如何实施《通用数据保护条例》(GDPR)
2024 年 2 月 23 日
阅读时长 10 分钟

《通用数据保护条例》 (GDPR) 是欧盟具有里程碑意义的数据隐私法,于 2018 年生效。然而,许多组织仍在努力满足合规要求,欧盟数据保护机构会毫不犹豫地实施处罚。

即使是全球最大企业,也无法摆脱 GDPR 的困扰。2023 年,爱尔兰监管机构对 Meta 处以 12 亿欧元的罚款(ibm.com 外部链接)。意大利当局正在调查 OpenAI(ibm.com 外部链接)涉嫌违规行为,甚至短暂禁止了 ChatGPT。

许多企业发现很难执行 GDPR 的要求,因为法律不仅复杂,而且留有很大的自由裁量权。GDPR 为欧洲境内和境外的组织如何处理欧盟居民的个人数据制定了一长串规则。不过,它在企业如何实施这些规则方面给予了一定的回旋余地。

任何组织完全符合 GDPR 的计划的详细信息都会根据组织收集的数据及其对这些数据的处理方式而有所不同。尽管如此,在实施 GDPR 时,有一些核心步骤是所有公司都可以采取的:

  • 清点个人数据
  • 识别和保护特殊类别数据
  • 审计数据处理活动
  • 更新用户同意书
  • 创建记录保存系统
  • 指定合规主管
  • 起草数据隐私政策
  • 确保第三方合作伙伴合规
  • 制定数据保护影响评估流程
  • 实施数据泄露响应计划
  • 帮助数据主体轻松行使权利
  • 部署信息安全措施
是否需要实施 GDPR?

GDPR 适用于处理欧洲居民的个人数据的的任何组织,无论该组织位于何处。鉴于数字经济的互联互通和国际化特性,它涵盖了当今的许多企业,甚至大多数企业。即使不属于 GDPR 管辖范围的组织也可采用其要求来加强数据保护。

更具体地说,GDPR 适用于位于欧洲经济区 (EEA) 的所有数据控制者和处理者。EEA 包括全部 27 个欧盟成员国以及冰岛、列支敦士登和挪威。

数据控制者是指收集个人数据并确定其使用方式的任何组织、团体或个人。例如,一家存储客户的电子邮件地址以发送订单更新的在线零售商。

数据处理者是指进行数据处理活动的任何组织或团体。GDPR 将“处理”广义地定义为对数据执行的任何操作:存储、分析、修改等。处理者包括代表控制者处理个人数据的第三方,例如,分析用户数据以帮助企业了解关键客户人口统计数据的营销公司。

GDPR 也适用于位于欧洲经济区以外的控制者和处理者,前提是至少满足以下条件之一:

  • 公司定期向欧洲经济区居民提供商品和服务,即使没有资金易手。
  • 公司定期监控欧洲经济区居民的活动,例如使用跟踪 Cookie。
  • 公司代表欧洲经济区的控制者处理个人数据。
  • 公司在欧洲经济区有员工。

关于 GDPR 的范围,还有一些事项值得注意。首先,它只涉及自然人的个人数据,在 GDPR 术语中称为数据主体自然人是指活着的人。GDPR 不保护法人(如公司)或已故者的数据。

其次,即使不是欧盟公民,也会受到 GDPR 保护。只要是欧洲经济区 (EEA) 的正式居民,就能受到保护。

最后,GDPR 适用于出于商业、学术、政府和其他几乎任何原因对个人数据的处理。企业、医院、学校和公共机构都要遵守 GDPR。只有国家安全和执法活动以及纯粹的个人数据使用才不受 GDPR 的限制。

GDPR 实施步骤

虽然不存在一个放之四海而皆准的 GDPR 合规计划,但各组织可以使用一些基础实践来指导 GDPR 实施工作。

有关 GDPR 主要要求的列表,请参阅 GDPR 合规清单

清点个人数据

虽然 GDPR 没有明确要求数据清单,但许多组织从此处着手有两个原因。首先,了解企业拥有哪些数据及其处理方式有助于组织更好地理解其合规负担。例如,收集用户健康数据的企业比仅收集电子邮件地址的企业需要更多保护。

