欧盟 GDRP(一般数据保护条例)已于 2018 年 5 月 25 日正式发布并生效,距现在(2021年4月)已过去将近 2 年,这个堪称商业历史上最严格的数据保护法律,与以往的隐私规则相比,其影响更为深远。GDPR 是近二十年来在数据隐私方面有着最重要变化,它给欧盟乃至全世界的企业都带来重大影响。
一些 GDPR 的关键点(Key Point)
对于 GDRP,你可能不知道全部细节,但以下事实,还是值得了解和注意:
- 欧盟颁发的 GDPR 是全球最严格、最先进的隐私保护制度,大大增加了数据保护的强制性和数据主体的责任性,对违规的处罚提高到了 2000 万欧元或企业全年营业额的 4%(二者取较高值)
- GDPR 致力于数据隐私保护,这意味着 GDRP 与传统的加密以及基于角色的访问控制(RAC)方法并不相同
- 必须有一层数据抽象层来加强对数据的审计和隐私保护
- 各家公司应该把他们的数据治理模型划分为 3 部分:收集、使用和审计
- 收集:关注用户计数
- 使用:关注对访问控制的管理
- 审计:关注GDPR的可追踪性的需求
- 有高达 96% 的公司承认他们并不理解 GDPR 的规定和细则
GDPR 迫使域名 WHOIS 信息被隐藏
什么是 Whois 信息?
域名 Whois 信息是用来查询域名的 IP 以及所有者等信息的传输协议。简单说 Whois 就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库。
当一个域名被注册时,其 Whois 信息就已经产生了。除非注册人为其域名设置了隐私保护(Privacy Protection),否则任何人都查询域名的 Whois 信息。域名 Whois 一般包括域名注册商、注册机构、注册人姓名、地址、注册邮箱、电话号码、注册日期、更新日期、过期日期等众多个人和组织信息。
这些数据从互联网诞生之日起就是可以公开查看的,但在欧盟实施 GDPR 制度后(GDRP 于 2018 年 5 月 25 日正式生效),这些信息全部被隐藏了。
中国并非欧盟成员国,为何受 GDRP 的影响和约束?
对于 GDRP 规则适用的主体,是这样规定的:
- 在欧盟成员国有法人实体的公司
- 在欧盟没有设立实体公司,但因为业务关系而持有欧盟居民个人资料的公司
也就是说,全世界各地的公司,在欧盟成员国境内开展业务时,必须保护欧盟成员国民众的个人资料与隐私。即使您的公司不在欧盟境内做生意,但只要您的公司有任何来自欧盟成员国的客户,您就要受到 GDPR 的管辖。
如此一来,如果域名注册商有来自欧盟成员国的企业或个人在平台上注册/购买了域名,而他的域名 Whois 信息查询一旦没有及时进行隐私保护,那么巨额罚款就来了!而且一张罚单就可能让注册商平台破产倒闭。因此,域名注册商为了一劳永逸、永绝后患很可能干脆隐藏所有域名的 Whois 信息,域名持有人也只能通过个人账户查询/查看自己域名的 Whois 信息。
数据安全是发展的保障
数据被称为新时代的“黄金”或者“石油”,正在成为企业的核心资产,成为创新的关键来源,甚至国家的战略资源,数据安全应该成为数字时代企业与国家发展的保障。
我国的《中华人民共和国网络安全法》于 2017 年 6 月 1 日开始实施,个人信息和重要数据的安全是这部法律的重要内容。而 GDPR 即将生效,中国最新发布的《信息安全技术个人信息安全规范》(下称《信息规范》)也已经于 2018 年 5 月 1 日开始实施。
一些国内企业长期缺乏规则意识,可能并没有尝到应有的苦果。由于多种因素导致的执法不严、违法不究的情形,一旦到了国外可能就不灵。企业的不合规经营行为,一旦被国外政府发现追究起来,处以巨额罚款或禁止业务往来,可能是灭顶之灾。特别是在近几年全球贸易保护主义似乎有所抬头的新时代背景下,企业不合规经营,必将产生数年甚至永远难以消化的“恶果”。
随着中国《信息规范》的实施,中国企业可以从以下几个方面,尽快完善数据保护制度:
- 高度重视个人数据保护
- 完善数据主体的权利设置与行使操作规程
- 完善数据处理机制
- 完善数据泄密报告与处理机制
- 必要时任命数据保护官
长期以来,许多企业疏于对用户数据进行有效追踪和采取相应的保护措施。GDPR 所要求的数据隐私和安全要求,是维系消费者信任和保护企业品牌的根本。企业必须引起重视,加强对数据安全和隐私保护,并采取有效举措在企业实际运营中生根落地。
