歐盟數據保護條例 (EU GDPR)

什麼是歐盟GDPR?

歐盟GDPR是一個合併的法律架構,旨在確保保護“自然人的基本權利和自由,特別是保護個人資料的權利”。 這是一項強制性法律,要求遵守整個歐盟適用於個人資料商務的條款。 它將取代現有法規和架構。 GDPR取代了20年的資料保護指令(95/46 / EC)。

該法規 2018年5月25日生效。

重要改變

這個新法律的地域範圍比指令的範圍更廣。它還對企業處理資料施加了新的義務,所以大多數企業必須對其隱私計劃進行一些修改,以確保符合GDPR:

  • GDPR的範圍包括監控歐盟個人的行為,即使是由位於歐盟之外的資料管理者來完成,所以適用性很廣泛 。實際上,每個網站和應用程式都或多或少以某種方式追蹤存取者的網上活動。

  • GDPR現在延展了本期的盡職問卷義務,並增加了對資料處理者而不僅僅是資料控制者的潛在責任。資料控制者有義務選擇和使用符合資料處理標準安全的資料處理者。

  • GDPR第一次提出了資料泄露通知標準。發生泄漏必須提供通知,不得有不當的拖延,並且在可行的情況下不遲於發現後的72小時。

  • GDPR還完善了要求移除個人資料的權利(被稱為“被遺忘的權利”)以及提出新的“資料可移動權”來加強現有的個人權利。例如,被遺忘的權利允許資料主體要求移除個人資料,並且在某些情況下要求其他控制者也遵守該要求。資料可移動性的權利要求控制者以常用的格式向資料主體提供個人資料,並且也必須提供支援如果資料主體要求將資料傳送給另一個控制者。

對貴企業的影響

個人權利的新要求使隱私成為運營問題。 一些例子是:資訊權,追蹤權,糾正權,節流處理權,反對權,移除權和資料可移動權。

在即將到來的期限之前滿足新的要求,必須讓貴企業的多個部門的利益相關一起參與。 在確定投資新資源和新技術的最佳領域之前,團隊應該進行焦點評定。 優先評定根據GDPR要求您本期的隱私狀況。 然後,在評定風險和差距之後,團隊可以開始執行優先順序要求清單並證明法務遵循。

我們的GDPR合規亮點

自動化賬號刪除

作為擴大個人對個人數據使用的控制努力的一部分,GDPR引入了兩項新權利。首先就是被遺忘的權利,對這一要求,阿里雲全球業務都在提供賬號刪除功能,自動化實現賬號刪除,從而達到GDPR article 17要求的用戶個人信息被遺忘。

隱私從設計開始

“隱私設計是從一開始就促進隱私和數據保護合規性的一種方法“。所有新發布的雲產品都是通過安全審批加隱私設計評估才上線的。

隱私政策

每個客戶在使⽤阿里雲服務的時候,出於信任將最寶貴的個⼈信息託付給我們。 阿里雲也致⼒於 保護每位客戶的個⼈信息,並嚴格保障在客戶期望範圍內使⽤。 阿里云在隱私政策⽅⾯對於公眾 完全透明,可以參考國際站官網的隱私政策。同時,阿里雲採⽤各種技術⼿段確保客戶的個⼈信息僅存在於阿里雲業務範圍。

阿里雲的隱私政策可以在國際站官網上找到:https://www.alibabacloud.com/help/faq-detail/42425.htm

安全

阿里雲出版了最新版本的安全白皮書描述阿里云在雲安全方面的方法,具體涵蓋安全策略、組織安全、合規安全、數據安全、訪問控制、人員安全、物理安全、基礎設施安全、系統和軟件開發及維護、災難恢復及業務連續性十個方面的主題。這對於滿足GDPR的Article 32中的安全要求非常有用。在去年12月,阿里雲成為全球唯一完成德國C5雲安全基礎附加標準審計雲服務商,達到國際上安全的高要求。同時,阿里雲建立了數據洩露規範和流程,並進行了多次演練,確保各團隊了解明確自身的角色和責任以符合GDPR Article33,34的要求。