其次,全面的清单可以更轻松地满足用户共享、更新或删除其数据的请求。

数据清单可以记录以下细节:

  • 收集的数据类型(用户名、浏览数据)
  • 数据总体(客户、员工、学生)
  • 如何收集数据(事件注册、登录页面)
  • 数据存储位置(内部服务器、云服务)
  • 收集数据的目的(营销活动、行为分析)
  • 如何处理数据(自动评分、汇总)
  • 谁有权访问数据(员工、供应商)
  • 现有保护措施(加密多重身份验证

追踪分散在整个组织网络中的各种工作流程、数据库、端点甚至影子 IT 资产中的个人数据很难。为了使数据清单更易于管理,组织可以考虑使用能够自动发现数据并进行分类的数据保护解决方案。

了解 IBM® Guardium Data Protection 如何自动发现、分类和保护主要存储库(如 AWS、DBaaS 和本地大型机)中的敏感数据。

识别和保护特殊类别数据

清点数据时,组织应记下任何需要额外保护的特别敏感的数据。GDPR 特别要求增加对三种数据的预防措施:特殊类别数据、犯罪记录数据和儿童数据。

  • 特殊类别数据包括生物识别、健康记录、种族、民族和其他高度个人化的信息。各组织通常需要得到用户的明确同意后才能处理特殊类别数据。
  • 犯罪记录数据只能由官方当局控制,并按其指示进行处理。
  • 未经父母同意,不得处理儿童数据,各组织需要建立机制,核实数据主体的年龄及其父母的身份。每个 EEA 国家都根据 GDPR 设定自己关于“儿童”的定义。年龄限制从 13 岁以下改为 16 岁以下。各公司必须做好准备以遵守这些不同的定义。

审计数据处理活动

在数据清点过程中,各组织会记录数据经过的任何处理操作。然后,各组织必须确保这些操作符合 GDPR 处理规则。一些最重要的 GDPR 原则包括:

  • 所有处理都必须有既定的法律依据:仅当组织按照经批准的法律依据进行数据处理时,数据处理才是可接受的。常见的法律依据包括获得用户同意、处理数据以执行与用户的合同以及为公共利益处理数据。各组织必须在开始之前记录每个处理操作的法律依据。

有关批准的法律依据的完整列表,请参阅 GDPR 合规性页面

  • 目的限制:应收集数据并用于明确规定的目的。
  • 数据最小化:各组织应收集其指定目的所需的最少量数据。
  • 准确性:各组织应确保他们收集的数据正确且最新。
  • 存储限制:各组织应在数据目的实现后立即安全地处置数据。

有关 GDPR 处理原则的完整列表,请参阅 GDPR 合规性清单

更新用户同意书

用户同意是进行处理时的常见法律依据。但是,根据 GDPR,只有在知情、确认且自由提供的情况下同意才有效。各组织可能需要更新同意书以满足这些要求。

  • 为确保在知情条件下同意,各组织应明确解释他们收集的内容以及在数据收集时如何使用这些数据。
  • 为确保同意是肯定的,组织应该采用“选择加入”的方法,即用户必须主动勾选一个方框或签署一份声明来表示同意。同意书也不能捆绑。用户必须单独同意每项处理活动。
  • 为确保在自愿条件下同意,各组织只能对一项服务真正不可或缺的数据处理活动要求同意。换句话说,企业不能强迫用户为了购买 T 恤而透露政治观点。用户必须能够随时撤销同意。

创建记录保存系统

定期处理数据或处理高风险数据的员工人数超过 250 名的组织以及任何规模的公司,必须保留这些处理活动的书面电子记录。

但是,所有组织可能都希望保留此类记录。这不仅有助于跟踪隐私和安全工作,而且还可以在审计或违规时证明合规性。如果公司能够证明自己已尽最大努力遵守规定,则可以减轻或避免处罚。

