GDPR要求组织确保对用户数据进行良好的保护,而不是滥用,使用户获得知情同意,并且违规行为将受到巨额罚款。

欧盟通用数据保护条例(GDPR)于2018年5月25日开始执行。然而直到如今,还是有不少人对GDPR一无所知,更遑论清楚认识到GDPR对组织或者个人有哪些影响。那么,GDPR是什么,它适用于谁?如果你违反其规定,会有什么后果?

你可以阅读官方规定并尝试理解其含义,但这都挺“玄幻”,因为里面满是这样的小金句:

“一组企业应涵盖一个控制企业及其受控企业,其中控制企业应是可以对其他企业产生主要影响的企业”(GDPR第37条)

……对于这些大概念,我想你是无能为力的!

因此,我认为应该将其分解,至少可以从软件角度来看,并查看你应该了解的关键问题会有所帮助。如果你发现它会影响你,那么你肯定会更深入。GDPR最终将触及你组织的许多部门,你肯定希望自己能够做到正确无误。

GDPR要求组织确保对用户数据进行良好的保护,而不是滥用,使用户获得知情同意,并且违规行为将受到巨额罚款。有关更多信息,请继续阅读。

什么是GDPR?

GDPR旨在保护公民数据。这意味着保护对数据的访问,不存储不需要的数据,加密个人数据,并在可能时对数据进行匿名处理。换句话说,可以采取所有步骤来限制数据泄露的可能性以及发生泄露时的影响。此外,隐私包括未经授权使用数据,例如未经用户同意就跟踪用户,以及未经明确同意而对数据进行任何其他使用。

GDPR从其网站本身“旨在协调整个欧洲的数据隐私法,以保护和授权所有欧盟公民的数据隐私,并重塑整个地区的组织处理数据隐私的方式。

GDPR还考虑了欧盟普遍的“被遗忘权”,这意味着在这种情况下,如果有人希望从系统中删除其数据,则必须在合理的时间内完成。此外,报告要求很严格。

让我们看一下下面的5个主要问题。

1、谁需要遵守GDPR法规?

当然,欧盟的公司需要遵循GDPR,但事实证明,即使你位于其他地方,如果你在欧盟有客户,那么你也要遵守GDPR。

如果你不存储任何个人信息,那就不会受约束,但是拥有欧盟个人数据的任何人都必须遵守准则。如果你在欧盟有雇员,情况也是如此。

如果你共享用户数据或从其他地方获取用户数据,有时会有些棘手。如果有人行使被遗忘的权利,则你必须追逐所有这些份额并在各处擦除数据。因此,即使你从要移交欧盟个人数据的其他人那里获取数据,也要遵守该准则。

2、同意和透明

GDPR指出,用户必须同意收集有关他们的任何数据,并且该同意是基于“明确的肯定性行为”。明确和肯定的意思是用户必须执行一项操作才能选择接受,而不是通常的“除非选择退出,否则你就进入”方法。

“为了获得知情同意,数据主体至少应了解控制者的身份以及打算使用个人数据的处理目的。”(GDPR第42条)

在网络上,一个很好的例子是一个注册表单,该表单通知你将要收集数据,它是什么数据,将如何使用它,以后如何选择退出(或被遗忘)以及然后用户必须做一些同意的事情,例如单击一个复选框。预选框的日期不再适用——GDPR特别禁止此类当前典型的方法:

“因此,默认、预选框或弃权都不构成同意。”(GDPR第32条)。

数据的使用必须具有与收集数据的原因有关的某些目的,并且必须向用户解释:

“对于自然人而言,收集、使用、咨询或以其他方式处理与他们有关的个人数据以及在多大程度上将或将要处理这些个人数据,应该对自然人透明”(GDPR第39条)

3、控制个人数据

欧盟公民被授予对他们的个人数据的完全控制权,包括访问、转移、更正和被遗忘的权利,包括“请求并免费获得,尤其是个人数据和行使异议权的获得、纠正和清除或删除的机制。”(GDPR第59条)

数据访问权基于GDPR第63条,“数据主体应有权访问个人数据”,而数据更正的权利则是GDPR第65条,“数据主体应具有有权对有关他或她的个人数据进行纠正。”下次与信用报告代理机构竞争时,请考虑一下,希望将其应用于你自己的数据。

GDPR进一步确保没有供应商锁定用户数据。还列举了传输数据的权利:

“还应允许数据主体以结构化、常用、机器可读和可互操作的格式接收他或她提供给控制器的有关他或她的个人数据,并将其传输给另一个控制器。”(GDPR第68条)

这意味着你可以以合理的数字形式从供应商处获取数据,以便将其移至其他提供商。

被遗忘的权利扩展到与之共享数据的组织:

“删除权也应以如下方式扩展:已公开个人数据的控制人应有义务告知正在处理此类个人数据的控制人,以消除与这些个人数据的任何链接或复制或复制。”(GDPR第66条)

换句话说,擦除必须级联。

如果你从另一个组织获得有关某人的数据并打算使用和/或存储该数据,则必须通知该人——以便他们可以在知情的情况下同意(请参阅GDPR第60,61条)。如果你决定以原始同意书中未包含的方式使用数据,也是如此。

