当前位置:首页 » 安全设置 » 欧盟网络安全
扩展阅读
电脑中毒账号密码 2024-12-23 14:46:43

欧盟网络安全

发布时间: 2022-01-15 08:48:35

什么是欧盟

欧洲联盟,简称欧盟(EU),是由欧洲共同体发展而来的政治和经济共同体。

1993年11月1日,《马斯特里赫特条约》正式生效,欧洲联盟正式成立,欧洲三大共同体纳入欧洲联盟,这标志着欧共体从经济实体向经济政治实体过渡,同时发展共同外交及安全政策,并加强司法及内政事务上的合作。

欧洲联盟是欧洲地区规模较大的区域性经济合作的国际组织。成员国已将部分国家主权交给组织(主要是经济方面,如货币、金融政策、内部市场、外贸),令欧洲联盟越来越像联邦制国家。

(1)欧盟网络安全扩展阅读:

《罗马条约》,明确规定了欧洲理事会在欧洲联盟中的中心地位。理事会主席由各成员国轮流担任,称为“欧盟轮值主席国”,任期半年。顺序基本按本国文字书写的国名字母排列。

拉脱维亚自2015年1月1日起接任欧盟轮值主席国,为期半年。

爱沙尼亚自2017年7月1日起首次担任为期半年的欧盟轮值主席国。

欧盟在国际舞台上发挥着积极作用。欧盟与世界上大多数国家和地区建立了外交关系,并缔结了各种经贸合作协定。

❷ 欧盟的RoHS指令的具体内容是什么

欧洲议会和理事会2003年1月23日第2002/95/EC号

关于在电子电气设备中限制使用某些有害物质指令

(根据原文翻译,仅供参考)

欧洲议会和欧盟理事会,

注意到成立欧洲共同体的条约,特别是其中第95条,

注意到欧盟委员会的建议 ,

注意到欧盟经济与社会委员会的意见 ,

注意到欧盟地区委员会的意见 ,

按照欧洲共同体条约第251条所规制的程序行事并根据协调委员会于2002年11月8日通过的联合文本 ,

鉴于:

(1) 各成员国为限制在电子电气设备中使用有害物质而制订的法规或行政措施之间存在的差异能产生贸易壁垒和扭曲共同体内的竞争,甚至对单一市场的建立及其功能产生直接影响。因此有必要协调成员国在此领域的法规,以利于保护人类健康和报废电子电气设备合乎环境要求的回收和处理。

(2) 欧盟理事会于2000年12月7~9日在尼斯召开的会议上批准了部长理事会于2000年12月4日就预防原则通过的决定。

(3) 欧盟委员会1996年7月30日回顾共同体废弃物管理战略的通讯强调了减少废物中有害物质含量的必要并指出制定在产品和加工过程中限制使用这些有害物质的欧共体法规的潜在益处。

(4) 理事会1988年1月25日为消除镉环境污染的欧共体行动计划的决定要求欧盟委员会刻不容缓地发展该计划中的特殊措施。人类健康也必须得到保护,因此应实施一个特别限制镉的使用及加快研究其替代品的整体战略。决定强调在不存在适当的和更安全的选择的情况下应限制镉的使用。

(5) 证据表明,欧盟理事会和欧洲议会2003年1月27日关于报废电子电气设备的第2002/96/EC号指令规定的报废电子电气设备的收集、处理、回收和处置措施对于减少与涉及的重金属和阻燃剂相关的废物管理问题很必要。然而,尽管有那些措施,但在目前的废物处理中仍将继续发现报废电子电气设备的实质部分。即使报废电子电气设备被分类收集并遵守回收程序,但汞、镉、铅、六价铬、聚溴联苯(PBB)、聚溴二苯醚(PBDE)的成分仍有可能对人类健康和环境形成危险。

(6) 考虑到技术和经济的可行性,确保显着减少这些物质对健康和环境形成的危险的最有效的、且在共同体内可实现所选择保护水平的方式是在电子电气设备中以安全或更安全的物质替代它们。限制这些有害物质的使用也就是提高报废电子电气设备回收的可能性和经济利益并减少它们对回收工厂工人健康所造成的负面影响。

(7) 要科学研究与评估本指令管辖的物质,它们已在欧共体和成员国层面受到不同措施的管理。

(8) 本指令规定的措施考虑了现有的国际准则和建议并基于对可获得的科学和技术信息的评估。由于缺乏措施可能在共同体内产生危险,所以这些措施对实现所选择的对人类和动物健康及环境的保护水平是必要的。应及时检查这些措施,必要时,考虑了获得的科技信息后可进行调整。

