首页 > 其他分享 >GDPR 学习笔记

GDPR 学习笔记

时间:2024-09-04 11:52:27浏览次数:9  
标签:欧盟 笔记 控制者 学习 处理 数据保护 数据 GDPR

一、前言

1、以GDPR为代表的监管条例

GDPR(《通用数据保护条例》)于2018年5月25日生效,取代了欧盟的《数据保护指令》(DPD,95指令,1995年颁布),对欧盟所有成员国发生直接、统一、首要的效力。

除GDPR之外,其他法规对欧盟制度下的企业也很重要。如,适用于电子通信行业中个人数据处理的《电子隐私条例》(e-Privacy Regulation),又如适用于刑事执法机关出于执法目的而处理个人数据的《数据保护执法指令》(Law Enforcement Directive)。

二、要点

几个角色:数据主体、数据控制者、数据处理者、数据联合处理者、监管,要点围绕几个角色来展开。

1、范围

1)欧盟覆盖的国家和区域

GDPR覆盖欧盟的28个成员国(包括奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、英国),和 直接管辖区域(冰岛、挪威、列支敦士登)。

这些国家构成了欧洲经济区(EEA),在这个区域内的组织都需要遵守GDPR的规定。

2)管辖范围(属地+属人)

只要在欧盟成员国境内设立的公司,必须保护欧盟成员国居民的个人隐私信息,此为属地原则。

此外,即使公司不在欧盟境内设立,但有涉及接触欧盟成员国居民的个人隐私信息,也必须遵守GDPR,此为属人原则。

Q:中国境内的欧盟个人数据管不管?
A:GDPR 不适用于欧盟国家公民在欧盟范围外接受服务时提供自己的个人信息的情况,只要这些信息的采集和处理过程均是在欧盟境外完成。在下面的案例中,服务提供者并不需要将 GDPR 作为其处理欧盟国家境外持有者的个人信息的准则,而只需要遵守服务提供地的法律。
例如,一个推销北京餐厅的中文版手机 APP,可以让身处北京的法国人通过其预定餐厅或者获得优惠,无需遵守 GDPR 的要求收集、使用或处理该法国人的数据。
值得注意的是,如果存储了中国境内的欧盟个人数据是企业通过提供面向欧盟的服务而在线收集而来,则 GDPR 对其适用。例如,该 App 有法语版本、支持欧盟相关区域的支付,并在法国宣传其可为法国游客在中国旅行提供服务,则该法国用户的数据受 GDPR 管辖。

2、原则

  • “合法、公正和透明”
  • “目的限制”
  • “ 数据最小化”
  • “准确性”
  • “限期存储”
  • “数据完备和保密”
  • “可问责性”

作为原则性条款,几乎涵盖了GDPR其他条款中的细化规定。

3、数据处理角色

数据控制者:能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。

数据处理者:是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。

数据接受者:只是接收到被传递的个人数据的主体,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据,不得视为“数据接受者”。

区分和《个人信息保护法》中的数据处理角色的异同。

4、数据处理者的职责

1)组织建设

  • 欧盟境内设立代理人角色(企业注册地不在欧盟但处理欧盟境内人员信息的场景);
  • DPO,设立数据保护官角色

2)PBD 理念,“数据保护设计与默认”

GDPR在第25条中明确提到了“数据保护设计与默认”(Data Protection by Design and by Default),这一要求与“Privacy by Design”的理念紧密相关。GDPR规定,数据控制者应在设计数据处理活动时,采取适当的技术和组织措施,确保数据保护原则在整个数据处理过程中得到落实。

3)DPIA风险评估

当数据处理可能对个人权利和自由带来高风险时,数据控制者必须进行数据保护影响评估(DPIA),以识别和减轻这些风险。

  • 评估的必要性

DPIA是强制性的,特别是在处理可能导致高风险的个人数据时。例如,大规模处理敏感数据、系统化的监控、或使用新技术进行处理等情况下,DPIA是必要的。

  • 内容要求

处理活动的描述:DPIA应包括对处理活动的详细描述,包括处理的性质、范围、上下文和目的。

风险评估:评估该处理对个人数据的隐私风险,包括对数据主体权利和自由的潜在影响。

风险管理措施:详细说明为应对这些风险所采取的安全措施和控制措施,以确保数据保护和合规性。

4)数据跨境(传输到第三国和国际组织)

欧盟国家之间的数据传播,不算数据跨境,各成员国间遵循GDPR要求(如:合法性原则、数据最小化、透明性和告知义务、数据安全保护措施、数据主体权利等)。

1. 充分性决定(Adequacy Decisions)又称“GDPR白名单”