隱私準備就緒

在著手準備GDPR之前,阿里雲已經通過了TRUSTe的企業隱私認證,以及符合了新加坡的個人數據保護法(PDPA)的要求,這些經驗為GDPR的準備工作奠定了一定的基礎。

我們的投入

為了保證符合歐盟GDPR的要求,尤其是對數據主體權利要求的符合,阿里雲審核了每一個系統和數據流,基本所有系統都審核或改動過以確保覆蓋所有環節,改造總數在上百個系統之間不等。在人力和資源方面也有很大的投入,無論是外部諮詢公司律所的參與還是內部成立的項目組以及各個不同部門之間的協調和聯動都是龐大的。於此同時阿里雲也使用了隱私平台來管理和後期維護隱私方面的運作。

我們的方法論

我們的隱私方法論叫”Privacy Building Blocks” 隱私建築模塊。如果你將某些東西描述為某種東西的建築模塊,則意味著獨立部分組合在一起形成一個事物。好像分子是組成地球上所有生命的基石。想表達的意思是我們的隱私從設計開始(Privacy by Design),但是要維護數據主體的權利,他們的隱私,需要很多方面來成就,而不是只做一樣東西就能隱私合規。比如只有一個好的隱私協議是不夠的,還要有其他方面來確保個人信息的整個生命週期是遵守數據主體同意的目的以及受到保護的,比如不保留個人數據多過提供服務所需的時間和範圍,安全以及供應商管理等等。同時也不是一個人或一個部門能達到的事,是需要各個部門的意識認知,參與維護以及相互聯動 – 好像建築模塊一樣,其精確性和一致性使他們可以無縫安全地對齊。隱私保護也是需要不同的人,不同的部門和團隊的無間合作來做到。

我們的參與

阿里雲作為EU Cloud Code of Conduct (歐盟雲守則)的創始會員和大會成員,積極參與製定為符合GDPR Article 40要求下的歐盟雲服務的守則,與歐盟數據保護部門進行建設性的合作,以確保他們對GDPR的期望和未來指導在撰寫守則的同時得到考慮。 阿里雲致力於為整個阿里雲生態系統保持高水準的數據保護,並為整個科技行業的健康發展做出貢獻。阿里雲支持提高雲計算行業透明度,並幫助雲客戶了解雲服務提供商如何解決數據保護問題。

由於個人數據跨境傳輸是很多國際化企業必鬚麵對的問題,而在雲服務突飛猛進的時代,並不是所有歐盟認可的傳輸工具都能符合不斷變化的商業模式。歐盟委員會重新啟動了之前第29條工作組的關於數據處理者和下游數據處理者的示範條款草案,阿里雲和其他幾家同行加入了這個工作組一起來爭取為雲服務行業提供更有效的能夠幫助行業解決這一挑戰的傳輸工具。


我們的研究工作

數據可轉移性最近是一個熱門話題,無論是GDPR Article20的要求還是組織在這個信息時代採用的新的多雲趨勢。作為擴大個人對個人數據使用的控制努力的一部分,GDPR引入了兩項新權利。首先是被遺忘的權利。第二,數據可轉移性的權利要求控制者以常用格式向數據主體提供個人數據,並且如果數據主體要求,則將該數據傳送到另一個控制者。 GDPR對所謂“大數據”趨勢的回應之一就是創建一個新的數據可轉移性權利,旨在增加用戶對在線服務的選擇。在可行的情況下,甚至可能需要控制者將數據直接傳送給競爭對手。

用戶在平台之間切換是很困難的(他們必須在移動到新服務時重新創建所有數據),而大多數大型平台不能互操作,比如SaaS社交媒體,交換意味著放棄你的整個社交網絡。一些系統針對直接解決數據可轉移性和互操作性問題,以支持更大的競爭。

為了增進阿里雲以及整個行業對數據可轉移性的更廣泛的理解,通過和卡內基梅隆大學的隱私項目,他們的碩士研究生幫我們做關於數據可轉移性的術研究報告。內容包括:

1)關於這一主題 - 美洲,歐洲,中東和非洲,亞太經合組織有關數據可轉移性的規定, 包括要求之間的相似性或衝突。例如歐盟GDPR與美國HIPAA對數據可轉移性的解讀。

2)雲提供商策略級別 - 從政策和聲明級別,每個主要的雲服務提供商對數據可轉移性的處理聲明。他們如何相互比較?