(9) 本指令的实施不影响共同体在安全和卫生要求方面的立法以及共同体关于废物管理的特殊立法,特别是1991年3月18日理事会关于含有某些危险物质的电池和蓄电池的第91/157/EEC号指令。

(10) 应考虑不含有重金属、聚溴二苯醚(PBDE)和聚溴联苯(PBB)的电子电气设备的技术发展。一旦获得了科学证据和考虑了预防原则,应检查是否可禁止其它有害物质的使用并以更加合乎环境要求的、确保对消费者的保护不低于相同水平的替代品来替代它们。

(11) 如果从科技角度来看,不可能有替代品,或者替代品对环境和健康所造成的负面影响大于其对环境和健康带来的益处,那幺可免除执行替代品的要求。开发电子电气设备中有害物质替代品的工作仍要继续进行,以使它们符合电子电气设备使用者的健康与安全需要。

(12) 因为产品的再利用、翻新和延长使用期是有益的,所以需要提供必要的零件。

(13) 与逐步停止使用和禁止使用有害物质的要求免除相关的科技进步的修改应由欧盟委员会按照委员会程序实现。

(14) 实施本指令所必要的措施应根据理事会1999年6月28日的1999/468/ECs决议规定的、实施授权给欧委会的权力的程序来采纳。

兹通过本指令:

第1条
目 标

本指令的目标是使各成员国关于在电子电气设备中限制使用有害物质的法律趋于一致,有助于保护人类健康和报废电子电气设备合乎环境要求的回收和处理。

第2条
范 围

1. 在不违反第6条的情况下,本指令应适用于指令第2002/96/EC号指令(WEEE)附录ⅠA规定的1、2、3、4、5、6、7和10类电子电气设备,以及家用电灯泡和照明设施。
2.本指令的实施不应违背共同体关于安全和健康要求的立法和共同体关于废物管理的专门立法。
3.本指令对2006年7月1日前投放市场的电子电气设备的部件、修理部件或再利用部件不适用。

第3条
定 义

就本指令而言,适用下述定义:
(a)"电子电气设备"或"EEE"指为正常运行而依赖于电流或电磁场工作的设备和指令2002/96/EC(WEEE)附件ⅠA中列出的能产生、传输和测量电流和电磁场的设备,且这些设备的设计电压是交流电不超过1000伏特,直流电不超过1500伏特;
(b)"生产者"指任何人,他们不管所采用的销售技术,根据欧洲议会和理事会1997年5月20日关于保护远程合同 中消费者的第1997/7/EC号指令包括程通讯:
(i)用自己品牌生产并销售电子电气设备;
(ii)以自己品牌再销售由其它供货商提供的设备,如果再销售的设备上仍保留原生产者的品牌,这样的再销售者不能视作为上述(i)副点的生产者;或
(iii)专业从事向成员国进口或出口电子电气设备。
仅仅是按照某种金融协议提供资金者不能被视为 "生产者",除非他符合上述(i)至(iii)副点作为生产者行事。

第4条
防 止

1.成员国将确保,从2006年7月1日起,投放于市场的新电子和电气设备不包含铅,汞,镉,六价铬,聚溴二苯醚(PBDE)或聚溴联苯(PBB)。成员国在本指令通过前根据共同体法规制定的限制或禁止在电子电气设备中使用这些物质的措施可以维持至2006年7月1日。
2.条款1将不适用于附件中所列举的应用。
3.基于欧委会的建议,一旦可获得科学证据,欧洲议会和理事应根据《第六个共同体环境行动计划》中规定的化学政策原则决定其它有害物质的禁用以及选择确保对消费者保护水平至少相同的更加合乎环境要求的产品作为其替代品。

第5条
适应科学和技术进步

1.为下列目的,旨在使附件适应科技进步的必要修改,应根据条款7(2)提及的程序而进行:
(a)必要时,可建立允许在电子电气设备的特殊物质和部件中含有条款4(1)所提及物质的最高值;
(b)电子电气设备的材料和组件可背离第4款(1)的规定,如果它们的去除或通过设计改变而使用替代品或使用不含有提及的材料或物质的材料或组件在科技上中不现实时,或替代品对环境、健康和/或消费者安全造成的负面影响好象超过它们对环境、健康和/或消费者安全造成的益处时;
(c)至少每隔四年对附件进行一次检查,或者在将一项加入到附件后四年对附件进行检查,加入新项的目的是考虑取消附件中的电子电气设备材料和组件,如果它们的去除或通过设计改变而使用替代品或使用不包括第4(1)款的材料或物质的材料和组件在科技上是可行时,条件是替代品对环境、健康和/或消费者安全产生的负面影响不可能大于其对环境、健康和/或消费者安排带来的正面利益。
2.附件在遵照条款1修改之前,欧盟委员会将专门与电子电器设备生产者、回收者、垃圾处理者、环保组织和雇员与消费者协会咨询磋商。磋商结果应递交给条款7(1)提及的委员会。欧盟委员会应考虑其收到的意见。