“如果控制器打算出于收集目的以外的目的处理个人数据,则控制器应在进一步处理之前向数据主体提供有关该其他目的的信息和其他必要信息。”(GDPR第61条)

并注意诸如贷款申请之类的全自动算法:

“数据主体应有权不受任何决定,其中可能包括一项措施,评估与他或她有关的个人方面,这完全基于自动处理,并且会产生有关他或她的法律效力或类似的重大影响。他或她,例如在没有任何人工干预的情况下自动拒绝在线信用申请或电子招聘做法”(GDPR第71条)

如果你使用的是全自动算法来做出决策,那么这可以使你不寒而栗。

4、数据保护–管理和防御

掌握某人的数据后,你需要适当地管理和保护它。真正的关键是所谓的“个人身份信息”(PII)。 PII具有非常宽泛的定义,例如cookie IE,可直接或间接标识包括IP地址的个人。如果你要进行任何类型的网络分析,那么你正在收集PII,并且需要确保你所做的工作符合GDPR。

在GDPR中处理PII的关键方面之一是设计安全的概念。该法规规定:

“控制者应采取内部策略并实施措施,这些措施尤其要符合通过设计保护数据和默认保护数据的原则。”(GDPR第78条)

设计安全性方法是一种说法,你不能简单地在应用程序中测试安全性和数据保护。你需要首先将应用程序设计为安全的,而不是构建一些代码并尝试对其进行红队测试,因此,诸如加密之类的事情是仅在批准的异常情况下才默认关闭的事情。通过设计确保安全也意味着要认真对待静态代码分析,重点是软件工程标准和“预防性”静态分析规则。

而且,如果你要收集与健康相关的数据,则需要格外小心以确保其安全(请参阅GDPR第53条),尽管某些特定类型的研究是关于健康而不是营销机会的某些规定(请参见GDPR第54条)。

数据保留是收集和存储PII时的另一个重要问题。这里的主要原理是保留不再需要的数据:

“……有权删除不再需要其个人数据的个人数据”(GDPR第65条)。

换句话说,仅用于临时目的(例如完成交易)的数据应仅存在所需的时间量。之后,你应该清除数据,而不是为了方便起见或将来进行分析而存储数据。

重要的是要表明你实际上还需要收集数据:

“数据主体在收集个人数据的时间和范围内可以合理地预期为此目的可能会进行处理”(GDPR第47条)

之后,你不能仅将数据用于其他用途,除非其他内容与数据的原始用途和/或处理(分析)数据有关。

“只有在处理与最初收集个人数据的目的兼容的情况下,才应允许出于最初收集个人数据的目的之外的目的处理个人数据。”(GDPR第50条)

5、违反该怎么办?

违反会产生罚款。欧盟可以每天对持续违规的行为处以罚款。罚款额可以基于上级组织的收入,因此可能比你想像的要大。罚款根据违反法规的不同而不同,最高可达2000万欧元。确保你可以证明合规。

“为了证明遵守本法规,控制者或加工者应保留其职责下的加工活动记录。”(GDPR第82条)

所以你会怎么做?

我很想告诉你,你可以使用一种简单的工具或一套工具来简单地遵守GDPR,但事实却并非如此。就算这样,Parasoft也可以为你提供很多帮助。首先,你可以将Java,C/C++和.NET静态代码分析引擎与良好的安全性和隐私配置结合使用,以确保你的代码尽可能安全。你甚至可以配置它们以执行严格的编码策略,例如默认情况下加密。

其次,你甚至可以在开发人员桌面的早期阶段,使用服务虚拟化来驱动完整的端到端测试。能够完全测试数据发生了什么,而无需昂贵的测试实验室,这使得合规变得更加容易,并且通过允许开发人员执行更深入的测试,你可以在更容易且更便宜的情况下发现问题。

总结

考虑到潜在的经济处罚,这有点令人恐惧,从某种意义上讲应该是这样。但是总的来说,除非你的业务模型基于跟踪用户并出售他们的数据,否则实际上并不是那么可怕。如果你拥有典型的业务模型并拥有客户数据和销售量,那么你会发现合规性并不是一件令人头疼的事,并且在数据泄露频率不断增加的情况下,还可以使整个系统更加安全。我们需要做的就是,制定正确的策略,进行综合、全面的测试,并通过强大的静态代码分析确保你的数据隐私。

关于GDPR,你需要了解的的5件事的更多相关文章

  1. 关于GDPR的六大理解

    通用数据保护条例(GDPR)于2018年5月生效,根据法律条文,英国几乎所有企业都需要遵守该规定.然而,人们对法规本身及其对组织的意义仍存在一些误解.这可能会导致一些错误的决定. 通用数据保护条例(G ...

  2. 市值3万亿的facebook再出丑闻,你的数据,到底应该归谁?

    最近一则<Facebook隐私泄露事件继续发酵,黑客明码标价出售聊天信息>的新闻被爆出,一个用户的信息被标价10美分.让人不禁感慨,3万亿市值的facebook,用户数据竟然如此便宜. 在 ...

