GDPR要求組織確保對使用者資料進行良好的保護,而不是濫用,使使用者獲得知情同意,並且違規行為將受到鉅額罰款。
歐盟通用資料保護條例(GDPR)於2018年5月25日開始執行。然而直到如今,還是有不少人對GDPR一無所知,更遑論清楚認識到GDPR對組織或者個人有哪些影響。那麼,GDPR是什麼,它適用於誰?如果你違反其規定,會有什麼後果?
你可以閱讀官方規定並嘗試理解其含義,但這都挺“玄幻”,因為裡面滿是這樣的小金句:
“一組企業應涵蓋一個控制企業及其受控企業,其中控制企業應是可以對其他企業產生主要影響的企業”(GDPR第37條)
……對於這些大概念,我想你是無能為力的!
因此,我認為應該將其分解,至少可以從軟體角度來看,並檢視你應該瞭解的關鍵問題會有所幫助。如果你發現它會影響你,那麼你肯定會更深入。GDPR最終將觸及你組織的許多部門,你肯定希望自己能夠做到正確無誤。
GDPR要求組織確保對使用者資料進行良好的保護,而不是濫用,使使用者獲得知情同意,並且違規行為將受到鉅額罰款。有關更多資訊,請繼續閱讀。
什麼是GDPR?
GDPR旨在保護公民資料。這意味著保護對資料的訪問,不儲存不需要的資料,加密個人資料,並在可能時對資料進行匿名處理。換句話說,可以採取所有步驟來限制資料洩露的可能性以及發生洩露時的影響。此外,隱私包括未經授權使用資料,例如未經使用者同意就跟蹤使用者,以及未經明確同意而對資料進行任何其他使用。
GDPR從其網站本身“旨在協調整個歐洲的資料隱私法,以保護和授權所有歐盟公民的資料隱私,並重塑整個地區的組織處理資料隱私的方式。”
GDPR還考慮了歐盟普遍的“被遺忘權”,這意味著在這種情況下,如果有人希望從系統中刪除其資料,則必須在合理的時間內完成。此外,報告要求很嚴格。
讓我們看一下下面的5個主要問題。
1、誰需要遵守GDPR法規?
當然,歐盟的公司需要遵循GDPR,但事實證明,即使你位於其他地方,如果你在歐盟有客戶,那麼你也要遵守GDPR。
如果你不儲存任何個人資訊,那就不會受約束,但是擁有歐盟個人資料的任何人都必須遵守準則。如果你在歐盟有僱員,情況也是如此。
如果你共享使用者資料或從其他地方獲取使用者資料,有時會有些棘手。如果有人行使被遺忘的權利,則你必須追逐所有這些份額並在各處擦除資料。因此,即使你從要移交歐盟個人資料的其他人那裡獲取資料,也要遵守該準則。
2、同意和透明
GDPR指出,使用者必須同意收集有關他們的任何資料,並且該同意是基於“明確的肯定性行為”。明確和肯定的意思是使用者必須執行一項操作才能選擇接受,而不是通常的“除非選擇退出,否則你就進入”方法。
“為了獲得知情同意,資料主體至少應瞭解控制者的身份以及打算使用個人資料的處理目的。”(GDPR第42條)
在網路上,一個很好的例子是一個登錄檔單,該表單通知你將要收集資料,它是什麼資料,將如何使用它,以後如何選擇退出(或被遺忘)以及然後使用者必須做一些同意的事情,例如單擊一個核取方塊。預選框的日期不再適用——GDPR特別禁止此類當前典型的方法:
“因此,預設、預選框或棄權都不構成同意。”(GDPR第32條)。
資料的使用必須具有與收集資料的原因有關的某些目的,並且必須向使用者解釋:
“對於自然人而言,收集、使用、諮詢或以其他方式處理與他們有關的個人資料以及在多大程度上將或將要處理這些個人資料,應該對自然人透明”(GDPR第39條)
3、控制個人資料
歐盟公民被授予對他們的個人資料的完全控制權,包括訪問、轉移、更正和被遺忘的權利,包括“請求並免費獲得,尤其是個人資料和行使異議權的獲得、糾正和清除或刪除的機制。”(GDPR第59條)
資料訪問權基於GDPR第63條,“資料主體應有權訪問個人資料”,而資料更正的權利則是GDPR第65條,“資料主體應具有有權對有關他或她的個人資料進行糾正。”下次與信用報告代理機構競爭時,請考慮一下,希望將其應用於你自己的資料。
GDPR進一步確保沒有供應商鎖定使用者資料。還列舉了傳輸資料的權利:
“還應允許資料主體以結構化、常用、機器可讀和可互操作的格式接收他或她提供給控制器的有關他或她的個人資料,並將其傳輸給另一個控制器。”(GDPR第68條)
這意味著你可以以合理的數字形式從供應商處獲取資料,以便將其移至其他提供商。
被遺忘的權利擴充套件到與之共享資料的組織:
“刪除權也應以如下方式擴充套件:已公開個人資料的控制人應有義務告知正在處理此類個人資料的控制人,以消除與這些個人資料的任何連結或複製或複製。”(GDPR第66條)
換句話說,擦除必須級聯。
如果你從另一個組織獲得有關某人的資料並打算使用和/或儲存該資料,則必須通知該人——以便他們可以在知情的情況下同意(請參閱GDPR第60,61條)。如果你決定以原始同意書中未包含的方式使用資料,也是如此。
“如果控制器打算出於收集目的以外的目的處理個人資料,則控制器應在進一步處理之前向資料主體提供有關該其他目的的資訊和其他必要資訊。”(GDPR第61條)
並注意諸如貸款申請之類的全自動演算法:
“資料主體應有權不受任何決定,其中可能包括一項措施,評估與他或她有關的個人方面,這完全基於自動處理,並且會產生有關他或她的法律效力或類似的重大影響。他或她,例如在沒有任何人工干預的情況下自動拒絕線上信用申請或電子招聘做法”(GDPR第71條)
如果你使用的是全自動演算法來做出決策,那麼這可以使你不寒而慄。
4、資料保護–管理和防禦
掌握某人的資料後,你需要適當地管理和保護它。真正的關鍵是所謂的“個人身份資訊”(PII)。 PII具有非常寬泛的定義,例如cookie IE,可直接或間接標識包括IP地址的個人。如果你要進行任何型別的網路分析,那麼你正在收集PII,並且需要確保你所做的工作符合GDPR。
在GDPR中處理PII的關鍵方面之一是設計安全的概念。該法規規定:
“控制者應採取內部策略並實施措施,這些措施尤其要符合通過設計保護資料和預設保護資料的原則。”(GDPR第78條)
設計安全性方法是一種說法,你不能簡單地在應用程式中測試安全性和資料保護。你需要首先將應用程式設計為安全的,而不是構建一些程式碼並嘗試對其進行紅隊測試,因此,諸如加密之類的事情是僅在批准的異常情況下才預設關閉的事情。通過設計確保安全也意味著要認真對待靜態程式碼分析,重點是軟體工程標準和“預防性”靜態分析規則。
而且,如果你要收集與健康相關的資料,則需要格外小心以確保其安全(請參閱GDPR第53條),儘管某些特定型別的研究是關於健康而不是營銷機會的某些規定(請參見GDPR第54條)。
資料保留是收集和儲存PII時的另一個重要問題。這裡的主要原理是保留不再需要的資料:
“……有權刪除不再需要其個人資料的個人資料”(GDPR第65條)。
換句話說,僅用於臨時目的(例如完成交易)的資料應僅存在所需的時間量。之後,你應該清除資料,而不是為了方便起見或將來進行分析而儲存資料。
重要的是要表明你實際上還需要收集資料:
“資料主體在收集個人資料的時間和範圍內可以合理地預期為此目的可能會進行處理”(GDPR第47條)
之後,你不能僅將資料用於其他用途,除非其他內容與資料的原始用途和/或處理(分析)資料有關。
“只有在處理與最初收集個人資料的目的相容的情況下,才應允許出於最初收集個人資料的目的之外的目的處理個人資料。”(GDPR第50條)
5、違反該怎麼辦?
違反會產生罰款。歐盟可以每天對持續違規的行為處以罰款。罰款額可以基於上級組織的收入,因此可能比你想像的要大。罰款根據違反法規的不同而不同,最高可達2000萬歐元。確保你可以證明合規。
“為了證明遵守本法規,控制者或加工者應保留其職責下的加工活動記錄。”(GDPR第82條)
所以你會怎麼做?
我很想告訴你,你可以使用一種簡單的工具或一套工具來簡單地遵守GDPR,但事實卻並非如此。就算這樣,Parasoft也可以為你提供很多幫助。首先,你可以將Java,C/C++和.NET靜態程式碼分析引擎與良好的安全性和隱私配置結合使用,以確保你的程式碼儘可能安全。你甚至可以配置它們以執行嚴格的編碼策略,例如預設情況下加密。
其次,你甚至可以在開發人員桌面的早期階段,使用服務虛擬化來驅動完整的端到端測試。能夠完全測試資料發生了什麼,而無需昂貴的測試實驗室,這使得合規變得更加容易,並且通過允許開發人員執行更深入的測試,你可以在更容易且更便宜的情況下發現問題。
總結
考慮到潛在的經濟處罰,這有點令人恐懼,從某種意義上講應該是這樣。但是總的來說,除非你的業務模型基於跟蹤使用者並出售他們的資料,否則實際上並不是那麼可怕。如果你擁有典型的業務模型並擁有客戶資料和銷售量,那麼你會發現合規性並不是一件令人頭疼的事,並且在資料洩露頻率不斷增加的情況下,還可以使整個系統更加安全。我們需要做的就是,制定正確的策略,進行綜合、全面的測試,並通過強大的靜態程式碼分析確保你的資料隱私。