❶ 什麼是歐盟
歐洲聯盟,簡稱歐盟(EU),是由歐洲共同體發展而來的政治和經濟共同體。
1993年11月1日,《馬斯特里赫特條約》正式生效,歐洲聯盟正式成立,歐洲三大共同體納入歐洲聯盟,這標志著歐共體從經濟實體向經濟政治實體過渡,同時發展共同外交及安全政策,並加強司法及內政事務上的合作。
歐洲聯盟是歐洲地區規模較大的區域性經濟合作的國際組織。成員國已將部分國家主權交給組織(主要是經濟方面,如貨幣、金融政策、內部市場、外貿),令歐洲聯盟越來越像聯邦制國家。
(1)歐盟網路安全擴展閱讀:
《羅馬條約》,明確規定了歐洲理事會在歐洲聯盟中的中心地位。理事會主席由各成員國輪流擔任,稱為「歐盟輪值主席國」,任期半年。順序基本按本國文字書寫的國名字母排列。
拉脫維亞自2015年1月1日起接任歐盟輪值主席國,為期半年。
愛沙尼亞自2017年7月1日起首次擔任為期半年的歐盟輪值主席國。
歐盟在國際舞台上發揮著積極作用。歐盟與世界上大多數國家和地區建立了外交關系,並締結了各種經貿合作協定。
❷ 歐盟的RoHS指令的具體內容是什麼
歐洲議會和理事會2003年1月23日第2002/95/EC號
關於在電子電氣設備中限制使用某些有害物質指令
(根據原文翻譯,僅供參考)
歐洲議會和歐盟理事會,
注意到成立歐洲共同體的條約,特別是其中第95條,
注意到歐盟委員會的建議 ,
注意到歐盟經濟與社會委員會的意見 ,
注意到歐盟地區委員會的意見 ,
按照歐洲共同體條約第251條所規制的程序行事並根據協調委員會於2002年11月8日通過的聯合文本 ,
鑒於:
(1) 各成員國為限制在電子電氣設備中使用有害物質而制訂的法規或行政措施之間存在的差異能產生貿易壁壘和扭曲共同體內的競爭,甚至對單一市場的建立及其功能產生直接影響。因此有必要協調成員國在此領域的法規,以利於保護人類健康和報廢電子電氣設備合乎環境要求的回收和處理。
(2) 歐盟理事會於2000年12月7~9日在尼斯召開的會議上批准了部長理事會於2000年12月4日就預防原則通過的決定。
(3) 歐盟委員會1996年7月30日回顧共同體廢棄物管理戰略的通訊強調了減少廢物中有害物質含量的必要並指出制定在產品和加工過程中限制使用這些有害物質的歐共體法規的潛在益處。
(4) 理事會1988年1月25日為消除鎘環境污染的歐共體行動計劃的決定要求歐盟委員會刻不容緩地發展該計劃中的特殊措施。人類健康也必須得到保護,因此應實施一個特別限制鎘的使用及加快研究其替代品的整體戰略。決定強調在不存在適當的和更安全的選擇的情況下應限制鎘的使用。
(5) 證據表明,歐盟理事會和歐洲議會2003年1月27日關於報廢電子電氣設備的第2002/96/EC號指令規定的報廢電子電氣設備的收集、處理、回收和處置措施對於減少與涉及的重金屬和阻燃劑相關的廢物管理問題很必要。然而,盡管有那些措施,但在目前的廢物處理中仍將繼續發現報廢電子電氣設備的實質部分。即使報廢電子電氣設備被分類收集並遵守回收程序,但汞、鎘、鉛、六價鉻、聚溴聯苯(PBB)、聚溴二苯醚(PBDE)的成分仍有可能對人類健康和環境形成危險。
(6) 考慮到技術和經濟的可行性,確保顯著減少這些物質對健康和環境形成的危險的最有效的、且在共同體內可實現所選擇保護水平的方式是在電子電氣設備中以安全或更安全的物質替代它們。限制這些有害物質的使用也就是提高報廢電子電氣設備回收的可能性和經濟利益並減少它們對回收工廠工人健康所造成的負面影響。
(7) 要科學研究與評估本指令管轄的物質,它們已在歐共體和成員國層面受到不同措施的管理。
(8) 本指令規定的措施考慮了現有的國際准則和建議並基於對可獲得的科學和技術信息的評估。由於缺乏措施可能在共同體內產生危險,所以這些措施對實現所選擇的對人類和動物健康及環境的保護水平是必要的。應及時檢查這些措施,必要時,考慮了獲得的科技信息後可進行調整。
(9) 本指令的實施不影響共同體在安全和衛生要求方面的立法以及共同體關於廢物管理的特殊立法,特別是1991年3月18日理事會關於含有某些危險物質的電池和蓄電池的第91/157/EEC號指令。
(10) 應考慮不含有重金屬、聚溴二苯醚(PBDE)和聚溴聯苯(PBB)的電子電氣設備的技術發展。一旦獲得了科學證據和考慮了預防原則,應檢查是否可禁止其它有害物質的使用並以更加合乎環境要求的、確保對消費者的保護不低於相同水平的替代品來替代它們。
(11) 如果從科技角度來看,不可能有替代品,或者替代品對環境和健康所造成的負面影響大於其對環境和健康帶來的益處,那幺可免除執行替代品的要求。開發電子電氣設備中有害物質替代品的工作仍要繼續進行,以使它們符合電子電氣設備使用者的健康與安全需要。
(12) 因為產品的再利用、翻新和延長使用期是有益的,所以需要提供必要的零件。
