贾斯普雷特·辛格(Jaspreet Singh)
根据2016年4月27日通过的新的《通用数据保护条例》(GDPR),数据保护和隐私受到关注并正在发生范式转变。它带来了更严格和规范性的数据保护合规性挑战,并受到高达全球年收入4%的罚款的支持。GDPR生效后,它将取代1995年以来的数据保护指令(正式指令95/46 / EC)。在经过两年的过渡期后,它将自2018年5月25日起执行。
GDPR适用于控制或处理欧盟公民数据的任何组织,无论地理位置如何。它规定了可以收集哪些数据,需要收集数据的明确同意,披露任何数据泄露的要求以及对无法保护其负责数据的实质性良好组织的强大权力。
关GDPR为在欧盟运营,定位客户或监控个人的企业引入了严格而全面的隐私框架。组织现在只有一年的时间来履行GDPR规定的一系列新义务,并实施合规计划以保护数据主体并避免严厉的执法处罚。
相关新闻GDPR体制的缓慢启动并不意味着未来会有轻松的迹象,英国立法者支持欧盟退出交易,在英国退欧危机上翻页TikTok面临数据泄露风险,公司保证在最新应用更新中修补用户问题借助GDPR,欧盟公民将获得对个人数据的更多控制权,因为组织将必须向欧盟公民提供有关其数据处理方式的清晰明确的信息,并且他们必须获得公民的明确同意才能进行处理。此外,任何向欧盟公民销售或提供产品或服务的组织都将受GDPR的约束。随着GDPR为数据主体赋予特权,例如被遗忘的权利,可移植的权利和对象剖析的权利,组织将必须确保它们遵守这些新要求。GDPR还强调需要任命一名数据保护官员,该官员将成为监管机构的唯一联系人,并且需要就GDPR提出建议并保持遵守。
GDPR不仅强调日常运营中的隐私要求,而且强调需要通过设计整合隐私。它提倡基于风险的方法,该方法允许组织根据对组织最重要的风险来定制其隐私保护程序。设计隐私权已成为一项崇高的要求,因为它将迫使组织将隐私权保护嵌入其业务的各个方面,而不是事后才考虑。根据此要求,将要求组织实施安全措施,以使最新技术与实施成本保持平衡,并反映个人权利和自由受到威胁的严重性和可能性。
GDPR还强调,应允许跨境传输数据到EC所确定的提供“足够”个人数据保护水平的国家。它要求组织在事件发生后72小时内报告数据泄露。最重要的是,违反GDPR基本处理原则的组织可能会被处以最高组织年度全球总收入的4%的罚款。
新规定的含义
GDPR对组织的影响可以简单地概括为:每个受影响的组织都需要立即对其与个人和敏感个人数据有关的组织数据策略进行重大的重新检查。需要计划制定GDPR中的特定要求,必须采用组织和技术方法来解决问题,并进一步加强保护政策。该法规使欧盟企业很难探索外包机会,并且条款可能会阻碍业务和用户体验的创新。
GDPR的另一个主要含义是,这些组织由于其总部不在某个成员国内,因此未受早期欧盟数据保护指令的约束。GDPR引入的新的公平竞争环境适用于世界各地所有控制或处理有关欧盟公民个人数据的公司。对于刚受到GDPR影响的组织,需要进行大量跟进。
拟议的法规将印度服务提供商直接置于欧盟专员的管辖之下。遵守该法规会给印度IT / BPO行业带来机会损失,因为它进一步降低了欧盟以外数据传输的门槛。遵守法规将大大增加服务提供商的合规成本。与美国等其他市场相比,为欧盟客户服务时,这些成本已经更高。
欧盟政策制定者认为,这项新法规不仅要保护信息,还要对合法用户进行身份验证。在低成本系统上进行大量通信的印度,端到端加密提供了一种防止滥用和确保安全性的解决方案。这将增加组织的技术实施成本。
欧盟新的安全要求非常复杂,需要不断监控。在这种情况下,公司需要意识到数据安全不仅是IT问题或合规性问题,而且是整个组织必须共同努力解决的重大问题。欧盟GDPR建立了一种机制,其中将数据的安全性作为前提,并且企业致力于数据保护。
(作者是安永网络安全合伙人Jaspreet Singh)
这里表达的观点是个人观点。