原标题:开启您的GDPR合规之旅

图片 1

图片 2

2018年5月25日,《一般数据保护条例》(GDPR)正式宣告生效,为全球的隐私权、安全性和合规性树立了新标杆。GDPR旨在保护和实现个人的隐私权,在尊重个人选择的同时,就如何管理和保护个人数据,设定了严格的全球性隐私保护要求。相比1995指令,GDPR强化了个人隐私权保护,增强数据保护义务,强制数据泄露报告义务,以及高额的违规罚金。

欧盟史上最严网络数据隐私保护法规——“通用数据保护条例”于2018年5月25日开始生效。企业如被欧盟认定违规,最高处罚金额可至2000万欧元或年收入4%的罚款,两者之中取其最高值。有预测说,今年欧盟将有可能开出60亿美元的罚单。中国企业需高度重视该法,应投入更多资源系统地应对GDPR的合规。

有一个消息可能是在意料之内的,调查发现,鲜有公司遵守欧盟在3个多月之前开始生效的通用数据保护条例(GDPR)的要求。

尽管GDPR合规之旅充满挑战,但我们可以助您一臂之力。

事实上,该法对中国企业已经产生过影响。小米公司近日宣布其智能台灯因不能满足要求,将不在欧洲市场上市。5月25日当天,微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通等,已向欧洲区用户更新隐私政策、请求重新授权。而此前,各大公司,包括微软、苹果、谷歌和Facekook,以及中国的华为、阿里、京东等公司已采取种种行动来规范技术与业务以满足欧盟的数据合规要求。但还有大量中国企业对于GDPR认识不足,要想合规并不是简单调整就能够规避GDPR,要想不被GDPR巨额罚款的“大棍”击中,还需要做更多的、系统的应对。市场调研公司Ovum的一份调查报告显示,52%受访的IT决策者预计GDPR将导致他们的公司收到罚款。

这项由数据集成公司Talend
SA进行的调查发现,虽然受访的103个企业组织中有98%已更新了数据隐私政策以符合新条例,但70%的企业组织未能在30天限制内提供数据。

微软的GDPR承诺

从适用范围来看,GDPR针对的目标是在欧盟设立机构的企业或向欧盟境内提供产品和服务的企业,企业在处理欧盟境内个人的数据时都受到GDPR的约束。从内容上看,保护的是自然人的个人数据,包括姓名、地址、生日、医疗信息、位置信息、IP地址等。

值得注意的是,只有35%的欧洲公司——受GDPR影响最大的群体——能够满足要求,而欧盟以外的公司也只有50%。总体来看,受访的企业中有70%位于欧洲,19%位于北美,11%位于亚太。

在GDPR生效之前,微软已经实现了云服务的GDPR合规。

中国企业需要高度重视GDPR。相对而言,欧盟企业的法律与合规意识比中国企业普遍要强,加上又是在本土市场的原因,所以自2016年4月GDPR被通过以后的两年时间内,欧盟的企业很早就开始行动起来,而国外的全球化企业本来就对市场的相关规则非常重视,所以欧美企业为GDPR合规做了充分准备,也付出了较大的管理成本。而许多中国公司对于GDPR的信息相对滞后,行动相对迟缓。事实上,对于技术与业务的合规,其实施难度和成本远比想象中要大,这也是导致有些企业在5月25日前并没有调整完毕,而被迫停止产品在欧盟市场销售的原因。但短期的成本投入,会长期受益。保护用户隐私数据,满足数据合规将是未来的各个市场的趋势,全球各个市场对数据的监管一定会越来越严,这将是必然。

到目前为止,零售商表现最差,不到1/4的企业可以满足要求。表现最佳的细分市场金融服务市场在一半的情况下也不会做得更好。

微软一直以来的使命是,予力世界上每个人和每个组织机构成就不凡,而信任是这一使命的核心。我们采取有原则的方式建立信任,并对隐私、安全、合规和透明作出强有力的承诺。我们为GDPR合规开展的准备工作同样遵循这些原则。

企业需要投入更多资源系统地应对GDPR的合规。欧盟数据保护法专家克里斯托弗·库纳表示,GDPR将是一部重整全球数据秩序的法令,欧盟以外的公司也将从多个层面受到影响。企业首先需要评估,找出可能存在的问题环节,然后进行调整。而合规将是一个长期的系统性的巨大工程,涉及企业的诸多层面,达摩克里斯之剑需要一直悬挂着。从华为公司5月25日官网公告的情况看,它是从技术和流程两个维度来全面审视相关业务,以遵从GDPR的要求,目前华为根据GDPR的要求,还任命了欧盟数据保护官,所有业务单元均设置有专职的隐私相关的角色或组织。国内已经有不少企业和机构推出了GDPR顾问咨询服务,绿盟科技日前宣布推出GDPR的技术评估工具,会从人员、流程、技术和隐私治理等多个方面,帮助客户快速发现不合规的问题并提供应对措施。京东法律研究院推出了国内首部关于GDPR的专著《欧盟数据宪章——GDPR评述及实务指引》。

