GDPR法案解读版本资料.pdfVIP

GDPR 法案解读 法案执行 1. 生效时间：2016 年4 月14 日，欧洲议会投票通过了商讨四年的《一般数据保护法》 (General Data Protection Regulation，以下简称GDPR) 。该法案将于2018 年5 月25 日正式生效。 2. 违规处理：违规处罚罚款为2230 万美元或者处罚前一个财年全球收入的4% ，以较 高者为准。 3. 范围规定：GDPR 第三条地域范围规定，“本法适用于设立在欧盟内的控制者或者 处理者对个人数据的处理，无论其处理行为是否发生在欧盟内”，“本法适用于对欧 盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内”。通俗 的来讲就是，不论企业在不在欧盟，只要在欧盟进行“数据支付对价”，“数据监控” 就受GDPR 限制。 4. 非强制准入认证，但违反了必须接受惩罚 数据定义 “个人数据”是指任何指向一个已识别或可识别的自然人（“数据主体”）的信 息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号 码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物 理、生理、遗传、心理、经济、文化或社会身份的要素。 例如：已识别自然人包括：指纹，虹膜。 可识别自然人包括：生活状态，使用习惯，购买力，MAC 地址，IP，车牌号 对数据的核心要求 1. 个人数据的非必要使用 2. 个人对数据使用的知情同意 3. 个人对数据的修改和移动的权力 4. 个人对数据的删除权 （服务器数据必须永久消失） 数据安全要求 1. 数据的保护 2. 数据传输流的加密 3. 非必要的设计和功能 4. 隐私设计和问题 （默认的功能设计，不得随意要求权限） GDPR 包括数据泄露通知要求。如果有危害人身的风险，数据违规将会受到监督机构的 通知，限72 小时内改正。受影响的数据科目也必须在没有“不当延误”的情况下通知。 产品隐私评估 评估方式：确定产品的使用环境，使用环境决定产品的风险等级。（家用设备或是室外设备） 功能及数据流检查： 1. 产品有哪些功能，涉及到什么个人数据，个人数据用途是什么，厂商的处理方式。 2. 法案下用户的权力（删除权，可临时保留几天，之后删除） 3. 数据的处理和目的是否有说明 4. 对用户数据的处理是否获得用户同意 5. 是否有不必要的数据被处理 6. 儿童数据收集问题（重要） 7. 数据的跨境传输 APP 的权限 个性化广告推荐 （默认关闭） 精确的位置信息 文档记录检查：产品相关的文件记录有哪些（使用说明、官网说明、标准合同等等），在这 些文档记录当中是否包含所有必要内容，协议在方案下是否有效合法 测试环境搭建：功能性测试和渗透性测试 隐私协议 自我声明需要说清楚 （可参考IPhone Google AWS ） 数据的存储位置明确告知用户 禁止将需要用户确认的协议和必须要确认的协议混杂在一起，使用户无选择权，强制接 受 5.25 之前的产品也在GDPR 法案之下，需要继续维护或者公开声明停止更新产品。 海外产品数字认证实验室