GDPR,即《通用数据保护条例》(General Data Protection Regulation),是欧盟为了保护个人隐私和数据安全,所制定的法律。它不仅影响欧洲的企业,也对全球范围内处理欧盟居民个人数据的企业产生了重要影响。GDPR的主要目标是给予欧盟公民更多的控制权,让他们更好地了解和管理自己的个人数据。
GDPR的六大要点如下:
1. 个人数据的范围:GDPR对个人数据的定义广泛,不仅包括传统的姓名、地址、电话号码等识别信息,还扩展到了包括在线标识、位置数据、生物/遗传数据等在内的几乎所有可以识别个人身份的信息。
2. 数据主体的权力:GDPR增强了数据主体的权利,包括访问、更正、删除、反对个人数据的权利。数据主体可以更加容易地访问关于他们的个人数据,也可以要求彻底清除他们的个人数据,或是将数据转移至其他组织。
3. 安全事件通知:在出现个人数据安全事件时,组织必须在72小时内通知监管机构。
4. 技术和组织措施(TOMs):组织必须采取适当的措施应对识别的风险,包括技术、物理和安全管理措施,来保护数据安全。
5. 全球影响:GDPR对任何处理欧盟居民个人数据的组织都有影响,无论组织位于何处,都必须遵守GDPR的规定。违规的企业可能面临高达全球年营业额4%或2000万欧元的处罚。
6. 数据保护官(DPO):在一些情况下,企业需要指定一名数据保护官(DPO),负责监督GDPR的合规性,并与监管机构沟通。
针对GDPR,IBM提出了相应的技术解决方案和实施步骤。IBM的全球就绪计划旨在识别GDPR对IBM全球业务的关键影响,并准备好IBM内部的流程和商业服务产品,以遵从GDPR的要求。IBM的法务和数据隐私团队在GDPR草案阶段已经开始审查其对业务的影响,并承诺GDPR合规已经就绪。
企业为了应对GDPR,需要进行以下准备:
第一部分:
- 记录隐私处理的合规活动
- 审查跨境个人数据传输
- 实施和记录合适的安全措施
- 员工培训,至少每年接受一次培训,关于数据保护的要求及其责任和义务
- 对新研发的系统和服务,融入隐私和安全的设计
- 设计安全事件响应和通知预案
- 创建隐私设计框架,确保满足隐私保护的要求,在新产品、系统和服务研发早期默认融入隐私保护设计
- 实现数据泄露事件调查、控制、响应流程和步骤,确保能够验证其有效性
- 构建审计能力和流程
第二部分:
- 理解法律义务,熟悉GDPR法律条款要求,监控实施指南的开发
- 组建跨职能的GDPR团队,确保受影响的所有业务单元都会参与到GDPR开发和实施环节中
- 任命数据保护官(DPO),组建组织化的隐私保护办公机构
IBM的合规历程和准备经验表明,企业应将隐私权视作信任的基础,并且在产品和服务的早期阶段就将隐私保护的要求纳入设计。这要求企业在流程上、技术上、人员培训上都要做出相应的调整,以确保全面的合规性。对于中国企业而言,这是一个重大的风险管理挑战,但同时也是提升数据管理水平和增强客户信任的机遇。