(13) 與逐步停止使用和禁止使用有害物質的要求免除相關的科技進步的修改應由歐盟委員會按照委員會程序實現。
(14) 實施本指令所必要的措施應根據理事會1999年6月28日的1999/468/ECs決議規定的、實施授權給歐委會的權力的程序來採納。
茲通過本指令:
第1條
目 標
本指令的目標是使各成員國關於在電子電氣設備中限制使用有害物質的法律趨於一致,有助於保護人類健康和報廢電子電氣設備合乎環境要求的回收和處理。
第2條
范 圍
1. 在不違反第6條的情況下,本指令應適用於指令第2002/96/EC號指令(WEEE)附錄ⅠA規定的1、2、3、4、5、6、7和10類電子電氣設備,以及家用電燈泡和照明設施。
2.本指令的實施不應違背共同體關於安全和健康要求的立法和共同體關於廢物管理的專門立法。
3.本指令對2006年7月1日前投放市場的電子電氣設備的部件、修理部件或再利用部件不適用。
第3條
定 義
就本指令而言,適用下述定義:
(a)"電子電氣設備"或"EEE"指為正常運行而依賴於電流或電磁場工作的設備和指令2002/96/EC(WEEE)附件ⅠA中列出的能產生、傳輸和測量電流和電磁場的設備,且這些設備的設計電壓是交流電不超過1000伏特,直流電不超過1500伏特;
(b)"生產者"指任何人,他們不管所採用的銷售技術,根據歐洲議會和理事會1997年5月20日關於保護遠程合同 中消費者的第1997/7/EC號指令包括程通訊:
(i)用自己品牌生產並銷售電子電氣設備;
(ii)以自己品牌再銷售由其它供貨商提供的設備,如果再銷售的設備上仍保留原生產者的品牌,這樣的再銷售者不能視作為上述(i)副點的生產者;或
(iii)專業從事向成員國進口或出口電子電氣設備。
僅僅是按照某種金融協議提供資金者不能被視為 "生產者",除非他符合上述(i)至(iii)副點作為生產者行事。
第4條
防 止
1.成員國將確保,從2006年7月1日起,投放於市場的新電子和電氣設備不包含鉛,汞,鎘,六價鉻,聚溴二苯醚(PBDE)或聚溴聯苯(PBB)。成員國在本指令通過前根據共同體法規制定的限制或禁止在電子電氣設備中使用這些物質的措施可以維持至2006年7月1日。
2.條款1將不適用於附件中所列舉的應用。
3.基於歐委會的建議,一旦可獲得科學證據,歐洲議會和理事應根據《第六個共同體環境行動計劃》中規定的化學政策原則決定其它有害物質的禁用以及選擇確保對消費者保護水平至少相同的更加合乎環境要求的產品作為其替代品。
第5條
適應科學和技術進步
1.為下列目的,旨在使附件適應科技進步的必要修改,應根據條款7(2)提及的程序而進行:
(a)必要時,可建立允許在電子電氣設備的特殊物質和部件中含有條款4(1)所提及物質的最高值;
(b)電子電氣設備的材料和組件可背離第4款(1)的規定,如果它們的去除或通過設計改變而使用替代品或使用不含有提及的材料或物質的材料或組件在科技上中不現實時,或替代品對環境、健康和/或消費者安全造成的負面影響好象超過它們對環境、健康和/或消費者安全造成的益處時;
(c)至少每隔四年對附件進行一次檢查,或者在將一項加入到附件後四年對附件進行檢查,加入新項的目的是考慮取消附件中的電子電氣設備材料和組件,如果它們的去除或通過設計改變而使用替代品或使用不包括第4(1)款的材料或物質的材料和組件在科技上是可行時,條件是替代品對環境、健康和/或消費者安全產生的負面影響不可能大於其對環境、健康和/或消費者安排帶來的正面利益。
2.附件在遵照條款1修改之前,歐盟委員會將專門與電子電器設備生產者、回收者、垃圾處理者、環保組織和雇員與消費者協會咨詢磋商。磋商結果應遞交給條款7(1)提及的委員會。歐盟委員會應考慮其收到的意見。
第6條
檢 查
在2005年2月13日之前,歐盟委員會應檢查本指令規定的措施以便必要時考慮新的科學證據。
特別是,歐盟委員會應在該日期之前提交將第2002/96/EC(WEEE)號指令附件ⅠA所列的第8和第9類的設備納入本指令范圍的建議。
委員會也將根據科學事實並考慮預防原則,研究條款4(1)中物質是否需要調整,適當時,可向歐洲議會和理事會提出建議。
應當特別注意檢查電子電氣設備中使用的其它有害物質和材料對環境和人類健康的影響。歐委會將檢查取代這些物質和材料的可行性,並且在適當的時候,就擴大第4條的范圍向歐洲議會和理事會提交建議。
第7條
委員會
1.歐盟委員會將由根據第75/442/EEC號指令第18條成立的委員會協助工作。
2.當參考本款時,應適用第1999/468/EC號決議第5條、第7條以及第8條。
第1999/468/EC號決議第5條6款規定的期間應被定為3個月。
3.委員會將採用其程序規定。
第8條
懲 罰
成員國應決定對違反根據本指令而制定的成員國規定的行為適當的懲罰。這些規定的懲罰應當有效,適度並有勸誡性。