数据控制者可能希望保留特别稳健的记录,因为 GDPR 要求他们对其合作伙伴和供应商的合规性负责。

指定 GDPR 合规主管

定期处理特殊类别数据或大规模监控主体的所有公共机构和任何组织都必须任命一名数据保护官 (DPO)。DPO 是负责 GDPR 合规的独立公司官员。常见职责包括监督风险评估、对员工进行数据保护原则培训,以及与政府机构合作。

虽然只有部分组织需要任命 DPO,但所有组织都可能要考虑这样做。拥有指定的 GDPR 合规主管有助于简化实施。

DPO 可以是企业的员工或按合同提供服务的外部顾问。DPO 必须直接向最高管理层报告。公司不能对履行职责的 DPO 进行报复。

对于 EEA 以外的组织,如果需要定期处理 EEA 居民的数据或处理高度敏感的数据,则必须在 EEA 内指定一名代表。欧洲经济区代表的主要职责是在调查期间代表公司与数据保护机构进行协调。该代表可以是雇员、附属公司或受雇服务机构。

DPO 和 EEA 代表是不同的角色,具有不同的职责。值得注意的是,该代表按照组织的指示行事,而 DPO 必须是独立官员。一个组织不能任命一方(ibm.com 外部链接)同时担任 DPO 和 EEA 代表。

如果一个组织在多个 EEA 国家运营,则必须确定一个主要监管机构。主要监管机构是主要的数据保护机构 (DPA),负责监督该公司在整个欧洲的 GDPR 合规性。

通常,主要监管机构是相应组织总部所在国或开展核心处理活动的成员国的 DPA。

起草数据隐私政策

GDPR 要求各组织让人们了解他们使用数据的方式。公司可以通过起草明确描述其处理操作的隐私政策来满足这一要求,包括公司收集的内容、保留和删除政策、用户权利以及其他相关详细信息。

隐私政策应使用任何人都能理解的通俗易懂的语言。将重要信息隐藏在密集术语后面可能会违反 GDPR。各组织可以通过在数据收集时共享隐私声明来确保用户看到他们的策略。各组织还可以在他们的网站上易于查找的公共页面上发布自己的隐私政策。

确保第三方合作伙伴合规

控制者对他们收集的个人数据负有最终责任,包括其处理者、供应商和其他第三方如何使用这些数据。如果合作伙伴不合规,控制者可能会受到处罚。

各组织应审查他们与有权访问其数据的任何第三方签订的合同。这些合同应以具有法律约束力的方式,明确规定各方在 GDPR 下的权利和责任。

如果组织与 EEA 以外的处理者合作,这些处理者仍然需要满足 GDPR 要求。事实上,在 EEA 之外传输数据需要遵守严格标准。只有在满足以下条件之一的情况下,EEA 中的控制者才能与 EEA 以外的处理者共享数据:

  • 欧盟委员会认为相应国家的隐私法已足够
  • 欧盟委员会认为处理者具有足够的数据保护
  • 控制者已采取措施确保数据受到保护

确保所有合作关系和数据传输都符合 GDPR 的一种方法是使用标准合同条款。这些预先编写的条款已由欧盟委员会预先批准,免费提供给任何组织使用。将这些条款插入合同即可使其符合 GDPR 要求,前提是各方均遵守这些条款。有关标准合同条款的更多信息,请参阅欧盟委员会网站(ibm.com 外部链接)。

制定数据保护影响评估流程

GDPR 要求各组织在任何高风险处理之前进行数据保护影响评估 (DPIA)。虽然 GDPR 提供了一些示例(使用新技术、大规模处理敏感数据),但并未详尽列出所有高风险活动。

为了安全起见,各组织可以考虑在任何新的处理操作之前执行 DPIA。其他组织可能会使用简化的预筛选来确定风险是否高到需要执行 DPIA。

DPIA 必须至少描述处理过程及其目的,评估处理过程的必要性,评估数据主体的风险,并确定缓解措施。如果缓解后风险仍然很高,各组织必须在继续之前咨询数据保护机构。

了解 IBM® Guardium Insights 如何通过 GDPR、CCPA 和其他主要法规的预配置工作流程来帮助简化合规报告。

实施数据泄露响应计划

各组织必须在 72 小时内向监管机构报告大多数个人数据泄露。如果泄漏行为对数据主体构成风险,例如身份盗窃,公司还必须通知数据主体。必须将通知直接发送给受害者,除非这样做不可行。在这种情况下,公告就足够了。