第6条
检 查

在2005年2月13日之前,欧盟委员会应检查本指令规定的措施以便必要时考虑新的科学证据。
特别是,欧盟委员会应在该日期之前提交将第2002/96/EC(WEEE)号指令附件ⅠA所列的第8和第9类的设备纳入本指令范围的建议。
委员会也将根据科学事实并考虑预防原则,研究条款4(1)中物质是否需要调整,适当时,可向欧洲议会和理事会提出建议。
应当特别注意检查电子电气设备中使用的其它有害物质和材料对环境和人类健康的影响。欧委会将检查取代这些物质和材料的可行性,并且在适当的时候,就扩大第4条的范围向欧洲议会和理事会提交建议。

第7条
委员会

1.欧盟委员会将由根据第75/442/EEC号指令第18条成立的委员会协助工作。
2.当参考本款时,应适用第1999/468/EC号决议第5条、第7条以及第8条。
第1999/468/EC号决议第5条6款规定的期间应被定为3个月。
3.委员会将采用其程序规定。

第8条
惩 罚

成员国应决定对违反根据本指令而制定的成员国规定的行为适当的惩罚。这些规定的惩罚应当有效,适度并有劝诫性。

第9条
过 渡

1.成员国应在2004年8月13日之前使符合本指令所必要的法律、规则和行政规定生效。并将这些立即通知欧委会。
当成员国制订那些措施时,它们必须包括本指令的参照号或在该国官方出版物上出版时伴以此参考号。标志此参考号的方法由成员国规定。
2.成员国要将本指令范围内制定的所有法律、规则和行政规定的文本通知欧委会。

第10条
生 效

本指令自在欧洲共同体《官方公报》上公布之日起生效。

第11条
收受方

本指令将签发至各成员国。

2003年1月23日完成于布鲁塞尔

欧洲议会主席 理事会主席
P. COX G. DRYS

附录
免除第4(1)条中所要求的铅、汞、镉和六价铬的应用

1.小型日光灯中的汞含量不得超过5毫克/灯。
2.一般用途的直管日光灯中的汞含量不得超过:
—— 盐磷酸盐 10毫克;
—— 正常的三磷酸盐 5毫克;
—— 长效的三磷酸盐 8毫克。
3.特殊用途的直管日光灯中的汞含量。
4.本附录中未特别提及的其它照明灯中的汞含量。
5.阴极射线管、电子部件和发光管的玻璃内的铅含量。
6.钢中合金元素中的铅含量达0.35%、铝含量达0.4%,铜合金中的铅含量达4%。
7.—— 高温融化的焊料中的铅(即:锡铅焊料合金中铅含量超过85%);
—— 用于服务器、内存和存储系统的焊料中的铅(豁免准予至2010年);
—— 用于交换、信号和传输,以及电信网络管理的网络基础设施设备中焊料中的铅;
—— 电子陶瓷产品中的铅(例如:高压电子装置)。
8.根据修改关于限制特定危险物质和预制品销售和使用的第76/769/EEC号指令的第91/338/EEC号指令禁止以外的镉电镀。
9.在吸收式电冰箱中作为碳钢冷却系统防腐剂的六价铬。
10.根据在第7(2)条中提及的程序,欧盟委员会应评价以下方面的应用:
—— 台卡二苯醚(Deca BDE);
—— 特殊用途的直管日光灯中的汞;

—— 以下用途中所使用的焊料中的铅:服务器、内存、用于交换和传输的网络基础设施、电信网络管理设备(旨在设定本指令豁免部分的特定截止时间);

