歐盟的一般數據保護法GDPR重點整理

歐盟的一般數據保護法GDPR重點整理

FlipWeb今天要為大家帶來最新的GDPR法案的一些基本原理與探討，希望大家可以利用歐盟成員國關於數據保護的法律法規進行探討。

2016年4月14日，歐洲議會投票通過了商討四年的《一般數據保護法案》（General Data Protection Regulation (GDPR)），新法案由11章共99條組成，該法案將於2018年5月25日正式生效，將取代現有的《數據保護指示》（Data Protection Directive 95/46/EC），統一歐盟成員國關於數據保護的法律法規。

此外，GDPR新規是在28個歐盟成員國統一實施生效的，這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。

GDPR作為一套用來保護歐盟公民個人隱私和數據的新法規，其頒布意味著歐盟對個人信息的保護及監管達到了前所未有的高度，堪稱史上最嚴格的數據保護法案

GDPR的關鍵術語定義

個人數據：是指任何指向一個已識別或可識別的自然人（數據主體）的信息。該可識別的自然人能夠被直接或間接地識別，尤其是通過參照諸如姓名、身份證號、定位數據、在線身份識別這列標識，或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。

處理：是指針對個人數據或個人數據集合的任何一個或一系列操作，諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀，無論此操作是否采用自動化手段。

匿名化：是一種使個人數據在不使用額外信息的情況下不指向特定數據主體對待個人數據的處理方式。該處理方式將個人數據與其他額外信息分別存儲，並且使個人數據因技術和組織手段而無法指向一個可識別和已識別的自然人。

數據控制者：能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織。

數據處理者：是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。

數據接受者：只是接收到被傳遞的個人數據的主體，無論其是否是第三方的自然人、法人、公共機構、行政機關或其他非法人組織。政府因在歐盟或其成員國法律框架內特定調查接收到的個人數據，不得視為“數據接受者”。

個人數據外泄：是指個人數據在傳輸、存儲或進行其他處理時的由安全問題引發的個人數據被意外或非法破壞、損失、變更、未經授權披露或訪問。

GDPR會影響哪些企業

歐盟GDPR法案具有域外效應。也就是說，GDPR賦予了歐盟在個人信息安全方面的域外管轄權。

主要受影響的企業為以下四類：

1、設立在歐盟境內的企業（控制者、處理者）

2、未在歐盟境內設立，但向歐盟境內的數據主體（自然人）提供產品和服務的企業（控制者、處理者）

3、未在歐盟境內設立，但涉及監控歐盟境內數據主體（自然人）行為的企業（控制者、處理者）

4、未在歐盟境內設立，但在歐洲成員國法律適用的地方設立的企業（控制者、處理者）

總結來說，GDPR不僅適用於位於歐盟境內的企業組織機構，也適用於位於歐盟以外的企業組織機構，無論機構所在地位於哪里，只要其向歐盟數據主體提供產品、服務或者監控相關行為，或處理和持有居住在歐盟境內的數據主體的個人數據，都將受到GDPR法案的監管。

GDPR法案同樣適用於“數據控制者”和“數據處理者”。如果是數據處理者涉案，數據控制者也無法免除責任，GDPR規定控制者需要承擔更多的責任，以確保和數據處理者之間的合同能夠嚴格遵守GDPR的規定。

GDPR不適用於哪些情況

GDPR更多的是監管企業對數據的使用行為。以下4個方面的數據使用情況不適用於GDPR：

1、為了預防、調查、偵查或起訴刑事犯罪，主管當局為執行刑事處罰目的而產生的數據處理行為

2、基於國家安全目的而產生的數據處理行為

3、自然人在純粹的個人或家庭活動中產生的數據處理行為

4、歐盟法律規定範圍之外的活動過程中產生的數據處理行為

GDPR約束了哪些數據

個人數據：

可以通過某個標識直接或間接識別某一自然人的信息。

不管是采用自動化手段還是人工進行歸類的數據，包括按時間順序排列的包含個人數據的記錄集合。

已經被匿名化的個人數據，取決於用已有標識來識別特定個體的困難程度。

敏感個人數據：

也被稱為“特殊種類的個人數據”。

包括揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數據。

包括遺傳數據和經過處理可以唯一識別個體的生物特征數據。

不包括涉及刑事定罪和罪行的個人數據，但該類數據的處理和保存有特殊要求。

總結

FlipWeb發覺非常多網路資產都屬於GDPR法案的約束之中，所以我們整理出法案中的重點思想與業界分享。GDPR此次改革以保護公民的基本權利為理念，在提高個人數據保護標準的同時，也會增加企業的合規成本。法案的背後是對隱私和安全的需求，法案生效後會成為國際數據隱私保護標準。

對於物聯網行業的相關企業（硬體、軟體、製造、數據分析等）來說，從此刻開始提升物聯網安全意識，關註數據安全和用戶隱私安全，積極的采取相應的整改或強化措施刻不容緩。青蓮雲安全團隊也將在不斷提升自身安全攻防能力和安全合規意識的同時，與客戶企業建立長期持續的安全諮詢合作關係，共同建設安全、自主、可信的物聯網安全新業態。