从GDPR和个保法看,为什么要做数据合规?
什么是数据合规性?
数据合规性是遵循公司治理、行业组织和政府制定的法规的做法。这些法规规定了有关如何收集、使用、存储和管理敏感数据的协议以及其他要求,以防止其丢失、损坏、盗窃和滥用。许多数据合规性要求与数据治理和数据安全保护有关。
数据合规性与数据安全性有何不同?
数据合规侧重于准则和规则,而数据安全包括机制、流程、程序和技术。数据合规性和数据安全性的共同目标是保护敏感数据和防止数据泄露。
数据合规的好处是什么?
01、数据保护
随着我们越来越依赖技术,企业每天都在生产、共享和存储大量数据,数据安全已成为热门话题。企业必须制定适当的数据保护计划,不仅是为了保护自己,也是为了保护自己的客户。数据合规性法规迫使公司改进其数据安全标准和实践,以防止发生违规行为以及客户的敏感数据被暴露、被盗或损坏。通过遵守法规,组织可以确保他们的敏感数据不会受到损害,并确认已采取必要的预防措施来保证客户数据的安全。
02、客户信任
数据泄露的最大和最重要的后果之一是对客户信任和忠诚度的影响。根据Varonis 对数据泄露后公司声誉的分析,80%的消费者会放弃数据泄露的企业,52%的消费者会为不同品牌的安全性更高的产品或服务支付相同的费用。当一个企业采取适当的步骤来实现数据合规时,不仅可以更好地保护数据也更值得信赖和可信。
03、节约成本
不遵守合规性法规最终可能会让企业付出代价,一些不同的法规要求组织在被发现不合规时支付巨额罚款。此外,不遵守合规性法规的企业更容易受到违规行为的影响,这对公司来说也可能代价高昂。 根据IBM和Ponemon Institute的数据,2020年数据泄露的平均成本为386万美元,而客户的个人身份信息 (PII) 是损失最昂贵的记录类型。大型组织可能能够承受数百万美元违规的打击,但小型企业可能无法承受。通过遵守数据合规性法规,组织可以确保他们不会因罚款或违规而蒙受损失。
关于处罚的标准
目前欧盟处罚的标准是该企业前一年全球营业额的4% ,我们国家的个保法是5%。日前滴滴行政处罚的80.26亿人民币是我国《个人信息保护法》生效以来全球数据隐私保护领域迄今为止最高罚单。
全球部分地区数据隐私立法的梳理
全球隐私保护相关法律覆盖区域
标蓝■:有相关法律发布
标黄■:无相关法律发布
中华人民共和国(针对大陆地区)
PIPL 个人信息保护法
《中华人民共和国个人信息保护法》2021年8月20日正式通过,2021年11月1日起施行。标志着我国个人信息立法保护的历史新篇章,也是全球个人信息法治发展的重大里程碑。
《个人信息保护法》从“个人信息“定义、处理原则、处理个人信息的前提条件、对个人同意处理个人信息的要求、共同处理者的连带责任(处理者间约定不能对抗个人)、委托处理、处理者转移个人信息、处理者间提供处理的个人信息等所涉的义务及责任进行了明确规定,以“告知-同意-撤回同意”为逻辑主线,规范了个人信息全程处理过程中所涉及的各项权利义务及责任。
《个人信息保护法》与《网络安全法》、《数据安全法》共同构成了我国网络安全与数据保护领域的基本法律框架,使网络安全与数据保护在上位法层面得到完善,为数据安全释放价值提供了合规指引,为“我的数据信息我做主”保驾护航。
只要处理个人数据,就会引发隐私问题。
EXIN(国际信息科学考试学会)于今年发布基于《个人信息保护法》PIPL的认证考试-Privacy & Data Protection Foundation based on PIPL。
认证涵盖了《个人信息保护法》相关的主要议题,以及与欧盟《通用数据保护条例》(GDPR)的比较。
该认证考试纳入数据保护官DPO认证中的课程科目,与当前数据保护官(DPO)认证科目中基于欧盟GDPR的 Privacy & Data Protection Foundation(PDPF)并列存在。选择基于欧盟GDPR和(或)中国PIPL的认证考试来获得EXIN数据保护官DPO证书。
关于DPO认证文末有详细介绍
欧洲联盟
GDPR 《通用数据保护条例》