—— 灯泡;
目前重点是尽快决定这些项是否进行相应的修改

❸ 网络安全的发展现状

随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
国外
2012年02月04日,黑客集团Anonymous公布了一份来自1月17日美国FBI和英国伦敦警察厅的工作通话录音,时长17分钟,主要内容是双方讨论如何寻找证据和逮捕Anonymous, LulzSec, Antisec, CSL Security等黑帽子黑客的方式,而其中涉及未成年黑客得敏感内容被遮盖。
FBI已经确认了该通话录音得真实性,安全研究人员已经开始着手解决电话会议系统得漏洞问题。
2012年02月13日,据称一系列政府网站均遭到了 Anonymous 组织的攻击,而其中CIA官网周五被黑长达9小时。这一组织之前曾拦截了伦敦警察与FBI之间的一次机密电话会谈,并随后上传于网络。
国内
2010年,Google发布公告称将考虑退出中国市场,而公告中称:造成此决定的重要原因是因为Google被黑客攻击。
2011年12月21日,国内知名程序员网站CSDN遭到黑客攻击,大量用户数据库被公布在互联网上,600多万个明文的注册邮箱被迫裸奔。
2011年12月29日下午消息,继CSDN、天涯社区用户数据泄露后,互联网行业一片人心惶惶,而在用户数据最为重要的电商领域,也不断传出存在漏洞、用户泄露的消息,漏洞报告平台乌云昨日发布漏洞报告称,支付宝用户大量泄露,被用于网络营销,泄露总量达1500万~2500万之多,泄露时间不明,里面只有支付用户的账号,没有密码。已经被卷入的企业有京东(微博)商城、支付宝(微博)和当当(微博)网,其中京东及支付宝否认信息泄露,而当当则表示已经向当地公安报案。
未来二三十年,信息战在军事决策与行动方面的作用将显着增强。在诸多决定性因素中包括以下几点:互联网、无线宽带及射频识别等新技术的广泛应用;实际战争代价高昂且不得人心,以及这样一种可能性,即许多信息技术可秘密使用,使黑客高手能够反复打进对手的计算机网络
据网易、中搜等媒体报道,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共安全利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。审查的重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。
技术支配力量加重
在所有的领域,新的技术不断超越先前的最新技术。便携式电脑和有上网功能的手机使用户一周7天、一天24小时都可收发邮件,浏览网页。
对信息战与运作的影响:技术支配力量不断加强是网络战的根本基础。复杂且常是精微的技术增加了全世界的财富,提高了全球的效率。然而,它同时也使世界变得相对脆弱,因为,在意外情况使计算机的控制与监视陷于混乱时,维持行业和支持系统的运转就非常困难,而发生这种混乱的可能性在迅速增加。根据未来派学者约瑟夫·科茨的观点,“一个常被忽视的情况是犯罪组织对信息技术的使用。”时在2015年,黑手党通过电子手段消除了得克萨斯州或内布拉斯加州一家中型银行的所有记录,然后悄悄访问了几家大型金融服务机构的网站,并发布一条简单的信息:“那是我们干的——你可能是下一个目标。我们的愿望是保护你们。”
未来派学者斯蒂芬·斯蒂尔指出:“网络系统……不单纯是信息,而是网络文化。多层次协调一致的网络袭击将能够同时进行大(国家安全系统)、中(当地电网)、小(汽车发动)规模的破坏。”
通信技术生活方式
电信正在迅速发展,这主要是得益于电子邮件和其他形式的高技术通信。然而,“千禧世代”(1980年-2000年出生的一代——译注)在大部分情况下已不再使用电子邮件,而喜欢采用即时信息和社交网站与同伴联系。这些技术及其他新技术正在建立起几乎与现实世界中完全一样的复杂而广泛的社会。
对信息战和运作的影响:这是使信息战和运作具有其重要性的关键的两三个趋势之一。
破坏或许并不明目张胆,或者易于发现。由于生产系统对客户的直接输入日益开放,这就有可能修改电脑控制的机床的程序,以生产略微不合规格的产品——甚至自行修改规格,这样,产品的差异就永远不会受到注意。如果作这类篡改时有足够的想象力,并且谨慎地选准目标,则可以想象这些产品会顺利通过检查,但肯定通不过战场检验,从而带来不可设想的军事后果。
信息技术与商业管理顾问劳伦斯·沃格尔提醒注意云计算(第三方数据寄存和面向服务的计算)以及Web2.0的使用(社交网及交互性)。他说:“与云计算相关的网络安全影响值得注意,无论是公共的还是私人的云计算。随着更多的公司和政府采用云计算,它们也就更容易受到破坏和网络袭击。这可能导致服务及快速的重要软件应用能力受到破坏。另外,由于Facebook、博客和其他社交网在我们个人生活中广泛使用,政府组织也在寻求与其相关方联络及互动的类似能力。一旦政府允许在其网络上进行交互的和双向的联络,网络袭击的风险将随之大增。”
全球经济日益融合
这方面的关键因素包括跨国公司的兴起、民族特性的弱化(比如在欧盟范围之内)、互联网的发展,以及对低工资国家的网上工作外包。
对信息战及运作的影响:互联网、私人网络、虚拟私人网络以及多种其他技术,正在将地球联成一个复杂的“信息空间”。这些近乎无限的联系一旦中断,必然会对公司甚至对国家经济造成严重破坏。
研究与发展
(R&D)促进全球经济增长的作用日益增强, 美国研发费用总和30年来稳步上升。中国、日本、欧盟和俄罗斯也呈类似趋势。 对信息战及运作的影响:这一趋势促进了近数十年技术进步的速度。这是信息战发展的又一关键因素。 R&D的主要产品不是商品或技术,而是信息。即便是研究成果中最机密的部分一般也是存储在计算机里,通过企业的内联网传输,而且一般是在互联网上传送。这种可获取性为间谍提供了极好的目标——无论是工业间谍,还是军事间谍。这(5)技术变化随着新一代的发明与应用而加速
在发展极快的设计学科,大学生一年级时所学的最新知识到毕业时大多已经过时。设计与销售周期——构想、发明、创新、模仿——在不断缩短。在20世纪40年代,产品周期可持续三四十年。今天,持续三四十周已属罕见。
原因很简单:大约80%过往的科学家、工程师、技师和医生今天仍然活着——在互联网上实时交流意见。
机器智能的发展也将对网络安全产生复杂影响。据知识理论家、未来学派学者布鲁斯·拉杜克说:“知识创造是一个可由人重复的过程,也是完全可由机器或在人机互动系统中重复的过程。”人工知识创造将迎来“奇点”,而非人工智能,或人工基本智能(或者技术进步本身)。人工智能已经可由任何电脑实现,因为情报的定义是储存起来并可重新获取(通过人或计算机)的知识。(人工知识创造)技术最新达到者将推动整个范式转变。

