Archive May 2018

GDPR (二)

一 前面的一边文章GDPR (一)主要描述了一些概念。其实最重要的是在GDPR下,组织应该做什么才是最关心的。查了一些资料,关键词是Consent,同意赞成的意思。 首先组织为什么要处理个人数据: 提供服务和产品 市场调查和分析 公共安全 作为build公共关系的一部分 招聘 其他 各式各样的原因吧。 一个组织必须要能有一个正当合理合法的说明来处理这些数据,例如合约,法律意义上的职责,或者data subject的Consent。 GDPR 关于什么可以为Consent是非常特定的: Consent必须清楚的表达出来。 Consent是免费的提出,而不是强制性的。组织唯一能够要求个人提供个人数据或者consent,这是发布一个产品或提供一个服务需要做的。 Consent必须以清楚,精确的语言表达出来,而且很容易访问。 必须区别于其他consent的条款项。 Silence可不是Consent。 所以,你必须熟悉你的组织关于Consent的流程。   二 Data Controller是有责任的,必须对什么样的数据进行收集和为什么要收集要特别清楚。而且做到数据最小化,也就是说仅收集那些业务需要的数据,而且一旦不需要了,他们必须销毁或者匿名化。同时,这些收集的数据怎么使用也需要限制,仅对这些业务需求。而且一般是基于客户允许的情况下才可以使用。   三 Data Subject的权利很重要。Data Controller有责任和义务尊重他们的权利。 Data Subject有权利让Controller修改,删除数据。 Data Controller有义务配合Data Subject的请求。同时对于一些请求,需要授权给Data Processor. Data Processor必须遵守Data Controller的流程,授权等。 如果个人数据发生意外,例如授权给错误的第三方,或者意外删除数据等,须在72小时内上报给监管方。   四 关于个人数据的安全,数据库访问必须授权,不可以让未授权的人访问。这就需要公司关于此定义的Policy了。这点在我们已经有了相关流程了。 同时,数据的存储格式不要以直观的格式来存储数据,而是要加密,混淆(随机)来处理。   参考: https://en.wikipedia.org/wiki/General_Data_Protection_Regulation https://www.eugdpr.org/

GDPR (一)

一 最近陆续收到一些公司的邮件说支持GDPR,例如Google,Facebook,Microsoft等,当然我现在所在的公司也不例外。 我还是愿意花一些时间去了解一下GDPR的,毕竟个人隐私数据现在管的越来越严。例如: 前段时间轰轰烈烈的Facebook 个人数据泄露事件。 Google Play下架一些apps,主要是Privacy Policy原因。 App Store也有同样的原因。 GDPR, General Data Protection Regulation, 是欧盟(EU)在2016年为了保护用户隐私/数据颁布的规范。GDPR在2016/4/27通过,2018/5/25强制执行。 GDPR一门非常重要的法规,如果我们的产品用户面向EU的客户,必须去遵守,否则可能会面临巨大的法律风险或处罚。任何产品或服务必须合规才可以。所以对待GDPR必须加以重视。除非你的产品或服务不针对EU。   二 GDPR适用于哪些组织? 在EU成立的组织。 在EU提供一些产品或者服务给个人的组织。 在EU监控个人行为的组织。 根据以上三种,很显然Google,Facebook,Microsoft肯定是符合的,这也意味着他们必须遵守。 所以为了支持GDPR,这些组织需要有对应的Policy来指导这些个人数据怎么处理。   三 那么个人数据是指什么呢? 在GDPR里,个人数据是指任何已识别的或者可以识别的中性个人信息。也就是说GDP R适用于关于个人的数据,而不是关于公司,政府或其他组织的数据。 个人数据一般包含: 姓名 位置信息例如家庭住址,或当前的GPS位置,或公司地址等。 手机号码 邮箱地址 移动设备ID,例如mac address,手机ID IP地址 其他 当然有些不可识别为个人的数据例如 浏览历史记录 地理信息 或者特定的信息,例如job title。 总之,个人数据可以是直接的,也可以是间接的。比如,我们在描述某位同事时, 直接信息可以是:销售部门的John Smith。John Smith就是直接信息。 间接信息可以是:  销售部门的男的个子175cm而且头发是黄色的。尽管没有说出是谁,但是根据这些信息基本上可以识别出是John Smith。 无论是直接的还是间接的,都是在GDPR的框架下的。 另外一些特殊的敏感信息也是在GDPR下的: 种族 政治倾向

Read More