欧盟颁布了《通用数据保护条例》(GDPR),以深化和协调个人数据保护条例。自2018年5月25日起生效,这是一套全面而明确的指导方针,承认不同“风格”的个人数据需要不同程度的保护。敏感数据,例如健康、生物特征、遗传或犯罪历史,受到最高级别的保护。数据量也很重要,定期收集和处理大量个人数据的公司必须在政府指定的数据保护机构注册。
GDPR 适用于所有收集和处理欧盟居民个人数据的公司,无论它们位于何处。非欧盟公司必须任命一名GDPR代表(数据保护官),并将承担所有罚款和制裁。
GDPR 的一些关键要求是:
同意:组织必须获得同意才能收集个人数据,同意的程度根据所收集的个人数据的类型而有所不同。
数据最小化:针对应用程序多年来无偿收集个人数据而没有明确目的,GDPR 规定组织只能收集与明确定义的业务目标明确相关的个人数据。如果组织出于一个目的收集个人数据,但随后决定将其用于其他目的(例如消费者分析),则可能被视为不合规。
个人权利:GDPR 的另一个关键特征是它赋予数据主体(即,正在收集其个人数据的个人)非常明确的权利,以了解为什么要收集他们的数据以及如何处理这些数据。他们有权反对、纠正——他们有权被删除/遗忘。如果他们的个人数据遭到破坏,可能危及他们的自由和权利,他们也有权(单独)收到通知。
GDPR 最独特的方面之一是它的“处罚标准”——对违规行为(最高1000万欧元或全球年营业额的2%,以较高者为准)和违规行为(最高2000万欧元或全球年营业额的4%,以较高者为准)。
加拿大
PIPEDA:个人信息保护和电子文件
2000年4月13日获得王室批准的《个人信息保护和电子文件法》(PIPEDA) 是加拿大针对私营部门组织的联邦隐私法。其最初目的是通过规范处理个人信息的企业来唤起人们对电子商务的信任。该法规适用于任何在商业活动过程中收集消费者数据的加拿大私营企业,以及针对加拿大客户的国际公司。PIPEDA 适用于收集的有关可识别个人的数据,例如姓名、年龄、种族、病史、意见、评论和婚姻状况。
PIPEDA 基于十项公平信息原则,根据这些原则,企业必须在收集数据之前征得客户的同意。此外,他们必须坚持透明的个人数据政策,并将数据收集限制在明确和特定的目的。个人有权访问他们的数据并质疑其准确性,PIPEDA还要求组织对数据丢失或被盗负责。自2018年11月1日起,受PIPEDA约束的组织有义务向加拿大隐私专员和受违规影响的个人披露个人信息安全漏洞。如果不这样做,可能会导致高达 100,000 加元的罚款。
巴西
LGPD:巴西通用数据保护法
巴西通用数据保护法 (LGPD) 于2020年生效,旨在以规范公共和私营部门的通用数据保护法补充和取代现有立法。它不仅旨在保护个人数据,而且通过与 GDPR设定的国际合规标准保持一致来加强巴西的经济。LGPD监管任何收集巴西人个人信息的组织,无论是小型企业还是跨国公司。受保护的数据既包括可识别个人的数据,也包括可以推断身份或用于行为分析的匿名数据。
受LGPD约束的实体必须任命一名数据保护官 (DPO),以实施最佳实践并与巴西数据保护机构 ANPD 进行沟通。公司还必须确保个人数据的安全,并且必须将任何可能具有破坏性的数据泄露通知 ANPD。此外,消费者将有权了解收集其数据的目的,并要求对其进行更改、删除或转移。不遵守这些规定的公司将被支付高达其在巴西年总收入的2%或高达5000万美元的巴西雷亚尔。
澳大利亚
澳大利亚数据隐私法规起源于1988年的《隐私法》,该法案通过联邦、州和领地法律的混合来规范个人信息的处理。这些由澳大利亚信息专员办公室 (OAIC) 执行的法规适用于私营部门。他们的目标是通过确保营业额超过300万澳元的澳大利亚实体符合某些合规标准来保护消费者数据。
随着 GDPR 和其他国际法规的制定,澳大利亚最近努力更新和完善其现有政策。澳大利亚政府于 2017年11月26日推出了消费者数据权 (CDR),允许能源、电信和银行业的消费者访问他们的数据,并控制与谁共享数据以及用于何种目的。违反由澳大利亚竞争和消费者委员会 (ACCC) 执行的这些规定,可能会导致高达1000万美元的罚款。2019年8月1日,澳大利亚参议院通过了《用户数据权利法案》(Customer Data Right Bill)。
