随着欧盟通用数据保护条例要求(GDPR)正式生效,GDPR被誉为有史以来规模最大,也是最具惩罚性的隐私法之一。GDPR对于信息治理和数据隐私保护的认知更加深入,相关模型和规定更为明确和严格。
GDPR的适用范围不限制企业实际数据处理行为是否在欧盟内进行,非欧盟成员国的企业只要满足下列两个条件之一,就受到GDPR的管辖:
1.为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
2.为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。
保护对象:GDPR以个人可识别信息为核心概念,凡是可以用作识别个人身份的相关信息,均落入GDPR保护范围,如网络数据、医疗保健和遗传数据、政治观点、性取向等。
惩罚力度:对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
授权许可:企业提供的授权许可需要简洁、明晰,并且需要提供合理的拒绝选项等。
数据权利:GDPR增强了数据主体的权利,强调数据可携带权(从数据控制方获得个人信息的副本)、被遗忘权、限制数据处理的权利、反对数字画像和数据自动处理的权利。
泄露通知:一旦发生数据泄露,企业必须在72小时内通知监管部门和用户。
数据保护官:企业必须设立数据保护官岗位,监管和规范数据处理活动。
确保每项处理活动皆具有合法目的;
新梳理自己的安全体系架构,提升企业的隐私数据安全保护能力;
制定数据保护计划,建立持续的评估流程,改变企业处理、存储和保护用户个人数据的方式等。
作为第三方数据分析服务商,神策数据一直以来将企业客户的数据安全和合规性作为公司最重要职责。
在整个行业全力提升数据安全和隐私保护之时,神策数据随着出海客户的增多,也在加大研发投入,全方位、系统性地响应新法令。
目前,神策数据已经全面升级数据保护和服务,一切工作已准备就绪。
第一,数据全生命周期的透明、可审计。
GDPR强调要增强数据控制权与数据可见性,第5、6、25和32条分别对数据控制权做了介绍,要求:
明确目的的数据采集,为达到目的采集最少的数据;
保证数据主体的个人数据的合法性、正当性和透明性;
对个人数据的应用应当是准确且可及时更新的;
确保数据的完整性和保密性;
神策数据为企业客户提供的全程透明化的数据服务,可审计跟踪。由于神策数据可采集的是最细粒度的数据,因此从前端数据接收、中间入库、数据处理、数据应用与查询等环节等数据生命周期的各个环节均透明化,能精确地了解所有数据层面的访问及操作请求,访问者信息与操作行为可精准化地监控、追溯,实现全方位的风险控制。
第二,想采集哪些数据,可灵活定义,从源头保证合规。
灵活、可控的数据采集则可以从源头上避免不合规的数据采集。神策分析通过各个SDK提供的接口和数据采集的预处理机制,用户可以灵活把控和自定义所要采集的数据,例如完全不采集某个用户的数据,或者不采集某些字段等特定类别的数据采集。
第三,新增数据删除功能(如某用户在某设备上的数据及衍生数据等),相关数据自助操作完成。
GDPR规定,数据主体在特定情形下,拥有要求控制者删除关于个人数据的权力。第17条和第28条明确做出关于“删除权”、“被遗忘的权利”的法令,即使在收集数据之后,个人依然对该数据有支配权和一定程度的控制权:当用户撤销对企业的许可、请求企业删除数据、服务期限结束或终止时,企业应该及时删除
虽然从技术可行性和执行成本来说,针对性删除数据的难度很大,但神策数据能做到以下两方面:
1.支持企业能够根据实际需求灵活地删除数据。例如,可删除某一个用户的所有数据,也可删除某用户对某一设备数据,并删除与用户个人数据相关的所有备份。
2.基于用户个人数据的衍生出来其他形式的数据或者展现形式。如报表、用户画像等,神策数据均可同步删除,防止任何后续的数据应用。