文档介绍:欧盟《通用数据保护条例》合规指南E安全E安全5月29日讯欧盟《通用数据保护条列》(简称GDPR)于2018年5月25日正式生效。英国一份政府调研显示,只有38%的英国公司在GDPR生效前100天才开始关注该条例,许多美国公司也一样。按照GDPR的规定,企业违规可能会面临高达2000万欧元()或企业全球年收入的4%的罚款(取两者中最高的)。除了高额罚款,欧盟数据保护机构(DPA)可在必要时采取纠正处罚,例如禁止处理数据,并对常见的数据处理活动实施临时/确定性限制。因此,想要在欧洲市场立足的企业除了努力满足合规外别无他法。满足GDPR的要求,企业到底需要重点了解哪些信息?不少组织发现保障合规性远比预期的要复杂。市场调查公司PropellerInsights的一项调查显示,52%的受访企业认为将面临违规罚款。不过,只要小型企业在实施GDPR最佳实践方面做出显而易见实际努力,监管机构就可能会"宽大处理"。不过,尽管如此,仍免不了高额罚款。因此,满足GDPR的合规性可谓任重道远。一、数据控制者&数字处理者按照GDPR第4条的第(7)点和第(8)点,数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织,负责决定处理个人数据的目的和方式,不过具体标准应以欧盟或其成员国的法律予以规定;数字处理者指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。但是,有时难以确定某个实体到底属于数据控制者还是处理者。谷歌的复杂身份特例:当涉及包括AdMob、AdSense、AdWords、AdX和DFP在内的热门广告产品时,谷歌就是一个数据控制者;当涉及使用GoogleAnalytics、Googleattributionoffering、AdsDataHub和DoubleClickBidManager等工具的消费者时,谷歌则是数据处理者;对于使用谷歌广告产品的广告发布商而言,谷歌仍是其收集数据的共同控制者,但是这些发布商收集数据必须征得用户同意。二、个人数据及数据保护原则根据GDPR的定义,是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。GDPR拓宽了个人数据的范围。按照GDPR界定的范围,个人数据也包括数字指纹(例如IP地址和Cookie)。除此之外,基因或生物识别数据也包含在“敏感数据”的范畴之内。GDPR明确提到个人敏感数据应受到高度保护,这些数据包含:个人的种族和族裔出身、政治观点、宗教和哲学信仰、工会成员、基因数据、生物识别数据、健康数据、性生活或性取向信息以及犯罪记录信息。而医疗机构通常须满足更高标准的数据保护要求。按照GDPR第5条()的规定,个人数据必须:(a)以合法、公正、透明的方式处理与数据主体有关的(“合法性、公平性和透明性”);(b)为特定的、明确的、合法的目的收集,并且不符合以上目的不得以一定的方式进行进一步的处理;为公共利益、科学,或历史研究目的,或统计目的而进一步处理,按照第89条第(1)款,不应被视为不符合初始目的(“目的限制”);(c)充分、相关以及以该个人数据处理目的之必要为限度进行处理(“数据最小化”);(d)准确,必要,及时;为了个人数据被毫不延迟地处理、删除或修正的目的,必须采取一切合理的步骤确保个人数据是不精确的(“