南非
POPI:个人信息保护法
个人信息保护法 (POPI) 于2013年11月19日在南非签署成为法律,预计将于今年晚些时候生效。其主要目标是保护在公共和私人领域收集的个人信息。根据 POPI,南非机构必须遵守一套合规标准,以确保负责任地收集、存储、处理和共享个人信息。POPI 适用于所有南非公司,尽管它专门针对处理大量消费者信息的实体,例如银行、医疗机构和保险公司。该法律不仅保护个人,而且延伸到任何法律认可的实体,包括公司和社区。
在POPI下,消费者可以访问他们的数据,可以请求删除或修改数据,并控制与谁共享数据。公司必须出于有效和透明的原因收集数据,仅在严格需要时保留数据。此外,他们必须遵守安全合规标准;确保数据不被破坏或损害,无论是他们自己还是任何可能代表他们处理数据的第三方。未能满足 POPI 要求可能会导致声誉受损、罚款和监禁。
美国加州
CCPA:加州消费者隐私法
加州消费者隐私法 (CCPA) 侧重于消费者隐私权。自2020年1 月1日起生效并由加利福尼亚州总检察长强制执行的 CCPA 将监管属于个人的数据,例如互联网活动、cookie、IP 地址和生物特征数据,以及“家庭数据”例如,由家庭中的物联网设备生成。
根据 CCPA,消费者有权了解收集或出售了哪些个人数据,以及出于何种目的,包括披露可追溯到2019年1月1日的先前销售情况。他们有权访问数据,要求将其删除,并选择不收集或出售它。行使这些隐私权的人仍然有权以相同的成本获得平等的服务。消费者还有权就数据泄露和隐私失败起诉公司。
任何可能拥有加州居民数据的组织都可能受到CCPA法规的约束,不遵守可能导致每次违规最高7500美元的罚款。此外,消费者将能够以每条记录100至750美元的损失起诉数据泄露公司。
欧美国家早在2000年开始,已有至少数百家公司设有DPO(数据保护官)的职位,如花旗集团、美国运通、惠普、微软、脸书等。安永的一份调查数据显示,欧盟GDPR根本性地改变了全球范围内隐私保护的管理模式,75%的欧盟公司以及50%的美国公司声称GDPR合规要求是驱动其隐私工作的主要原因。
从职业发展机遇来看,隐私、合规、数据安全岗位聘用人数都在近几年大幅增长。据IAPP发布最新消息,2021 年数据隐私专家的平均工资为 140,529 美元,比 2019 年增加了 6,000 多美元。与此同时,工资中位数为 126,000 美元,比 2019 年增加了 2,950 美元。
数据保护官
DPO是由EXIN(国际信息科学考试学会)基于欧盟GDPR法律条款发布,当你成为EXIN认证的数据保护官DPO时,这不仅意味着你成功通过了对欧盟法规的全面考察,更加意味着你拥有了在组织中担任实施与维护GDPR这一角色的能力。
认证受益
1. 充分了解欧盟GDPR法律法规条例,构建个人数据保护的知识体系和实施能力,梳理企业数据合规和安全需求,设定制度流程,进行数据安全体系建设。
2. 提升企业的数据安全和隐私保护能力,组织建设数据安全治理团队,规避企业违规成本。
3. 考试通过可获得国际EXIN DPO证书,提升个人竞争力,对个人岗位提升、未来转型均有帮助。
快来加入学习吧!
学习数据合规| 数据合规
从这里| 开始
从GDPR和个保法看,为什么要做数据合规?相关推荐
- GDPR从数据主体处收集信息时的信息提供,应包含哪些内容?怎样做才合规?
2018年GDPR条例实施以后很多企业认识到,GDPR虽是欧盟法律,但有广泛的域外效力.根据GDPR第3条,对于在欧盟境内设有机构的企业,如其通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理 ...
- 【等保实践】等级保护仅仅是合规吗?
等保的前世今生 数一数,等级保护从提出到应用已经有二十多年了,各行各业的信息化系统都发生了翻天覆地的变化. 记忆回到2000年,那一年单位引进了互联网,新建的微机室中整整齐齐摆放着50台电脑,等待着检 ...