各组织需要有效的事件响应计划,以便迅速识别正在发生的泄漏行为、消除威胁并通知当局。事件响应计划应包括恢复系统和恢复信息安全的工具和策略。组织越快重新获得控制权,遭受严重监管行动的可能性就越低。

各组织还可以借此机会加强数据安全措施。如果泄漏行为不太可能对用户造成伤害(例如,如果被盗数据经过严格加密,黑客无法使用),则公司无需通知数据主体。这有助于避免数据泄露带来的声誉和收入损失。

帮助数据主体轻松行使权利

GDPR 赋予数据主体更改各组织使用其数据的方式的权利。例如,更正权允许用户更正不准确或过时的数据。删除权允许用户删除其数据。

一般来说,各组织必须在 30 天内满足数据主体的要求。为了使请求更易于管理,各组织可以建立自助服务门户,数据主体可以在其中访问他们的数据、进行更改并限制其使用。门户应包括验证数据主体身份的方法。GDPR 要求各组织负责核实请求者是否具有他们声称的身份。

自动化决策和分析

数据主体在自动处理方面拥有特殊权利。具体来说,未经用户同意,各组织不能通过自动方式做出重大决定。用户有权对自动做出的决定提出异议,并要求人工审核该决定。

各组织可以使用自助服务门户为数据主体提供一种对自动化决定提出异议的方法。公司还必须做好根据需要任命人工审核员的准备。

数据可移植性

数据主体有权将其数据传输到他们想要的任何位置,并且各组织必须为这些传输提供便利。

除了使用户能够轻松请求传输之外,各组织还应以可共享的格式存储数据。使用专有格式会给传输带来困难,并妨碍用户的权利。

有关数据主体权利的完整列表,请参阅 GDPR 合规性页面

部署信息安全措施

GDPR 要求各组织使用合理的数据保护措施来关闭系统漏洞,并防止未经授权的访问或非法使用。GDPR 没有强制要求采取具体措施,但确实规定各组织需要进行技术和组织控制。

技术安全控制包括软件、硬件和其他技术工具,如 SIEM数据丢失防护解决方案。GDPR 大力鼓励加密和假名化,因此,各组织可能希望特别实施这些控制措施。

组织层面措施包括对员工进行 GDPR 规则培训并实施正式的数据治理政策等流程。

GDPR 还指导公司通过设计并在默认情况下采用数据保护原则。“通过设计”意味着,公司应从一开始就将数据隐私构建到系统和流程中。“默认情况下”意味着,任何系统的默认设置都应该是维护最多用户隐私的设置。

了解 IBM 数据安全和保护解决方案如何保护混合云中的数据并简化合规性要求。

为什么遵守 GDPR 很重要

任何想要在欧洲经济区 (EEA) 运营的组织都必须遵守 GPDR。不遵守规定可能会带来严重后果。最严重的违规行为可能会导致高达 2000 万欧元的罚款或相关组织上一年全球收入的 4%(以较高者为准)。

数据合规不仅仅意味着避免后果。它也有好处。除了遵守 GDPR 可让组织进入全球最大市场之一这一事实之外,GDPR 原则还可以显著加强数据安全措施。各组织可以在数据泄露发生之前阻止更多数据泄露,从而避免每次泄露平均 445 万美元的成本

遵守 GDPR 还可以提升企业声誉并与消费者建立信任。人们通常更愿意与那些能够有效保护客户数据(ibm.com 外部链接)的组织做生意。

GDPR 启发其他地区也制定了类似的数据保护法,包括《加州消费者隐私法案》和印度的《数字个人数据保护法案》。GDPR 通常被认为是其中最严格的法律之一,因此,遵守它意味着组织同时遵守其他法规。

最后,如果公司确实违反了 GDPR,展示一定程度的合规性有助于减轻相关影响。监管机构在确定处罚时会权衡现有网络安全控制措施以及与监管机构的合作等因素。

 
作者
Matt Kosinski Writer