欧盟委员会会评估数据接收国是否提供足够的数据保护水平。如果一个国家(白名单中的国家和区域)被认为的数据保护措施与欧盟标准相当,就会被授予“充分性决定”。

举个例子:
如果你要将个人数据传输到一个被欧盟认可的国家,比如日本,那么你不需要采取额外的保护措施,因为该国的数据保护水平已经被认可。

GDPR白名单:
安道尔、阿根廷、加拿大(限于商业组织)、法罗群岛、以色列、日本、新西兰、瑞士、乌拉圭、韩国、英国(在英国脱欧后,欧盟仍然给予了英国充分性决定)、美国(限于“隐私盾框架”,但请注意这一框架已被欧洲法院于2020年7月宣布无效,目前新的框架讨论中)

2. 适当的保护措施(Appropriate Safeguards)

当没有充分性决定时怎么办?
如果目标国家没有被认定为“充分”,你需要采取额外的措施来保护数据。这些措施被称为“适当的保护措施”。

常见的适当保护措施包括:

  • 标准合同条款(Standard Contractual Clauses, SCCs): 这些是由欧盟委员会批准的合同条款,确保接收数据的国家也能提供足够的数据保护。
  • 约束性公司规则(Binding Corporate Rules, BCRs): 适用于跨国公司内部的数据传输,确保集团内所有子公司在数据传输时遵守相同的保护标准。
  • 认证机制或代码(Codes of Conduct): 遵守特定行业标准或获得相关认证,证明你有足够的数据保护措施。

3. 特定情况的例外(Derogations for Specific Situations)

在某些情况下,即使没有充分性决定或适当保护措施,也可以传输数据。这些例外情况包括:

  • 数据主体的明确同意: 个人明确同意将数据传输到特定国家。
  • 合同的需要: 为了履行与个人签订的合同,必须传输数据。
  • 重要的公共利益: 传输数据是为了保护公共利益,如公共卫生或安全。
  • 法律声明: 为了应对法律程序或要求。

4. 传输到国际组织

什么是国际组织?
国际组织(International Organization)通常指像联合国(UN)、欧盟(EU)、国际货币基金组织(IMF)、世界银行(World Bank)等。它们由多个国家组成,负责跨国界的政策制定、监督和协调工作。

类似于传输到第三国,必须确保数据接收方能够提供足够的数据保护。

5.转移后监管

确保数据传输后,接收方继续遵守保护措施。即使采取了适当的保护措施,数据控制者还需要监控接收方是否仍然遵守这些保护措施。

6. 数据控制者的责任

确保合规: 数据控制者(即决定如何处理数据的组织)必须确保所有跨境传输符合GDPR规定。

记录和文件: 必须记录所有数据传输活动,并保持相关的合规证明。

评估和更新: 随时评估传输目的地的法律环境,确保数据保护水平没有下降。

7. 用户的权利

告知义务: 必须向用户明确告知其数据将被传输到哪个国家,及该国的数据保护情况。

透明性: 确保用户了解他们的数据如何被保护。

5)事件披露职责(监管和数据主体)

发生数据泄露后,数据控制者需要在72H内报告EDPB、需要通知数据主体。

5、数据主体的权利

(信息采集和处理的规则对于数据主体来说)公开透明、(数据处理者)向数据主体提供信息(处理其信息时)、访问权、纠正权、删除权(被遗忘权)、限制处理权、纠正权、可移植权、拒绝权限;

  • 知情权
  • 访问权
  • 反对权
  • 可携带权:数据主体将自己的数据从一家服务商转移到另一家服务商;
  • 纠正权
  • 删除权/被遗忘权/擦除权:数据主体要求对个人数据的删除
  • 限制处理权
  • 免受数据画像影响

可携带、遗忘权 在实现时对于企业来说存在一定的实操性困难。

6、监管角色

欧盟各国家内有独立的监管机构,在面对跨境问题、跨国公司问题时,通过一致性机制来协调、共同决策。

1)监管机构

类比于国内网信办、工信部、四部委等监管机构,欧盟的机关单位有哪些呢?

  • 欧盟数据保护委员会(European Data Protection Board,EDPB):

是欧盟GDPR下的监管机构,负责监督和执行GDPR的规定,并有权对违反GDPR的组织进行罚款和其他制裁,由DPA和EDPS组成。

  • 欧盟数据保护专员(European Data Protection Supervisor,EDPS):

欧盟数据保护专员(EDPS)为EDPB常设秘书处,主要包括一名主管和助理主管,并由经验丰富的律师、IT专家和管理人员组成的办公室为其提供支持。

  • 欧盟各成员国本地数据保护机构(Data Protection Authority,DPA):

是各国设立的监管机构,负责监督和执行本国的GDPR规定,并有权对违反GDPR的组织进行罚款和其他制裁。

DPA是GDPR下最直接的执法实施机构,它们发布的指南更具地域性且更加精细化,EDPB主要是通过发布指导方针、建议和最佳操作等来协调不同DPA之间对于GDPR的一致性适用,而EDPS重点在于监督落实各欧盟机构内部对数据保护规则的适用并担任各欧盟机构的专家指导和特别顾问。