3)技術水平 - 如何在雲服務中實現數據可轉移性?成本與技術有關。組織,大企業與中小型企業的的選擇有哪些?

報告在阿里雲國際站官網以及國際隱私專業人員協會(IAPP)新聞, 上刊登後,業界對於GDPR下要求的數據可轉移性有了詳細的認知。同時,報告內的技術研究也引起了歐盟監管的興趣,對於這項研究報告可以為歐盟其他相關法案的製訂提供了技術上的實現和觀點。


我們的平台,合作夥伴,和生態體系

阿里巴巴是重視生態體系的大家庭,阿里雲作為一份子也不例外。在阿里雲,我們每做一件事都會考慮到對整個生態體系的影響。我們了解國際數據保護標準的重要性,有助於確保全球各國的安全利益受到尊重。我們採用行業標準和最佳實踐來保護個人數據,並確保我們自己的隱私實踐符合所需的法律和法規。我們也密切監視各個的國家政策,以保持所有可能影響我們和我們的客戶以及生態夥伴的變化。

除了提供合規的雲服務外,阿里雲還通過與行業領先的隱私風險管理技術合作夥伴的合作夥伴關係,提供隱私管理指導, 我們也設身處地,從我們的經驗來幫助我們的客戶以及生態夥伴。

阿里雲已經與TrustArc達成合作計劃,在阿里云平台上通過一套經過驗證的方法來提供工具和解決方案,以評估準備情況,制定計劃,然後執行GDPR合規計劃。建立,實施和演示方法加上綜合技術解決方案幫助打造企業管理可維護的GDPR計劃。


常見問題

1.我的公司不在歐洲成立,也不在歐洲運維。我的公司是否被排除在GDPR之外?為什麼?

“資料保護條例”(GDPR)具有域外效力,同樣適用於在歐洲以外的公司,但向聯盟內的居民供應商品和服務,或監督在聯盟內發生的行為。這意味著,即使您的公司不在歐盟(EU)或歐洲經濟區(EEA)內,您也應該評定您的客戶是否包括歐盟或歐洲經濟區內的人。如果是這樣,當您處理他們的設定檔時,您必須遵守GDPR。

請注意,歐盟中的個人資料的定義非常廣泛,並且包括通常不被視為個人資料的資料。這樣的例子包括偽分類資料和IP位址(靜態和動態)。

2.我的公司需要做什麼才能符合GDPR?

GDPR概觀了許多詳細和嚴格的要求。值得注意的是,GDPR對檔案要求很高,這表明許多合規要求需要書面檔案來證明。為了說明您理解,這些要求大致可以分為兩大類:隱私合規和資料主題權利。

在隱私合規的保護下,需要保留資料處理庫存,隱私從設計開始,預設進行資料保護影響評定,在72小時內向資料保護部門報告資料違規情況,並在特定情況下向受影響的客戶報告,任命一位指定的資料保護官員(特別申請),維修資料安全等等。在資料主體權利的保護下,進行中資料處理的資料主體擁有資料權,這些權利包括存取權,糾正權,移除權,資訊權,節流處理權,撤回同意,資料可移動性的權利等等。

由於GDPR中包含的詳細程度,建議您熟悉GDPR的全文,可在歐盟委員會的網頁上查閱。

除條例外,第二十九條工作小組還出版指導方針,協助解讀GDPR。儘管他們的指導方針對GDPR解釋沒有約束力或決定性,但他們的建議卻佔有相當的份量,是理解GDPR的可靠指導。

同樣值得注意的是,GDPR為成員國的一些要求提供了靈活性,例如在員工資料和資料主體權利方面。這意味著當成員國在當地實行GDPR立法時,每個成員國之間可能存在一些差異。因此,強烈建議貴公司了解這種靈活性,並了解在歐洲經濟區內幾個不同成員國經營的差異。

3.與阿里雲的競爭者相比,使用阿里雲是否美化GDPR的許諾?