第9條
過 渡
1.成員國應在2004年8月13日之前使符合本指令所必要的法律、規則和行政規定生效。並將這些立即通知歐委會。
當成員國制訂那些措施時,它們必須包括本指令的參照號或在該國官方出版物上出版時伴以此參考號。標志此參考號的方法由成員國規定。
2.成員國要將本指令范圍內制定的所有法律、規則和行政規定的文本通知歐委會。
第10條
生 效
本指令自在歐洲共同體《官方公報》上公布之日起生效。
第11條
收受方
本指令將簽發至各成員國。
2003年1月23日完成於布魯塞爾
歐洲議會主席 理事會主席
P. COX G. DRYS
附錄
免除第4(1)條中所要求的鉛、汞、鎘和六價鉻的應用
1.小型日光燈中的汞含量不得超過5毫克/燈。
2.一般用途的直管日光燈中的汞含量不得超過:
—— 鹽磷酸鹽 10毫克;
—— 正常的三磷酸鹽 5毫克;
—— 長效的三磷酸鹽 8毫克。
3.特殊用途的直管日光燈中的汞含量。
4.本附錄中未特別提及的其它照明燈中的汞含量。
5.陰極射線管、電子部件和發光管的玻璃內的鉛含量。
6.鋼中合金元素中的鉛含量達0.35%、鋁含量達0.4%,銅合金中的鉛含量達4%。
7.—— 高溫融化的焊料中的鉛(即:錫鉛焊料合金中鉛含量超過85%);
—— 用於伺服器、內存和存儲系統的焊料中的鉛(豁免准予至2010年);
—— 用於交換、信號和傳輸,以及電信網路管理的網路基礎設施設備中焊料中的鉛;
—— 電子陶瓷產品中的鉛(例如:高壓電子裝置)。
8.根據修改關於限制特定危險物質和預製品銷售和使用的第76/769/EEC號指令的第91/338/EEC號指令禁止以外的鎘電鍍。
9.在吸收式電冰箱中作為碳鋼冷卻系統防腐劑的六價鉻。
10.根據在第7(2)條中提及的程序,歐盟委員會應評價以下方面的應用:
—— 台卡二苯醚(Deca BDE);
—— 特殊用途的直管日光燈中的汞;
—— 以下用途中所使用的焊料中的鉛:伺服器、內存、用於交換和傳輸的網路基礎設施、電信網路管理設備(旨在設定本指令豁免部分的特定截止時間);
—— 燈泡;
目前重點是盡快決定這些項是否進行相應的修改
❸ 網路安全的發展現狀
隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
國外
2012年02月04日,黑客集團Anonymous公布了一份來自1月17日美國FBI和英國倫敦警察廳的工作通話錄音,時長17分鍾,主要內容是雙方討論如何尋找證據和逮捕Anonymous, LulzSec, Antisec, CSL Security等黑帽子黑客的方式,而其中涉及未成年黑客得敏感內容被遮蓋。
FBI已經確認了該通話錄音得真實性,安全研究人員已經開始著手解決電話會議系統得漏洞問題。
2012年02月13日,據稱一系列政府網站均遭到了 Anonymous 組織的攻擊,而其中CIA官網周五被黑長達9小時。這一組織之前曾攔截了倫敦警察與FBI之間的一次機密電話會談,並隨後上傳於網路。
國內
2010年,Google發布公告稱將考慮退出中國市場,而公告中稱:造成此決定的重要原因是因為Google被黑客攻擊。
2011年12月21日,國內知名程序員網站CSDN遭到黑客攻擊,大量用戶資料庫被公布在互聯網上,600多萬個明文的注冊郵箱被迫裸奔。
2011年12月29日下午消息,繼CSDN、天涯社區用戶數據泄露後,互聯網行業一片人心惶惶,而在用戶數據最為重要的電商領域,也不斷傳出存在漏洞、用戶泄露的消息,漏洞報告平台烏雲昨日發布漏洞報告稱,支付寶用戶大量泄露,被用於網路營銷,泄露總量達1500萬~2500萬之多,泄露時間不明,裡面只有支付用戶的賬號,沒有密碼。已經被捲入的企業有京東(微博)商城、支付寶(微博)和當當(微博)網,其中京東及支付寶否認信息泄露,而當當則表示已經向當地公安報案。
未來二三十年,信息戰在軍事決策與行動方面的作用將顯著增強。在諸多決定性因素中包括以下幾點:互聯網、無線寬頻及射頻識別等新技術的廣泛應用;實際戰爭代價高昂且不得人心,以及這樣一種可能性,即許多信息技術可秘密使用,使黑客高手能夠反復打進對手的計算機網路。
據網易、中搜等媒體報道,為維護國家網路安全、保障中國用戶合法利益,我國即將推出網路安全審查制度。該項制度規定,關系國家安全和公共安全利益的系統使用的重要信息技術產品和服務,應通過網路安全審查。審查的重點在於該產品的安全性和可控性,旨在防止產品提供者利用提供產品的方便,非法控制、干擾、中斷用戶系統,非法收集、存儲、處理和利用用戶有關信息。對不符合安全要求的產品和服務,將不得在中國境內使用。
技術支配力量加重
在所有的領域,新的技術不斷超越先前的最新技術。攜帶型電腦和有上網功能的手機使用戶一周7天、一天24小時都可收發郵件,瀏覽網頁。
