2016年4月,欧洲议会投票通过《一般数据保护条例》(GDPR),并将于2018年正式实施。欧盟一般数据保护条例的实施意味着欧盟对于个人隐私保护及其监管达到了前所未有的高度,堪称史上最严数据保护条例。GDPR旨在加强对自然人数据的保护并降低企业合规成本。今天赛博星人将为您带来关于如何应对GDPR并建立、完善合规体系的全新视角。
本次文章部分内容由图片组成,请您点击图片即可察看具体文字内容,虽然本次文章图片由于微信公众号压缩图片质量而造成图片显示质量欠佳,但均是赛博星人的实践经验,干货满满,还请您充分感受到我们的诚意。
|
国家 |
隐私保护法律概况信息 |
|
欧盟 |
1995年《数据保护指令》普遍适用于所有领域,此外2002年《隐私与电子通讯指令》对电子通讯领域的隐私保护作出补充要求。最新的GDPR《统一个人数据保护法》于2016年发布,发布了七大基本原则限制个人数据转移到EEA以外国家,要求目的国是欧盟认可的数据充分保护国/地区、或可以提供充分的个人数据保护、或满足法定例外情形(如数据主体同意、为了公共利益等)。 |
|
美国 |
没有统一的个人数据保护法,各个行业领域有各自的个人数据保护法,约20余部。且各个州也有自己的隐私保护法,约上百部。主要的联邦法律有:《1974年隐私法》(关于政府机构应当如何使用和保护个人信息)、《健康保险流通与责任法》等。不限制个人数据跨境转移。 |
|
韩国 |
2011年《个人信息保护法》,还有行业立法,且行业立法优先适用,如:《促进信息、通信网络与信息保护法案》、《实名金融交易与保密法案》等。与欧盟立法非常类似,有控制者、处理者,设定DPO,数据泄露通知执法机构,限制个人数据跨境转移。处罚上限为相关财务收入的3%。 |
|
日本 |
2015年9月修订《个人信息保护法》,2年后生效。同样有控制者概念,没有处理者概念。增加:(1)“指纹、人脸识别、护照号码、驾照号码”作为个人信息。(2)成立个人信息保护委员会执法;(3敏感类比数据;(4)滥用数据的刑事责任;(5)数据转移给第三方要事前通知委员会;(6)数据跨境转移限制:和日本程度相当的国家、第三方(采用委员会规定的措施)。 |
|
印度 |
目前没有统一的个人数据保护法,2000年《信息技术法案》适用于处理电子数据及意图以电子方式处理的数据;信息技术部于2011年制定了“隐私条例”,自此区别“个人信息”与“敏感个人信息”。限制个人数据跨境转移,除非满足法定例外条件,不得转移敏感个人数据至未提供相当数据保护水平的个人或实体。 |
|
墨西哥 |
2010年《私有组织个人数据保护法》,适用于私领域。限制跨境数据转移,企业需要获取数据主体的同意且采取合理的措施保护个人数据。 |
虽然全球化企业面临全球多个不同国家与地区的隐私保护法律的要求,然而,在实践中,由于欧盟是传统的隐私保护传统强势地区,并且本次GDPR具有:
-
立法水平高
-
符合发展趋势
-
影响能够辐射全球
等特点,因此,在实践中,全球化企业普遍选择GDPR作为全球隐私合规框架的合规基石,将GDPR的原则应作为企业隐私保护的法律基础,再基于本地法律要求制定本地化实施方案(落地和裁剪)。
过往,特别是在过去三年间,全球多家著名大型企业,均因违反或者未能细致地遵守隐私保护法规,而受到监管当局的警告、罚款及责令改善,譬如:
4.1 分析GDPR的合规要求:
4.2 执行差距评估
4.3 合规整体框架设计 & 4.4 试运行与实施验证
我们提供多套灵活的合规咨询解决方案,协助企业建立GDPR全面合规体系,达到全面合规的目标:
基于不同的服务需求,我们灵活定制服务内容,协助多家企业提前实现GDPR合规:
联络我们:
Thiscontent is for general information purposes only, and should not be used as asubstitute for consultation with professional advisors.
All rights reserved.
如您有任何问题可直接联系以上赛博星人,亦可在赛博星人公众号后台与我们互动!
本文始发于微信公众号(赛博星人):【独家】狼真的来了——欧盟GDPR合规倒计时,您准备好了吗?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论