T上西北

GDPR (一)

最近陆续收到一些公司的邮件说支持GDPR,例如Google,Facebook,Microsoft等,当然我现在所在的公司也不例外。

我还是愿意花一些时间去了解一下GDPR的,毕竟个人隐私数据现在管的越来越严。例如:

  • 前段时间轰轰烈烈的Facebook 个人数据泄露事件。
  • Google Play下架一些apps,主要是Privacy Policy原因。
  • App Store也有同样的原因。

GDPR, General Data Protection Regulation, 是欧盟(EU)在2016年为了保护用户隐私/数据颁布的规范。GDPR在2016/4/27通过,2018/5/25强制执行。

GDPR一门非常重要的法规,如果我们的产品用户面向EU的客户,必须去遵守,否则可能会面临巨大的法律风险或处罚。任何产品或服务必须合规才可以。所以对待GDPR必须加以重视。除非你的产品或服务不针对EU。

 

GDPR适用于哪些组织?

  • 在EU成立的组织。
  • 在EU提供一些产品或者服务给个人的组织。
  • 在EU监控个人行为的组织。

根据以上三种,很显然Google,Facebook,Microsoft肯定是符合的,这也意味着他们必须遵守。

所以为了支持GDPR,这些组织需要有对应的Policy来指导这些个人数据怎么处理。

 

那么个人数据是指什么呢? 在GDPR里,个人数据是指任何已识别的或者可以识别的中性个人信息。也就是说GDP R适用于关于个人的数据,而不是关于公司,政府或其他组织的数据。

个人数据一般包含:

  • 姓名
  • 位置信息例如家庭住址,或当前的GPS位置,或公司地址等。
  • 手机号码
  • 邮箱地址
  • 移动设备ID,例如mac address,手机ID
  • IP地址
  • 其他

当然有些不可识别为个人的数据例如

  • 浏览历史记录
  • 地理信息
  • 或者特定的信息,例如job title。

总之,个人数据可以是直接的,也可以是间接的。比如,我们在描述某位同事时,

直接信息可以是:销售部门的John Smith。John Smith就是直接信息。

间接信息可以是:  销售部门的男的个子175cm而且头发是黄色的。尽管没有说出是谁,但是根据这些信息基本上可以识别出是John Smith。

无论是直接的还是间接的,都是在GDPR的框架下的。

另外一些特殊的敏感信息也是在GDPR下的:

  • 种族
  • 政治倾向
  • 宗教信仰
  • 哲学信仰
  • 健康数据
  • 性取向
  • 遗传数据

 

处理这些个人数据的整个周期是指数据收集到数据销毁。几个关键动作:

  • 采集
  • 使用
  • 分析
  • 分享
  • 存储
  • 限制数据的使用
  • 销毁

在GDPR里,即便个人数据仅仅被存储,但是没有使用,这些数据其实也被处理了

 

GDPR里有个术语:

  • Data Subject,简单说就是那些数据被手机和使用的个人。
  • Data Controller,简单说就是手机个人信息的组织。
  • Data Processor,一般指处理数据的人或者组织。

举个例子,在京东里,客户的个人数据会被收集,然后京东请第三方客服公司(假说是A)处理一些订单之类的。这里,客户就是Data Subject。 京东就是Data Controller. Data Processor就是A。

本文还有后续:GDPR (二)

参考:

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

https://www.eugdpr.org/ 

1个评论

  1. […] 上一篇: GDPR (一) […]