對信息戰與運作的影響:技術支配力量不斷加強是網路戰的根本基礎。復雜且常是精微的技術增加了全世界的財富,提高了全球的效率。然而,它同時也使世界變得相對脆弱,因為,在意外情況使計算機的控制與監視陷於混亂時,維持行業和支持系統的運轉就非常困難,而發生這種混亂的可能性在迅速增加。根據未來派學者約瑟夫·科茨的觀點,「一個常被忽視的情況是犯罪組織對信息技術的使用。」時在2015年,黑手黨通過電子手段消除了得克薩斯州或內布拉斯加州一家中型銀行的所有記錄,然後悄悄訪問了幾家大型金融服務機構的網站,並發布一條簡單的信息:「那是我們乾的——你可能是下一個目標。我們的願望是保護你們。」
未來派學者斯蒂芬·斯蒂爾指出:「網路系統……不單純是信息,而是網路文化。多層次協調一致的網路襲擊將能夠同時進行大(國家安全系統)、中(當地電網)、小(汽車發動)規模的破壞。」
通信技術生活方式
電信正在迅速發展,這主要是得益於電子郵件和其他形式的高技術通信。然而,「千禧世代」(1980年-2000年出生的一代——譯注)在大部分情況下已不再使用電子郵件,而喜歡採用即時信息和社交網站與同伴聯系。這些技術及其他新技術正在建立起幾乎與現實世界中完全一樣的復雜而廣泛的社會。
對信息戰和運作的影響:這是使信息戰和運作具有其重要性的關鍵的兩三個趨勢之一。
破壞或許並不明目張膽,或者易於發現。由於生產系統對客戶的直接輸入日益開放,這就有可能修改電腦控制的機床的程序,以生產略微不合規格的產品——甚至自行修改規格,這樣,產品的差異就永遠不會受到注意。如果作這類篡改時有足夠的想像力,並且謹慎地選准目標,則可以想像這些產品會順利通過檢查,但肯定通不過戰場檢驗,從而帶來不可設想的軍事後果。
信息技術與商業管理顧問勞倫斯·沃格爾提醒注意雲計算(第三方數據寄存和面向服務的計算)以及Web2.0的使用(社交網及交互性)。他說:「與雲計算相關的網路安全影響值得注意,無論是公共的還是私人的雲計算。隨著更多的公司和政府採用雲計算,它們也就更容易受到破壞和網路襲擊。這可能導致服務及快速的重要軟體應用能力受到破壞。另外,由於Facebook、博客和其他社交網在我們個人生活中廣泛使用,政府組織也在尋求與其相關方聯絡及互動的類似能力。一旦政府允許在其網路上進行交互的和雙向的聯絡,網路襲擊的風險將隨之大增。」
全球經濟日益融合
這方面的關鍵因素包括跨國公司的興起、民族特性的弱化(比如在歐盟范圍之內)、互聯網的發展,以及對低工資國家的網上工作外包。
對信息戰及運作的影響:互聯網、私人網路、虛擬私人網路以及多種其他技術,正在將地球聯成一個復雜的「信息空間」。這些近乎無限的聯系一旦中斷,必然會對公司甚至對國家經濟造成嚴重破壞。
研究與發展
(R&D)促進全球經濟增長的作用日益增強, 美國研發費用總和30年來穩步上升。中國、日本、歐盟和俄羅斯也呈類似趨勢。 對信息戰及運作的影響:這一趨勢促進了近數十年技術進步的速度。這是信息戰發展的又一關鍵因素。 R&D的主要產品不是商品或技術,而是信息。即便是研究成果中最機密的部分一般也是存儲在計算機里,通過企業的內聯網傳輸,而且一般是在互聯網上傳送。這種可獲取性為間諜提供了極好的目標——無論是工業間諜,還是軍事間諜。這(5)技術變化隨著新一代的發明與應用而加速
在發展極快的設計學科,大學生一年級時所學的最新知識到畢業時大多已經過時。設計與銷售周期——構想、發明、創新、模仿——在不斷縮短。在20世紀40年代,產品周期可持續三四十年。今天,持續三四十周已屬罕見。
原因很簡單:大約80%過往的科學家、工程師、技師和醫生今天仍然活著——在互聯網上實時交流意見。
機器智能的發展也將對網路安全產生復雜影響。據知識理論家、未來學派學者布魯斯·拉杜克說:「知識創造是一個可由人重復的過程,也是完全可由機器或在人機互動系統中重復的過程。」人工知識創造將迎來「奇點」,而非人工智慧,或人工基本智能(或者技術進步本身)。人工智慧已經可由任何電腦實現,因為情報的定義是儲存起來並可重新獲取(通過人或計算機)的知識。(人工知識創造)技術最新達到者將推動整個範式轉變。
❹ 誰有深度整理的歐盟《一般數據保護法案》(GDPR)核心要點中文內容
前言:
整理本文的原因有三:
1、 網上很多關於GDPR的文章並不全面,甚至有誤
2、 以此機會在公司內部開展關於GDPR的專項培訓
3、 青蓮雲的部分客戶業務在未來會受到GDPR的影響
之後,我們計劃編寫一系列相關文章,更多的是站在企業角度來思考法案對物聯網行業的影響以及應對措施,一來希望與同行企業可以就GDPR進行更多的互動討論;二來也是希望傳播國際法案對於安全和隱私的態度,共同提高物聯網安全意識。
以下您將了解到:
1、 什麼是GDPR(重要)
2、 GDPR的發展歷程