❹ 谁有深度整理的欧盟《一般数据保护法案》(GDPR)核心要点中文内容

前言:

整理本文的原因有三:

1、 网上很多关于GDPR的文章并不全面,甚至有误

2、 以此机会在公司内部开展关于GDPR的专项培训

3、 青莲云的部分客户业务在未来会受到GDPR的影响

之后,我们计划编写一系列相关文章,更多的是站在企业角度来思考法案对物联网行业的影响以及应对措施,一来希望与同行企业可以就GDPR进行更多的互动讨论;二来也是希望传播国际法案对于安全和隐私的态度,共同提高物联网安全意识。

以下您将了解到:

1、 什么是GDPR(重要)

2、 GDPR的发展历程

3、 GDPR的关键术语定义(重要)

4、 GDPR会影响哪些企业(重要)

5、 GDPR不适用于哪些情况

6、 GDPR约束了哪些数据(重要)

7、 GDPR中数据主体的权利(重要)

8、 GDPR中处理个人数据的基本原则(重要)

9、 GDPR中对合法处理数据的定义

10、 GDPR中针对儿童数据的处理规定

11、 GDPR中数据控制者与数据处理者的义务(重要)

12、 GDPR中针对特别类型个人数据的处理规定

13、 GDPR中关于数据主体被遗忘权的规定(重要)

14、 GDPR中关于数据主体可携带权的规定(重要)

15、 GDPR中关于个人数据泄露通知的规定(重要)

16、 GDPR中关于设立数据保护官的规定

17、 GDPR关于执法和处罚的规定(非常重要)

18、 总结

什么是GDPR

2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation (GDPR)),新法案由11章共99条组成,该法案将于2018年5月25日正式生效,将取代现有的《数据保护指示》(Data Protection Directive 95/46/EC),统一欧盟成员国关于数据保护的法律法规。

此外,GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。

GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案

GDPR的发展历程

(图片来自网络)

GDPR的关键术语定义

个人数据:是指任何指向一个已识别或可识别的自然人(数据主体)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号、定位数据、在线身份识别这列标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。

处理:是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用、排列、组合、限制、删除或销毁,无论此操作是否采用自动化手段。

匿名化:是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。

数据控制者:能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。

数据处理者:是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。

数据接受者:只是接收到被传递的个人数据的主体,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据,不得视为“数据接受者”。

个人数据外泄:是指个人数据在传输、存储或进行其他处理时的由安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。

