關於GDPR,你需要了解的的5件事
GDPR要求組織確保對用戶數據進行良好的保護,而不是濫用,使用戶獲得知情同意,並且違規行為將受到巨額罰款。
歐盟通用數據保護條例(GDPR)於2018年5月25日開始執行。然而直到如今,還是有不少人對GDPR一無所知,更遑論清楚認識到GDPR對組織或者個人有哪些影響。那麼,GDPR是什麼,它適用於誰?如果你違反其規定,會有什麼後果?
你可以閱讀官方規定並嘗試理解其含義,但這都挺「玄幻」,因為裏面滿是這樣的小金句:
「一組企業應涵蓋一個控制企業及其受控企業,其中控制企業應是可以對其他企業產生主要影響的企業」(GDPR第37條)
……對於這些大概念,我想你是無能為力的!
因此,我認為應該將其分解,至少可以從軟件角度來看,並查看你應該了解的關鍵問題會有所幫助。如果你發現它會影響你,那麼你肯定會更深入。GDPR最終將觸及你組織的許多部門,你肯定希望自己能夠做到正確無誤。
GDPR要求組織確保對用戶數據進行良好的保護,而不是濫用,使用戶獲得知情同意,並且違規行為將受到巨額罰款。有關更多信息,請繼續閱讀。
什麼是GDPR?
GDPR旨在保護公民數據。這意味着保護對數據的訪問,不存儲不需要的數據,加密個人數據,並在可能時對數據進行匿名處理。換句話說,可以採取所有步驟來限制數據泄露的可能性以及發生泄露時的影響。此外,隱私包括未經授權使用數據,例如未經用戶同意就跟蹤用戶,以及未經明確同意而對數據進行任何其他使用。
GDPR從其網站本身「旨在協調整個歐洲的數據隱私法,以保護和授權所有歐盟公民的數據隱私,並重塑整個地區的組織處理數據隱私的方式。」
GDPR還考慮了歐盟普遍的「被遺忘權」,這意味着在這種情況下,如果有人希望從系統中刪除其數據,則必須在合理的時間內完成。此外,報告要求很嚴格。
讓我們看一下下面的5個主要問題。
1、誰需要遵守GDPR法規?
當然,歐盟的公司需要遵循GDPR,但事實證明,即使你位於其他地方,如果你在歐盟有客戶,那麼你也要遵守GDPR。
如果你不存儲任何個人信息,那就不會受約束,但是擁有歐盟個人數據的任何人都必須遵守準則。如果你在歐盟有僱員,情況也是如此。
如果你共享用戶數據或從其他地方獲取用戶數據,有時會有些棘手。如果有人行使被遺忘的權利,則你必須追逐所有這些份額並在各處擦除數據。因此,即使你從要移交歐盟個人數據的其他人那裡獲取數據,也要遵守該準則。
2、同意和透明
GDPR指出,用戶必須同意收集有關他們的任何數據,並且該同意是基於「明確的肯定性行為」。明確和肯定的意思是用戶必須執行一項操作才能選擇接受,而不是通常的「除非選擇退出,否則你就進入」方法。
「為了獲得知情同意,數據主體至少應了解控制者的身份以及打算使用個人數據的處理目的。」(GDPR第42條)
在網絡上,一個很好的例子是一個註冊表單,該表單通知你將要收集數據,它是什麼數據,將如何使用它,以後如何選擇退出(或被遺忘)以及然後用戶必須做一些同意的事情,例如單擊一個複選框。預選框的日期不再適用——GDPR特別禁止此類當前典型的方法:
「因此,默認、預選框或棄權都不構成同意。」(GDPR第32條)。
數據的使用必須具有與收集數據的原因有關的某些目的,並且必須向用戶解釋:
「對於自然人而言,收集、使用、諮詢或以其他方式處理與他們有關的個人數據以及在多大程度上將或將要處理這些個人數據,應該對自然人透明」(GDPR第39條)
3、控制個人數據
歐盟公民被授予對他們的個人數據的完全控制權,包括訪問、轉移、更正和被遺忘的權利,包括「請求並免費獲得,尤其是個人數據和行使異議權的獲得、糾正和清除或刪除的機制。」(GDPR第59條)
數據訪問權基於GDPR第63條,「數據主體應有權訪問個人數據」,而數據更正的權利則是GDPR第65條,「數據主體應具有有權對有關他或她的個人數據進行糾正。」下次與信用報告代理機構競爭時,請考慮一下,希望將其應用於你自己的數據。
GDPR進一步確保沒有供應商鎖定用戶數據。還列舉了傳輸數據的權利:
「還應允許數據主體以結構化、常用、機器可讀和可互操作的格式接收他或她提供給控制器的有關他或她的個人數據,並將其傳輸給另一個控制器。」(GDPR第68條)
這意味着你可以以合理的數字形式從供應商處獲取數據,以便將其移至其他提供商。
被遺忘的權利擴展到與之共享數據的組織:
「刪除權也應以如下方式擴展:已公開個人數據的控制人應有義務告知正在處理此類個人數據的控制人,以消除與這些個人數據的任何鏈接或複製或複製。」(GDPR第66條)
換句話說,擦除必須級聯。
如果你從另一個組織獲得有關某人的數據並打算使用和/或存儲該數據,則必須通知該人——以便他們可以在知情的情況下同意(請參閱GDPR第60,61條)。如果你決定以原始同意書中未包含的方式使用數據,也是如此。
「如果控制器打算出於收集目的以外的目的處理個人數據,則控制器應在進一步處理之前向數據主體提供有關該其他目的的信息和其他必要信息。」(GDPR第61條)
並注意諸如貸款申請之類的全自動算法:
「數據主體應有權不受任何決定,其中可能包括一項措施,評估與他或她有關的個人方面,這完全基於自動處理,並且會產生有關他或她的法律效力或類似的重大影響。他或她,例如在沒有任何人工干預的情況下自動拒絕在線信用申請或電子招聘做法」(GDPR第71條)
如果你使用的是全自動算法來做出決策,那麼這可以使你不寒而慄。
4、數據保護–管理和防禦
掌握某人的數據後,你需要適當地管理和保護它。真正的關鍵是所謂的「個人身份信息」(PII)。 PII具有非常寬泛的定義,例如cookie IE,可直接或間接標識包括IP地址的個人。如果你要進行任何類型的網絡分析,那麼你正在收集PII,並且需要確保你所做的工作符合GDPR。
在GDPR中處理PII的關鍵方面之一是設計安全的概念。該法規規定:
「控制者應採取內部策略並實施措施,這些措施尤其要符合通過設計保護數據和默認保護數據的原則。」(GDPR第78條)
設計安全性方法是一種說法,你不能簡單地在應用程序中測試安全性和數據保護。你需要首先將應用程序設計為安全的,而不是構建一些代碼並嘗試對其進行紅隊測試,因此,諸如加密之類的事情是僅在批准的異常情況下才默認關閉的事情。通過設計確保安全也意味着要認真對待靜態代碼分析,重點是軟件工程標準和「預防性」靜態分析規則。
而且,如果你要收集與健康相關的數據,則需要格外小心以確保其安全(請參閱GDPR第53條),儘管某些特定類型的研究是關於健康而不是營銷機會的某些規定(請參見GDPR第54條)。
數據保留是收集和存儲PII時的另一個重要問題。這裡的主要原理是保留不再需要的數據:
「……有權刪除不再需要其個人數據的個人數據」(GDPR第65條)。
換句話說,僅用於臨時目的(例如完成交易)的數據應僅存在所需的時間量。之後,你應該清除數據,而不是為了方便起見或將來進行分析而存儲數據。
重要的是要表明你實際上還需要收集數據:
「數據主體在收集個人數據的時間和範圍內可以合理地預期為此目的可能會進行處理」(GDPR第47條)
之後,你不能僅將數據用於其他用途,除非其他內容與數據的原始用途和/或處理(分析)數據有關。
「只有在處理與最初收集個人數據的目的兼容的情況下,才應允許出於最初收集個人數據的目的之外的目的處理個人數據。」(GDPR第50條)
5、違反該怎麼辦?
違反會產生罰款。歐盟可以每天對持續違規的行為處以罰款。罰款額可以基於上級組織的收入,因此可能比你想像的要大。罰款根據違反法規的不同而不同,最高可達2000萬歐元。確保你可以證明合規。
「為了證明遵守本法規,控制者或加工者應保留其職責下的加工活動記錄。」(GDPR第82條)
所以你會怎麼做?
我很想告訴你,你可以使用一種簡單的工具或一套工具來簡單地遵守GDPR,但事實卻並非如此。就算這樣,Parasoft也可以為你提供很多幫助。首先,你可以將Java,C/C++和.NET靜態代碼分析引擎與良好的安全性和隱私配置結合使用,以確保你的代碼儘可能安全。你甚至可以配置它們以執行嚴格的編碼策略,例如默認情況下加密。
其次,你甚至可以在開發人員桌面的早期階段,使用服務虛擬化來驅動完整的端到端測試。能夠完全測試數據發生了什麼,而無需昂貴的測試實驗室,這使得合規變得更加容易,並且通過允許開發人員執行更深入的測試,你可以在更容易且更便宜的情況下發現問題。
總結
考慮到潛在的經濟處罰,這有點令人恐懼,從某種意義上講應該是這樣。但是總的來說,除非你的業務模型基於跟蹤用戶並出售他們的數據,否則實際上並不是那麼可怕。如果你擁有典型的業務模型並擁有客戶數據和銷售量,那麼你會發現合規性並不是一件令人頭疼的事,並且在數據泄露頻率不斷增加的情況下,還可以使整個系統更加安全。我們需要做的就是,制定正確的策略,進行綜合、全面的測試,並通過強大的靜態代碼分析確保你的數據隱私。