  3. wazhu之agent功能详解

      一.日志数据收集 日志数据收集是从服务器或设备生成的记录中收集的实时过程.此组件可以通过文本文件或Windows事件日志接收日志.它还可以通过远程syslog直接接收日志,这对防火墙和其他此类设备 ...

  4. 8102 年的现代 Web 开发最佳实践(笑)

    简评:8102 年了,现在 web 开发的最佳实践是什么,让本文来告诉你.原文只提到一部分,可以查看 reddit 上对此文的评论查看补充的最佳实践 https://old.reddit.com/r/ ...

  5. SAP成都研究院郑晓霞:Shift Left Testing和软件质量保证的一些思考

    今天的文章来自Jerry的同事,曾经的搭档郑晓霞(Zheng Kate).郑晓霞是在Jerry心中是一位很有实力的程序媛,2011年从西安某软件公司跳槽到SAP成都研究院.当时,成都研究院的CRM团队 ...

  6. 对话Apache Hudi VP, 洞悉数据湖的过去现在和未来

    Apache Hudi是一个开源数据湖管理平台,用于简化增量数据处理和数据管道开发,该平台可以有效地管理业务需求,例如数据生命周期,并提高数据质量.Hudi的一些常见用例是记录级的插入.更新和删除.简 ...

  7. ASP.NET Core2.1 你不得不了解的GDPR(Cookie处理)

    前言 时间一晃 ASP.NET Core已经迭代到2.1版本了. 迫不及待的的下载了最新的版本,然后生成了一个模版项目来试试水. ...然后就碰到问题了... 我发现..cookie竟然存不进去了.. ...

  8. ASP.NET Core 2.1对GDPR的支持

    欧盟的<通用数据保护条例>(General Data Protection Regulation,以下简称 GDPR)已经于 2018 年 5 月 25 日正式施行.GDPR 涵盖了包括数 ...

  9. 当GDPR来敲门,中国互联网企业该如何应对?

    本文来自 网易云社区 . 欧盟<通用数据保护条例>(General Data Protection Regulation,GDPR)已于2018年5月25日正式生效,谷歌.Facebook ...

随机推荐

  1. AgileConfig-轻量级配置中心 1.1.0 发布,支持应用间配置继承

    AgileConfig轻量级配置中心自第一个版本发布不知不觉已经半年了.在并未进行什么推广的情况下收到了250个star,对我有很大的鼓舞,并且也有不少同学试用,并且给出了宝贵的意见,非常感谢他们.其 ...

  2. CAD插件

    CAD插件使用: 1.首先得有插件,插件解压,放那个盘都可以,只要自己觉得放得下,注:(每次打开CAD想要用插件都要的步骤)打开CAD---AP回车----找到插件所在文件夹-------Ctrl+A ...

  3. 倾斜摄影实景三维在智慧工厂 Web 3D GIS 数字孪生应用

      数字化推动钢铁工业转型升级 数字时代,随着数字地球,数字中国,数字工厂等数字化建设的不断深入,以地理信息系统(Geographic Information System, GIS)为基础,融合大数 ...

  4. 第7.18节 案例详解:Python类中装饰器@staticmethod定义的静态方法

    第7.18节 案例详解:Python类中装饰器@staticmethod定义的静态方法 上节介绍了Python中类的静态方法,本节将结合案例详细说明相关内容. 一.    案例说明 本节定义了类Sta ...

  5. Python链式赋值执行顺序及执行方式的证明

    专栏:Python基础教程目录 专栏:使用PyQt开发图形界面Python应用 专栏:PyQt入门学习 老猿Python博文目录 老猿学5G博文目录 在<关于Python链式赋值的赋值顺序问题& ...

  6. PyQt(Python+Qt)学习随笔:QTableWidget的findItems和selectedItems搜索项和访问选中项方法

    老猿Python博文目录 专栏:使用PyQt开发图形界面Python应用 老猿Python博客地址 1.搜索项 在表格部件中,可以根据文本以及匹配模式来搜索满足条件的项,调用语法: list[QTab ...

  7. pycharm 本地代码同步到github上

    第一步, pycharm中setting-> Version Control -> Github -> addacount 如果账号密码登录不成功,就用token登录,参考下面这个博 ...

  8. Tomcat启动报错org.apache.catalina.core.StandardContext.startInternal One or more listeners failed to start. Full details will be found in the appropriate container log file

    错误: 今天SVN导入新项目后启动项目时控制台报错,之后在网上搜了很多方法.下面列了一些大佬的解决方案: 1. 检查日志配置文件-logging.properties:https://www.cnbl ...

  9. 题解-CF643G Choosing Ads

    CF643G Choosing Ads \(n\) 和 \(m\) 和 \(p\) 和序列 \(a_i(1\le i\le n)\).\(m\) 种如下操作: 1 l r id 令 \(i\in[l, ...

  10. 算法——移掉K位数字使得数值最小

    给定一个以字符串表示的非负整数 num,移除这个数中的 k 位数字,使得剩下的数字最小. leetcode 解题思路:如果这个数的各个位是递增的,那么直接从最后面开始移除一定就是最最小的:如果这个数的 ...