GDPR会影响哪些企业

欧盟GDPR法案具有域外效应。也就是说,GDPR赋予了欧盟在个人信息安全方面的域外管辖权。

主要受影响的企业为以下四类:

l 设立在欧盟境内的企业(控制者、处理者)

l 未在欧盟境内设立,但向欧盟境内的数据主体(自然人)提供产品和服务的企业(控制者、处理者)

l 未在欧盟境内设立,但涉及监控欧盟境内数据主体(自然人)行为的企业(控制者、处理者)

l 未在欧盟境内设立,但在欧洲成员国法律适用的地方设立的企业(控制者、处理者)

总结来说,GDPR不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。

GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案,数据控制者也无法免除责任,GDPR规定控制者需要承担更多的责任,以确保和数据处理者之间的合同能够严格遵守GDPR的规定。

GDPR不适用于哪些情况

GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR:

l 为了预防、调查、侦查或起诉刑事犯罪,主管当局为执行刑事处罚目的而产生的数据处理行为

l 基于国家安全目的而产生的数据处理行为

l 自然人在纯粹的个人或家庭活动中产生的数据处理行为

l 欧盟法律规定范围之外的活动过程中产生的数据处理行为

GDPR约束了哪些数据

个人数据:

可以通过某个标识直接或间接识别某一自然人的信息。

不管是采用自动化手段还是人工进行归类的数据,包括按时间顺序排列的包含个人数据的记录集合。

已经被匿名化的个人数据,取决于用已有标识来识别特定个体的困难程度。

敏感个人数据:

也被称为“特殊种类的个人数据”。

包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。

包括遗传数据和经过处理可以唯一识别个体的生物特征数据。

不包括涉及刑事定罪和罪行的个人数据,但该类数据的处理和保存有特殊要求。

GDPR中数据主体的权利(第三章)

l 知情权

l 访问权

l 反对权

l 可携带权

l 纠正权

l 删除权/被遗忘权

l 限制处理权

l 免受数据画像影响

GDPR中处理个人数据的基本原则

l 合法、正当、透明

l 处理数据的目的是有限的

l 仅处理为达到目的的最少数据

l 确保数据准确、及时更新

l 存储数据的期限不得长于为达到目的所需要的时间

l 采取技术和管理措施以保护数据的安全

l 数据控制者有责任并应能够证明做到了以上几点

GDPR中对合法处理数据的定义

至少满足一下中的某一项,处理数据才是合法的

l 数据主体同意为了特定目的处理其数据

l 处理数据是为了签订或履行合同的需要

l 处理数据是为了遵守法定义务的需要

l 处理数据是为了保护数据主体或其他自然人的至关重要的利益

l 处理数据是为了公共利益或形式政府授受的权力

l 处理数据是为了追求数据控制者的合理利益,但不得损害数据主体的利益

GDPR中针对儿童数据的处理规定

处理16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可以对上述年龄进行调整,但是不得低于13岁

GDPR中数据控制者与数据处理者的义务

设置DPO(数据保护官)

文档化管理

数据保护影响评估

事先咨询机制

数据泄露报告机制

安全保障措施

遵守数据跨境转移规则

GDPR中针对特别类型个人数据的处理规定

禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。

GDPR中关于数据主体被遗忘权的规定(重要)

当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。

如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。

GDPR中关于数据主体可携带权的规定(重要)

数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。

GDPR中关于个人数据泄露通知的规定(重要)

数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误的通知数据主体,以便数据主体及时采取措施。

GDPR中关于设立数据保护官的规定

为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(DPO)。

控制者和处理者应当对数据保护官不下达任何指令,DPO不能因为执行任务的原因被解雇或者受到刑事处罚。

数据保护官直接向最高管理者报告工作。

根据联盟法律或者成员国法律规定,数据保护官应当对其执行任务的内容进行保密。

数据保护官也可以执行其他任务,履行其他职责。

GDPR关于执法和处罚的规定(非常重要)

不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。

GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定:

对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);

对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者);

判罚的严重程度是基于以下因素:

l 违规的性质、严重程度和违规的持续时间

l 违规是故意的还是因疏忽造成的

l 对个人身份信息的责任心和控制程度

l 违规是单个事件还是重复事件

l 受到影响的个人资料的种类范围

l 数据主体遭遇的损害程度

l 为了减轻损害而采取的行动

l 由违规产生的财务预期或收益

GDPR核心旨在保护隐私数据,并通过法案约束来建立企业和公民之间的信任关系,违反GDPR的代价远不止财务层面,还将给企业声誉造成极大破坏,并且导致企业和消费者之间产生信任危机