2)一站式服务机制

当数据控制者在欧盟多个成员国都设有营业机构时,应确立一个“主监督机构”担任该控制者的数据跨境处理行为的执法主体。

九、其他

1、和国内隐私App隐私合规的联动

国外似乎没有专门针对App隐私合规的制度,但有关于设备标识符的相关规定:

GDPR 在个人信息的定义中特别地包括了“在线活动识别符”这一概念,其包括与个人使用的设备、应用、工具及互联网协议等相关的信息。GDPR 序言第 30 条中对在线活动识别符进行了一个非常尽责的列举:

  • 互联网协议地址(IP 地址)
  • Cookie 识别符
  • 射频识别(RFID)标签等其他识别符

其他可能属于个人数据的在线活动识别符包括:

  • MAC 地址
  • 广告 ID
  • 像素标签
  • 设备指纹

对于上述在线活动识别符留下的痕迹,当与服务器所接收的特殊识别符或其他信息相结合后,可以用来对个人进行画像识别。

标签:欧盟,笔记,控制者,学习,处理,数据保护,数据,GDPR
From: https://www.cnblogs.com/ffx1/p/18396176

相关文章

  • prometheus学习笔记之服务发现
    一、prometheus的服务发现机制prometheus默认是采用pull方式拉取监控数据的,也就是定时去目标主机上抓取metrics数据,每一个被抓取的目标需要暴露一个HTTP接口,prometheus通过这个暴露的接口就可以获取到相应的指标数据,这种方式需要由目标服务决定采集的目标有哪些,通过......
  • AI产品经理学习:做AI产品经理的三年,聊聊我的心得
    本文目录:入局:AI风口下的职业判断磨砺:从项目中构建专业能力深潜:“三段式”AI产品经理成长路径践行:AI产品经理的能力“四象限”结语:对于未来的期盼1.引言从2021年校招加入京东开始,我一直从事AI产品经理的工作,有幸见证了AI行业的热情从一台台服务器烧到了全世界各......
  • 学习网络安全好就业吗?
    网络安全与我们息息相关,无论是企业还是个人都应该高度重视网络安全。而且网络安全是一个新兴行业,人才需求量远大于供给,因此在薪资上也具有很大的优势,相关培训机构也越来越多,那么网络安全培训完就能就业吗?具体请看下文。参加网络安全培训可以找到工作,因为培训机构在提供课......
  • 【万字文档+PPT+源码】基于springboot+vue高校学生评教系统-可用于毕设-课程设计-练手
    博主简介:......
  • Cobra CLI 学习笔记
    CobraCLI学习笔记简介Cobra是Go的CLI框架。它包含一个用于创建强大的现代CLI应用程序的库,以及一个用于快速生成基于Cobra的应用程序和命令文件的工具。官方文档:https://cobra.dev/安装goget-ugithub.com/spf13/cobra/cobraCobra常用参数解析varroot......
  • 同声传译哪个软件好?发现这5个学习好帮手
    暑假的时光悄然流逝,转眼间大一新生也将准备开学了。依照传统,开学之际,小译总会安利一些非常有价值的学习辅助工具。而在本期,特别想介绍给大家的是一系列同声传译翻译器。这些工具对于学生党来说具有极高的实用性,希望能够为你们的学习带来不小的便利。『第一.』同声传译王它......
  • 学习笔记:数论分块
    数论分块1.0可以快速计算一些含有除法向下取整的和式(形如$\sum_{i=1}^ng(i)\left\lfloor\frac{n}{i}\right\rfloor$)。2.0引理1:\(\left\lfloor\frac{n}{i}\right\rfloor\)的取值最多只有\(2\times\sqrtn\)种。证明:对于\(i\le\left\lfloor\sqrtn\rig......
  • LLM大模型基础知识学习总结
    大家好,我是Edison。在这个已经被大模型包围的时代,不了解一点大模型的基础知识和相关概念,可能出去聊天都接不上话。刚好近期我也一直在用GPT和GitHubCopilot,也刚好对这些基础知识很感兴趣,于是学习了一下,做了如下的整理总结,分享与你!一句话描述GPTGPT:GenerativePre-TrainingTra......
  • Java学习路径
    1.Java基础Java语法:变量、数据类型、控制结构(if、for、while等)面向对象编程:类、对象、继承、多态、接口异常处理:try-catch-finally,创建自定义异常集合框架:List、Set、Map等2.Java高级特性泛型:如何使用和创建泛型类和方法流(Streams)和Lambda表达式:处理集合和数据流多线......
  • 【深度学习】嘿马深度学习笔记第7篇:卷积神经网络,学习目标【附代码文档】
    本教程的知识点为:深度学习介绍1.1深度学习与机器学习的区别TensorFlow介绍2.4张量2.4.1张量(Tensor)2.4.1.1张量的类型TensorFlow介绍1.2神经网络基础1.2.1Logistic回归1.2.1.1Logistic回归TensorFlow介绍总结每日作业神经网络与tf.keras1.3神经网络基础......