(jù)����,必須獲得該兒童父母或監(jiān)護人的同意或授權(quán)。各成員國可對上述年齡進行調(diào)整����,但是不得低于 13 歲;
9��、公司需要實現(xiàn)數(shù)據(jù)的“缺省保護隱私”��,即這種數(shù)據(jù)保護的隱私設(shè)計需要有默認(rèn)的兩個原則���,一是數(shù)據(jù)采集與數(shù)據(jù)使用目的的一一對應(yīng)原則��;二是數(shù)據(jù)采集的最小化原則�。
關(guān)于GDPR對域名行業(yè)的影響可以閱讀:
GDPR條例對域名等行業(yè)的影響
GDPR后WHOIS找不到域名持有人怎么辦?