- 打造全栈安全防护体系,华为云等保合规解决方案帮企业30天过等保
打造全栈安全防护体系,华为云等保合规解决方案帮企业30天过等保 时至今日,网络安全已上升为国家战略,等保合规更是纳入了法律范畴,企业如果合规不力,需要担负相关法律责任.在法律范畴,<网络完全法& ...
- 网络安全四大合规-“3保1评”
网络安全四大合规-"3保1评" 文章目录 网络安全四大合规-"3保1评" 等保 等保的发展 等保1.0 等保2.0 等保的政策 网络安全法 术语解释 责任义务 ...
- 看完秒懂大数据用户画像!
来自:网络 什么是用户画像? 用户画像(User Profile),作为大数据的根基,它完美地抽象出一个用户的信息全貌,为进一步精准.快速地分析用户行为习惯.消费习惯等重要信息,提供了足够的数据基础, ...
- 安全合规/GDPR--23--研究:GDPR风险评估与组织架构保障
一.风险评估 风险评估贯穿于企业GDPR合规制度的建立.实施以及更新完善的每一步,也是企业判断GDPR合规制度是否必要以及如何建设的首要步骤.合规初期,企业进行GDPR风险评估的重点主要为: (1) ...
- 安全合规/GDPR--24--研究:GDPR合规体系设立与执行
企业实施GDPR合规业务,除进行整体合规风险的评估以及组织架构的搭建之外,更为关键的是如何在企业的具体事项上落实GDPR的具体要求. 一.GDPR合规制度的设立与健全 1.1 保障个人数据主体的权利 ...
- 个保法下个人信息委托处理活动合规要点
在日常的经营活动中,企业在不少业务场景下需将个人信息委托第三方处理.以某电商A公司为例,其可能涉及的个人信息委托处理活动场景如下: A.物流配送 消费者在A公司经营的电商APP下单付款后,A公司需将货 ...
- 从四大造字法看文字所承载的文化_从造字法看体验文化
龙源期刊网 http://www.qikan.com.cn 从造字法看体验文化 作者:岳 洁 来源:<文艺生活 · 文艺理论> 2010 年第 05 期 摘要 : 汉民族生活在封闭而广阔的 ...
- 个保法时代,如何起草一份合规的隐私政策
个保法时代,如何起草一份合规的隐私政策? 文/泰和泰律师事务所 陈福中.潘兴琦.刘若愚 引言 8月20日,十三届全国人大常委会第三十次会议审议通过了<中华人民共和国个人信息保护法>(下称& ...
最新文章
- 浅析从小米造车背后探索小米集团的企业网络推广策略会有怎样的灿烂
- Administer Service Cloud
- CentOS中设置ip地址等信息
- 内部类不能有静态变量(除静态的对Static的理解)
- vbs获取程序窗体句柄_PyQt5 GUI程序的基本框架
- 快速排序思路(挖坑版),代码实现
- bootstrap中如何使input中的小图标获得点击事件
- php如何写文件缓存,PHP代码篇(八)--php实现文件缓存的读写
- ALM产品六爻:TeleLogic, Rational, DevTrack, Jira, RTC, URTrack...
- 路过秋天版博客 V2.0 正式版发布 增加后台管理系统[支持多语言、多用户、多数据库、目录级URL]...
- Android-【报错】java.lang.ClassCastException: .MainActivity cannot be cast to java.lang.Runnable
- Python 类的特殊成员介绍
- 二类高层建筑中的电子计算机,高层建筑结构计算机计算原理及结果简析
- 各种版本的Linux 镜像下载网址
- 深度学习 和 技术开锁
- 使用foobar2000批量修改视频封面,批量修改artist/album
- Unity安装 ILRuntime插件
- 根据几何定义使用计算机编程求定积分的值
- 好听的女孩名字2225个 懿婕、馨媛、雨熙、若涵、馨瑜、瑾涵、羽欣、琪悦、逸菲、馨瑜、雨婷、昕妤、婉婷、梦琪、馨月、佳瑜、晓琦、婷瑛、诗琪、瑾瑜、艺琳、雨婷、欣怡、诗雨、佳琪、悦涵、昕瑶、蓓佳、诗萌、
- 单片机Fault故障常见应对办法