3、 GDPR的關鍵術語定義(重要)
4、 GDPR會影響哪些企業(重要)
5、 GDPR不適用於哪些情況
6、 GDPR約束了哪些數據(重要)
7、 GDPR中數據主體的權利(重要)
8、 GDPR中處理個人數據的基本原則(重要)
9、 GDPR中對合法處理數據的定義
10、 GDPR中針對兒童數據的處理規定
11、 GDPR中數據控制者與數據處理者的義務(重要)
12、 GDPR中針對特別類型個人數據的處理規定
13、 GDPR中關於數據主體被遺忘權的規定(重要)
14、 GDPR中關於數據主體可攜帶權的規定(重要)
15、 GDPR中關於個人數據泄露通知的規定(重要)
16、 GDPR中關於設立數據保護官的規定
17、 GDPR關於執法和處罰的規定(非常重要)
18、 總結
什麼是GDPR
2016年4月14日,歐洲議會投票通過了商討四年的《一般數據保護法案》(General Data Protection Regulation (GDPR)),新法案由11章共99條組成,該法案將於2018年5月25日正式生效,將取代現有的《數據保護指示》(Data Protection Directive 95/46/EC),統一歐盟成員國關於數據保護的法律法規。
此外,GDPR新規是在28個歐盟成員國統一實施生效的,這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。
GDPR作為一套用來保護歐盟公民個人隱私和數據的新法規,其頒布意味著歐盟對個人信息的保護及監管達到了前所未有的高度,堪稱史上最嚴格的數據保護法案
GDPR的發展歷程
(圖片來自網路)
GDPR的關鍵術語定義
個人數據:是指任何指向一個已識別或可識別的自然人(數據主體)的信息。該可識別的自然人能夠被直接或間接地識別,尤其是通過參照諸如姓名、身份證號、定位數據、在線身份識別這列標識,或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。
處理:是指針對個人數據或個人數據集合的任何一個或一系列操作,諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀,無論此操作是否採用自動化手段。
匿名化:是一種使個人數據在不使用額外信息的情況下不指向特定數據主體對待個人數據的處理方式。該處理方式將個人數據與其他額外信息分別存儲,並且使個人數據因技術和組織手段而無法指向一個可識別和已識別的自然人。
數據控制者:能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織。
數據處理者:是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。
數據接受者:只是接收到被傳遞的個人數據的主體,無論其是否是第三方的自然人、法人、公共機構、行政機關或其他非法人組織。政府因在歐盟或其成員國法律框架內特定調查接收到的個人數據,不得視為「數據接受者」。
個人數據外泄:是指個人數據在傳輸、存儲或進行其他處理時的由安全問題引發的個人數據被意外或非法破壞、損失、變更、未經授權披露或訪問。
GDPR會影響哪些企業
歐盟GDPR法案具有域外效應。也就是說,GDPR賦予了歐盟在個人信息安全方面的域外管轄權。
主要受影響的企業為以下四類:
l 設立在歐盟境內的企業(控制者、處理者)
l 未在歐盟境內設立,但向歐盟境內的數據主體(自然人)提供產品和服務的企業(控制者、處理者)
l 未在歐盟境內設立,但涉及監控歐盟境內數據主體(自然人)行為的企業(控制者、處理者)
l 未在歐盟境內設立,但在歐洲成員國法律適用的地方設立的企業(控制者、處理者)
總結來說,GDPR不僅適用於位於歐盟境內的企業組織機構,也適用於位於歐盟以外的企業組織機構,無論機構所在地位於哪裡,只要其向歐盟數據主體提供產品、服務或者監控相關行為,或處理和持有居住在歐盟境內的數據主體的個人數據,都將受到GDPR法案的監管。
GDPR法案同樣適用於「數據控制者」和「數據處理者」。如果是數據處理者涉案,數據控制者也無法免除責任,GDPR規定控制者需要承擔更多的責任,以確保和數據處理者之間的合同能夠嚴格遵守GDPR的規定。
GDPR不適用於哪些情況
GDPR更多的是監管企業對數據的使用行為。以下4個方面的數據使用情況不適用於GDPR:
l 為了預防、調查、偵查或起訴刑事犯罪,主管當局為執行刑事處罰目的而產生的數據處理行為
l 基於國家安全目的而產生的數據處理行為
l 自然人在純粹的個人或家庭活動中產生的數據處理行為
l 歐盟法律規定范圍之外的活動過程中產生的數據處理行為
GDPR約束了哪些數據
個人數據:
可以通過某個標識直接或間接識別某一自然人的信息。
不管是採用自動化手段還是人工進行歸類的數據,包括按時間順序排列的包含個人數據的記錄集合。
已經被匿名化的個人數據,取決於用已有標識來識別特定個體的困難程度。
敏感個人數據:
也被稱為「特殊種類的個人數據」。
包括揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數據。
包括遺傳數據和經過處理可以唯一識別個體的生物特徵數據。
不包括涉及刑事定罪和罪行的個人數據,但該類數據的處理和保存有特殊要求。
GDPR中數據主體的權利(第三章)
l 知情權
l 訪問權
l 反對權
l 可攜帶權
l 糾正權
l 刪除權/被遺忘權
l 限制處理權
l 免受數據畫像影響
GDPR中處理個人數據的基本原則
l 合法、正當、透明
l 處理數據的目的是有限的
l 僅處理為達到目的的最少數據
l 確保數據准確、及時更新
l 存儲數據的期限不得長於為達到目的所需要的時間
l 採取技術和管理措施以保護數據的安全
l 數據控制者有責任並應能夠證明做到了以上幾點
GDPR中對合法處理數據的定義
至少滿足一下中的某一項,處理數據才是合法的
l 數據主體同意為了特定目的處理其數據
l 處理數據是為了簽訂或履行合同的需要
l 處理數據是為了遵守法定義務的需要
l 處理數據是為了保護數據主體或其他自然人的至關重要的利益
l 處理數據是為了公共利益或形式政府授受的權力
l 處理數據是為了追求數據控制者的合理利益,但不得損害數據主體的利益
GDPR中針對兒童數據的處理規定
處理16歲以下兒童的個人數據,必須獲得該兒童父母或監護人的同意或授權。各成員國可以對上述年齡進行調整,但是不得低於13歲
GDPR中數據控制者與數據處理者的義務
設置DPO(數據保護官)
文檔化管理
數據保護影響評估
事先咨詢機制
數據泄露報告機制
安全保障措施
遵守數據跨境轉移規則
GDPR中針對特別類型個人數據的處理規定
禁止收集處理反映個人種族或民族起源、政治觀點、宗教和哲學信仰、是否是工會組織成員的數據、個人基因識別數據、生物數據、或涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據,如已獲得個人的明示同意,或數據控制者因處理勞動關系、社會保險之需要並在法律允許的范圍內且已採取了適當的保護手段等。
GDPR中關於數據主體被遺忘權的規定(重要)
當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時,數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。
如果該數據被傳遞給了任何第三方(或第三方網站),數據控制者應通知該第三方刪除該數據。
GDPR中關於數據主體可攜帶權的規定(重要)
數據主體可向數據控制者索要其數據,也可將其個人數據轉移至另一個數據控制者。
GDPR中關於個人數據泄露通知的規定(重要)
數據控制者應在72小時之內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時,數據控制者必須毫不延誤的通知數據主體,以便數據主體及時採取措施。
GDPR中關於設立數據保護官的規定
為確保數據保護合規並處理數據保護相關事務,數據控制者和數據處理者需設置數據保護官(DPO)。
控制者和處理者應當對數據保護官不下達任何指令,DPO不能因為執行任務的原因被解僱或者受到刑事處罰。
數據保護官直接向最高管理者報告工作。
根據聯盟法律或者成員國法律規定,數據保護官應當對其執行任務的內容進行保密。
數據保護官也可以執行其他任務,履行其他職責。
GDPR關於執法和處罰的規定(非常重要)
不遵守信的數據隱私法規的後果就是會受到嚴厲的制裁和巨額的罰款。
GDPR的處罰並不是像網上傳的那樣直接就罰全球營收的4%。而是有兩個等級的徵收行政性罰款的規定:
對於一般性的違法,罰款上限是1000萬歐元,或者在承諾的情況下,最高為上一個財政年度全球全年營業收入的2%(兩者中取數額大者);
對於嚴重的違法,罰款上限是2000萬歐元,或者在承諾的情況下,最高為上一個財政年度全球全年營業收入的4%(兩者中取數額大者);
判罰的嚴重程度是基於以下因素:
l 違規的性質、嚴重程度和違規的持續時間
l 違規是故意的還是因疏忽造成的
l 對個人身份信息的責任心和控製程度
l 違規是單個事件還是重復事件
l 受到影響的個人資料的種類范圍
l 數據主體遭遇的損害程度
l 為了減輕損害而採取的行動
l 由違規產生的財務預期或收益
GDPR核心旨在保護隱私數據,並通過法案約束來建立企業和公民之間的信任關系,違反GDPR的代價遠不止財務層面,還將給企業聲譽造成極大破壞,並且導致企業和消費者之間產生信任危機