总结

由于青莲云所在的物联网行业也处于GDPR法案的约束之中,故此整理出法案中的重点思想与业界分享。GDPR此次改革以保护公民的基本权利为理念,在提高个人数据保护标准的同时,也会增加企业的合规成本。法案的背后是对隐私和安全的需求,法案生效后会成为国际数据隐私保护标准。

对于物联网行业的相关企业(硬件、软件、制造、数据分析等)来说,从此刻开始提升物联网安全意识,关注数据安全和用户隐私安全,积极的采取相应的整改或强化措施刻不容缓。青莲云安全团队也将在不断提升自身安全攻防能力和安全合规意识的同时,与客户企业建立长期持续的安全咨询合作关系,共同建设安全、自主、可信的物联网安全新业态。

❺ 欧盟立法强化数字监管,数字市场法有何作用

欧盟正通过立法等手段加强对社交媒体、电子商务平台等网络平台的监管,以保护和支持自身数字产业的发展,维护自身的数字主权。相信欧盟正在制定的相关立法将有助于遏制不正当竞争,规范欧洲数字市场秩序。

与过去相比,这两个法案提出的新规在监管和制裁的方式和力度上都有很大不同。中欧数字协会理事长克劳迪娅·维诺蒂表示,未来欧盟将采取事前监管来解决恶性竞争问题,而不是像过去那样事后起诉和制裁,这将迫使大型互联网平台提前采取行动。此外,新出台的两项议案采取不对称规则,对大型科技企业和中小科技企业采取不同的监管标准,因此大型科技企业将面临更严厉的审查和更多的处罚。由于欧洲本土科技企业大多规模较小,欧盟此举有利于保护和支持本国数字产业的发展。

❻ 欧盟实施“最严数据信息保护条例”对中企有何影响

6至7日,60余家中国企业负责人聚集中国人民公安大学,参加“个人信息保护:中欧进展与企业合规”公益培训。

培训中,何延哲就企业如何对个人信息进行规范收集、保存和存储作出梳理,并阐释了企业提升数据安全能力的方法。

数据安全资深从业者方兴表示,数据时代来临后,许多中国企业存在把数据安全理解为信息载体安全,重视数据访问安全而忽视使用安全,重视事前保护而忽略溯源追责体系等通病。

他强调,全知的数据时代需要整体的安全视角,只有从授权、用途、量级、法律规范等多种角度动态追踪和分析风险,才可剔除数据在流动过程中埋下的隐患。

此外,多位嘉宾还就“GDPR与个人信息安全规范异同”“数据安全与企业内控”“中外合规产品设计实例与舆情”等主题进行分享。

主办方介绍,培训获得了相关企业的一致好评,未来将每月举办一次。

❼ 欧盟GDPR是什么意思

GDPR定义

GDPR (全称: General Data Protection Regulation),即《通用数据保护条例》,是一项新法律,规定了企业如何收集,使用和处理欧盟公民的个人数据。该条例在2012年1月份就已经起草,经过4年的探讨与协商,欧盟于2016年4月正式通过这一条例并宣布试行,到2018年5月25日正式全面施行。

GDPR适用范围

1.保护对象:

GDPR保护的仅是“个人数据”(personal data),不涉及个人数据以外的其他数据。

根据GDPR第4条的规定,个人数据是指,与一个已被识别(identified)或者可被识别(identifiable)的自然人相关的任何信息;可被识别的自然人是指,其可以被直接或者间接识别,尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识,或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。这里所指的个人数据仅限于有生命的自然人的个人数据,不包括死者、胎儿等。

同时,个人数据的保护不涉及匿名信息,或者经过匿名化处理以致于不再具有可识别性的个人数据。对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据(个人敏感数据),GDPR从收集、使用等角度作出了特殊规定。就个人数据的保护而言,GDPR主要适用于电脑(自动化)处理个人数据的行为,不涉及其他类型的处理行为。

GDPR第4条规定,对个人数据的自动化处理包括:

(1)收集,记录,整理,组织,存储;

(2)改编,调整,检索,查阅,利用;

(3)通过传输或者传播予以披露、提供;

(4)匹配,组合;

(5)限制,删除,摧毁。

GDPR对个人数据的保护并不绝对,其“序言”部分要求,应当平衡新闻自由、表达自由、商业自由等权利,符合比例原则、法益平衡原则等法律的基本原则。

2.管辖范围:

GDPR第3条规定,GDPR适用于以下三种情形:

(1)数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;(2)数据控制者、数据处理者未在欧盟设立营业场所,但向欧盟的数据主体提供商品或者服务,或者被追踪的网络行为发生在欧盟的;

(3)虽然数据控制者、数据处理者未在欧盟设立营业场所,但是根据国际公法应当适用欧盟成员国法律的。第二种情形是典型的域外管辖,主要针对美国的互联网企业。

3.数据主体:

在GDPR中,享有数据权利的主体被称为数据主体(data subject),个人数据所指向之自然人为数据主体。数据主体须为欧盟居民,一般要求具有成员国国籍。

4.义务主体:

GDPR主要针对两类义务主体,即数据控制者(controller)和数据处理者(processor)。控制者是指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组织。处理者是指代表控制者,处理个人数据的自然人、法人或者其他组织。

GDPR七个基本原则

  1. 合法,公平,透明三原则:与数据主体个人相关的数据信息应当以合法,公正,透明方式处理;

  2. 数据收集应当有明确的目的:个人信息收集应当目的特定,明确和合法,任何与上述目的不符合的方式将不能继续处理数据;

  3. 数据收集的最小化原则:个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据;

  4. 准确性:个人数据应当准确,如果需要尽可能保持最新的数据;

  5. 存储限制:在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;

  6. 完整性与机密性:以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”);

  7. 问责制:控制者(企业或组织)应该对并且能够证明其企业符合GDPR的规定。

数据主体的权利

数据主体指,用户、客户、员工等

  1. 信息透明度和信息机制:数据处理者或控制者必须保证数据主体行使权利的透明度、交流和模式,也就是让用户知道你在收集那些数据,为什么收据数据,用于何种目的,另外也需要让用户可以随时对自己的数据进行控制;

  2. 数据访问权,控制者应当保证数据主体可以随时访问自己的数据;

  3. 纠正权:数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式;

  4. 被遗忘权:数据主体有权要求控制者删除其数据,比如谷歌的用户可以要求谷歌移除关于其个人不利的搜索结果;

  5. 限制处理权:数据主体有权限制数据主体处理其个人数据;

  6. 关于纠正或删除个人数据或限制处理的通知义务:除非被证明不可能完成或者包含不成比例的工作量,控制者应当将根据对个人数据进行的任何纠正、删除或者处理限制,传达给已向其披露个人数据的接收者。如果数据主体请求,控制者应当通知数据主体这些接收者;

  7. 反对权:如果为了直接营销的目的而处理个人数据,数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理,其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的的处理,则个人数据不得再为此目的而被处理;

  8. 拒绝权和自主决定权;

  9. 自主化的个人决策分析。

数据控制者或数据处理者的义务

数据控制者和数据处理者,一般指保存和处理用户数据的公司

  1. 控制者应该在确定处理手段和在处理的同时,实施适当的技术和组织措施,如匿名化,即目的是实施数据保护原则,如数据最小化,以有效的方式,在处理时实施必要的保障措施,以符合法律要求,保护数据主体的权利;

  2. 控制者应该实施适当的技术和组织措施以确保,在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量,数据处理的程度,数据的存储期限和数据的可及性。特别是,这些措施应确保在没有个人对无限数量自然人的干预下,个人数据在默认情况是不可访问的;

  3. 在欧盟成员国的范围内指派欧盟代表,可以为合作伙伴,客户或第三方中介等;

  4. 数据处理者应当以数据控制者名义处理数据;

  5. 数据处理活动应当有记录;

  6. 和监督机构合作和配合,应当积极配合监管机构的调查;

  7. 处理过程的安全性:

    (a)个人数据的匿名化和加密;

    (b)数据系统保持持续的保密性、完整性、可用性以及弹性的能力;

    (c)在发生自然事故或者技术事故发的情况下,存储有用信息以及及时获取个人信息的能力;

    (d)定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理,力求确保处理过程的安全性;

  8. 数据泄露72小时报告义务:在个人数据泄露的情况下,控制者不能不当延误,而且至少应当在知道之时起72 小时以内,根据第55条向监管机构进行通知,除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72 小时,需要对迟延原因进行解释;

  9. 与数据主体进行交流:个人数据泄露可能对自然人权利和自由形成很高的风险时,控制者应当毫不延误地就个人数据泄露的主体进行交流;

  10. 数据保护影响评估以及事先咨询;

  11. 超过250人公司或处理海量数据的公司必须设置首席数据保护官。

###################################################

数字化风控咨询专家

深入耕耘风控、内控、合规领域的数字化咨询

提供GDPR合规的咨询及系统的控制体系