在阿里雲,我們了解國際資料保護標準的重要性,有助於確保全球各國的安全利益受到尊重。我們採用產業標準和最佳實踐來保護個人資料,並確保我們自己的隱私實踐符合所需的法律和法規。我們也密切監視各個的國家原則,以保留所有可能影響我們和我們的客戶的變化。

4.當GDPR生效時,阿里雲將為客戶提供哪些支援來實現合規?

除了提供合規的雲端服務外,阿里雲還通過與產業領先的隱私風險管理技術夥伴的夥伴關聯,提供隱私管理指導, 我們也設身處地,從我們的經驗來說明我們的客戶。

5.阿里雲是否GDPR合規?

阿里雲非常重視法務遵循和客戶的隱私。我們完全承諾在2018年5月25日生效之前達到GDPR標準。

6. 就GDPR而言,中國IaaS供應商與歐美IaaS供應商相比較有什麼差別?

就GDPR而言,在全球IaaS供應商的合規要求方面沒有差別。所有向歐盟/歐洲經濟區客戶提供產品或服務的IaaS供應商都必須遵守GDPR。所以,您不需要擔心這一方面。

澄清客戶合規性誤區

1. 使用合規的產品或服務不能證明代表一家企業自身合規

GDPR是屬於法律法規,需要共同遵守,和很多其他客戶需要符合的法律法規一樣,不是用了產品就符合,合規的產品不能解決所有問題。比如GDPR下對每個企業的要求例如:默認進行數據保護影響評估,在72小時內向數據保護部門報告數據洩漏情況,並在特定情況下向受影響的客戶報告,任命數據保護官員等等,這些都不是單一產品合規方面能夠解決的,而需要客戶自己內部運作的支撐。在使用阿里雲的時候,客戶可以放心阿里雲是合規的,但是只限於客戶使用的阿里雲的雲平台部分。客戶本身,尤其是從事個人數據相關的行業的客戶(零售,電信,旅行等等)需要針對要求來詳細評估自身的數據保護操作。

2. 阿里雲符合GDPR,不代阿里雲表客戶直接符合GDPR,客戶要對自己的產品設計、流程、管理,深度Review,相應整改,體系建立,才能符合

在GDPR的要求下,行使個人權利的新要求使隱私成為運營問題。一些例子是:信息權,獲取權,糾正權,限制處理權,反對權 ,等等。 GDPR還完善了要求刪除個人數據的權利(被稱為“被遺忘的權利”)以及提出新的“數據可移動權”來加強現有的個人權利。例如,被遺忘的權利允許數據主體要求刪除個人數據,並且在某些情況下要求其他控制者也遵守該請求。數據可轉移性的權利要求控制者以常用的格式向數據主體提供個人數據,並且也必須提供支持如果數據主體請求將數據傳送給另一個控制者。以上例子證明,阿里雲符合GDPR,不代表客戶直接符合GDPR,客戶要對自己的產品設計、流程、管理,深度Review,相應整改,體系建立。從風險角度判斷,既要保證個人數據生命週期的隱私保護,也要有能力支持數據主體的個人權利才能符合。

3. GDPR不是單純的安全的工作,也不是簡單的法務的工作;而更是一家公司管理水平和管理成熟度的體現

“你可以擁有沒有隱私的安全,但如果沒有安全措施,你就不能擁有隱私”。所以GDPR不僅是安全的工作,也不僅是簡單的法務的工作,同時也不是一個人或一個部門能達到的事,是需要各個部門的意識認知,參與維護以及相互聯動。所以符合GDPR更是一家公司管理水平和管理成熟度的體現。


資源和資訊

在GDPR下支援雲端的資料可移動性 - 由阿里雲贊助的卡內基梅隆大學Yunfan Wang和Anuj Shah的研究