總結
由於青蓮雲所在的物聯網行業也處於GDPR法案的約束之中,故此整理出法案中的重點思想與業界分享。GDPR此次改革以保護公民的基本權利為理念,在提高個人數據保護標準的同時,也會增加企業的合規成本。法案的背後是對隱私和安全的需求,法案生效後會成為國際數據隱私保護標准。
對於物聯網行業的相關企業(硬體、軟體、製造、數據分析等)來說,從此刻開始提升物聯網安全意識,關注數據安全和用戶隱私安全,積極的採取相應的整改或強化措施刻不容緩。青蓮雲安全團隊也將在不斷提升自身安全攻防能力和安全合規意識的同時,與客戶企業建立長期持續的安全咨詢合作關系,共同建設安全、自主、可信的物聯網安全新業態。
❺ 歐盟立法強化數字監管,數字市場法有何作用
歐盟正通過立法等手段加強對社交媒體、電子商務平台等網路平台的監管,以保護和支持自身數字產業的發展,維護自身的數字主權。相信歐盟正在制定的相關立法將有助於遏制不正當競爭,規范歐洲數字市場秩序。
與過去相比,這兩個法案提出的新規在監管和制裁的方式和力度上都有很大不同。中歐數字協會理事長克勞迪婭·維諾蒂表示,未來歐盟將採取事前監管來解決惡性競爭問題,而不是像過去那樣事後起訴和制裁,這將迫使大型互聯網平台提前採取行動。此外,新出台的兩項議案採取不對稱規則,對大型科技企業和中小科技企業採取不同的監管標准,因此大型科技企業將面臨更嚴厲的審查和更多的處罰。由於歐洲本土科技企業大多規模較小,歐盟此舉有利於保護和支持本國數字產業的發展。
❻ 歐盟實施「最嚴數據信息保護條例」對中企有何影響
6至7日,60餘家中國企業負責人聚集中國人民公安大學,參加「個人信息保護:中歐進展與企業合規」公益培訓。
培訓中,何延哲就企業如何對個人信息進行規范收集、保存和存儲作出梳理,並闡釋了企業提升數據安全能力的方法。
數據安全資深從業者方興表示,數據時代來臨後,許多中國企業存在把數據安全理解為信息載體安全,重視數據訪問安全而忽視使用安全,重視事前保護而忽略溯源追責體系等通病。
他強調,全知的數據時代需要整體的安全視角,只有從授權、用途、量級、法律規范等多種角度動態追蹤和分析風險,才可剔除數據在流動過程中埋下的隱患。
此外,多位嘉賓還就「GDPR與個人信息安全規范異同」「數據安全與企業內控」「中外合規產品設計實例與輿情」等主題進行分享。
主辦方介紹,培訓獲得了相關企業的一致好評,未來將每月舉辦一次。
❼ 歐盟GDPR是什麼意思
GDPR定義
GDPR (全稱: General Data Protection Regulation),即《通用數據保護條例》,是一項新法律,規定了企業如何收集,使用和處理歐盟公民的個人數據。該條例在2012年1月份就已經起草,經過4年的探討與協商,歐盟於2016年4月正式通過這一條例並宣布試行,到2018年5月25日正式全面施行。
GDPR適用范圍
1.保護對象:
GDPR保護的僅是「個人數據」(personal data),不涉及個人數據以外的其他數據。
根據GDPR第4條的規定,個人數據是指,與一個已被識別(identified)或者可被識別(identifiable)的自然人相關的任何信息;可被識別的自然人是指,其可以被直接或者間接識別,尤其是藉助姓名、身份證號碼、地理位置、在線標識等身份標識,或者通過與其身體、生理、基因、心理、經濟或者社會身份相掛鉤的一個或者多個因素。這里所指的個人數據僅限於有生命的自然人的個人數據,不包括死者、胎兒等。
同時,個人數據的保護不涉及匿名信息,或者經過匿名化處理以致於不再具有可識別性的個人數據。對於表徵人種或者種族起源、政治意見、宗教或者哲學信仰、商會會員、基因、生物特徵、健康狀況、性生活等事項的特殊類別的個人數據(個人敏感數據),GDPR從收集、使用等角度作出了特殊規定。就個人數據的保護而言,GDPR主要適用於電腦(自動化)處理個人數據的行為,不涉及其他類型的處理行為。
GDPR第4條規定,對個人數據的自動化處理包括:
(1)收集,記錄,整理,組織,存儲;
(2)改編,調整,檢索,查閱,利用;
(3)通過傳輸或者傳播予以披露、提供;
(4)匹配,組合;
(5)限制,刪除,摧毀。
GDPR對個人數據的保護並不絕對,其「序言」部分要求,應當平衡新聞自由、表達自由、商業自由等權利,符合比例原則、法益平衡原則等法律的基本原則。
2.管轄范圍:
GDPR第3條規定,GDPR適用於以下三種情形:
(1)數據控制者、數據處理者在歐盟有營業場所的,不論數據處理行為發生在歐盟還是境外;(2)數據控制者、數據處理者未在歐盟設立營業場所,但向歐盟的數據主體提供商品或者服務,或者被追蹤的網路行為發生在歐盟的;
(3)雖然數據控制者、數據處理者未在歐盟設立營業場所,但是根據國際公法應當適用歐盟成員國法律的。第二種情形是典型的域外管轄,主要針對美國的互聯網企業。
3.數據主體:
在GDPR中,享有數據權利的主體被稱為數據主體(data subject),個人數據所指向之自然人為數據主體。數據主體須為歐盟居民,一般要求具有成員國國籍。
4.義務主體:
GDPR主要針對兩類義務主體,即數據控制者(controller)和數據處理者(processor)。控制者是指單獨或者與他人一起,決定個人數據處理之目的和方式的自然人、法人或者其他組織。處理者是指代表控制者,處理個人數據的自然人、法人或者其他組織。
GDPR七個基本原則
合法,公平,透明三原則:與數據主體個人相關的數據信息應當以合法,公正,透明方式處理;
數據收集應當有明確的目的:個人信息收集應當目的特定,明確和合法,任何與上述目的不符合的方式將不能繼續處理數據;
數據收集的最小化原則:個人數據收集應當僅僅限於一切與數據處理目的相關的必要的數據;
准確性:個人數據應當准確,如果需要盡可能保持最新的數據;
存儲限制:在不超過個人數據處理目的之必要的情形下,允許以數據主體以可識別的形式保存;
完整性與機密性:以確保個人數據適度安全的方式處理,包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施(「完整性和機密性」);
問責制:控制者(企業或組織)應該對並且能夠證明其企業符合GDPR的規定。
數據主體的權利
數據主體指,用戶、客戶、員工等
信息透明度和信息機制:數據處理者或控制者必須保證數據主體行使權利的透明度、交流和模式,也就是讓用戶知道你在收集那些數據,為什麼收據數據,用於何種目的,另外也需要讓用戶可以隨時對自己的數據進行控制;
數據訪問權,控制者應當保證數據主體可以隨時訪問自己的數據;
糾正權:數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的方式;
被遺忘權:數據主體有權要求控制者刪除其數據,比如谷歌的用戶可以要求谷歌移除關於其個人不利的搜索結果;
限制處理權:數據主體有許可權制數據主體處理其個人數據;
關於糾正或刪除個人數據或限制處理的通知義務:除非被證明不可能完成或者包含不成比例的工作量,控制者應當將根據對個人數據進行的任何糾正、刪除或者處理限制,傳達給已向其披露個人數據的接收者。如果數據主體請求,控制者應當通知數據主體這些接收者;
反對權:如果為了直接營銷的目的而處理個人數據,數據主體有權在任何時候反對有關其的個人數據為進行此類營銷而被處理,其中包括與此類直接營銷相關的概況分析。如果數據主體反對以直接營銷為目的的處理,則個人數據不得再為此目的而被處理;
拒絕權和自主決定權;
自主化的個人決策分析。
數據控制者或數據處理者的義務
數據控制者和數據處理者,一般指保存和處理用戶數據的公司
控制者應該在確定處理手段和在處理的同時,實施適當的技術和組織措施,如匿名化,即目的是實施數據保護原則,如數據最小化,以有效的方式,在處理時實施必要的保障措施,以符合法律要求,保護數據主體的權利;
控制者應該實施適當的技術和組織措施以確保,在默認情況下只有對每個特定處理目的有必要的個人數據才能被處理。該義務適用於收集的個人數據的數量,數據處理的程度,數據的存儲期限和數據的可及性。特別是,這些措施應確保在沒有個人對無限數量自然人的干預下,個人數據在默認情況是不可訪問的;
在歐盟成員國的范圍內指派歐盟代表,可以為合作夥伴,客戶或第三方中介等;
數據處理者應當以數據控制者名義處理數據;
數據處理活動應當有記錄;
和監督機構合作和配合,應當積極配合監管機構的調查;
處理過程的安全性:
(a)個人數據的匿名化和加密;
(b)數據系統保持持續的保密性、完整性、可用性以及彈性的能力;
(c)在發生自然事故或者技術事故發的情況下,存儲有用信息以及及時獲取個人信息的能力;
(d)定期對測試、訪問、評估技術性措施以及組織性措施的有效性進行處理,力求確保處理過程的安全性;
數據泄露72小時報告義務:在個人數據泄露的情況下,控制者不能不當延誤,而且至少應當在知道之時起72 小時以內,根據第55條向監管機構進行通知,除非個人數據的泄露不會導致自然人權利和自由的風險。如果通知遲於72 小時,需要對遲延原因進行解釋;
與數據主體進行交流:個人數據泄露可能對自然人權利和自由形成很高的風險時,控制者應當毫不延誤地就個人數據泄露的主體進行交流;
數據保護影響評估以及事先咨詢;
超過250人公司或處理海量數據的公司必須設置首席數據保護官。
###################################################
數字化風控咨詢專家
深入耕耘風控、內控、合規領域的數字化咨詢
提供GDPR合規的咨詢及系統的控制體系