需要注意的是:该调查是在6月1日至9月3日之间进行的,在条例生效仅一周之后就开始了对第一家企业的调查走访,因此让对比工作变得很困难。

微软在遵守复杂法规方面拥有丰富经验。微软致力于与客户分享该等经验,帮助您的组织机构制定最佳路径,以符合GDPR的隐私要求。凭借着云服务提供商中最为全面的合规和安全产品,以及广泛的合作伙伴生态系统,微软已做好为客户的隐私和安全举措提供支持的充分准备。

全球经济正在进入“数据驱动”时代,数据流动创造价值。但是,在数据流动创造价值的同时带来更多的风险,个人信息的过度收集和滥用给数据主体的隐私、企业的信息安全和社会乃至国家的安定带来巨大的挑战。各种“数据泄露”“数据污染”现象频发,必然会破坏产业经济的可持续发展。京东集团首席人力资源官兼法律总顾问隆雨表示,如何平衡数据收集、传输、处理和使用过程当中个人信息的保护及数据商业利用之间的关系,找到中间合理的平衡点,是全球数据治理重要的课题。

Talend表示,该研究旨在了解企业是否根据GDPR更新了他们的隐私政策,满足了为客户提供简单方法来请求数据、及时响应请求并实现数据可移动性的要求。

在您的GDPR合规之旅中与微软合作

在规定时间内做出回应的企业中,有30%平均需要3周的时间,只有7家公司在24小时内做出了回应,他们主要是流媒体服务、移动银行和技术类别,而老式实体公司的表现最差。
Talend表示:“这项研究表明,脱离线上的、受遗留系统阻碍的企业可能会发现GDPR合规性更具挑战性。”

GDPR合规企业需要投入相应的时间、工具、流程和专业知识,而且可能需要对您的隐私和数据管理实践作出重大变更。如果您正在采用架构良好的云服务模式运营,且拥有有效的数据治理计划,您的GDPR合规之旅将会更加顺畅。您可以依靠微软的帮助顺利完成GDPR的合规。

目标企业代表了各种各样的行业。Talend没有透露任何被联系企业的名称,但“其中大多数是广为人知的全球品牌,或欧洲财富50强”。

微软在提供可信赖的云服务方面具有悠久历史。我们采取有原则的方法确保隐私、安全、合规和透明,坚定承诺确保您可以信任我们提供的技术。我们拥有业内最广泛的合规工具组合,并且率先采用了ISO/IEC
27018云隐私标准等关键标准。

在研究人员发现的异常情况中,有四家企业未经许可就删除了账户和数据,还有四家企业似乎不知道“个人数据”指的是什么。几乎每家企业都未能满足数据可移植性的要求。可移植性让人们可以轻松地将个人数据从一个IT环境安全地移动、复制或传输到另一个IT环境。

在开展GDPR合规准备工作时,我们可以向您提供:

在无法作出回应之前,有数量不详的企业要求提供额外的个人信息,这表明数据治理不善。一家顶级金融企业通过安全邮件快递提供打印页面作为回应,这就是不可移植的代表。只有极少数企业提供了Talend称之为“一键式、令人难忘的客户体验”。毫不奇怪,他们是非常注重技术的企业,例如Spotify
AB、N26 GmbH和Garmin。


满足您需求的技术。
您可以充分利用我们广泛的企业云服务组合,以履行您根据GDPR承担的各方面义务,包括删除、更正、转移、访问个人数据和数据主体提出的反对处理其个人数据的请求。此外,您还可以通过微软广泛的全球合作伙伴生态系统获得支持。

GDPR规定了每次违规行为的罚款为2000万欧元(约合2300万美元)或企业全年全球收入的4%,以较大金额为准。这意味着被调查的企业将受到至少16亿美元的罚款。迄今为止,没有关于根据新准则成功起诉的报告,这意味着欧洲监管机构目前至少还有相当数量的资金机会。


契约式承诺。
我们通过对云服务的契约式承诺为您提供支持,包括根据GDPR要求及时提供安全支持和通知。

声明:本网站发布的内容以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户
调查发现:GDPR合规状态非常糟糕


分享我们的经验。
我们将分享GDPR合规历程,通过我们的经验帮助贵组织机构制定最佳合规路径。

启动GDPR合规工作

以平台式途径实现GDPR合规

用于创建、存储、分析和管理数据的系统可能分布在各种IT环境中——个人设备、本地服务器、云服务,甚至物联网。这意味着您的大部分IT环境可能需要遵守GDPR要求。

在开展GDPR合规工作之前,最好首先全面考察相关要求以及所有监管和法律隐私义务。例如,GDPR所要求的用于防止、检测和响应漏洞和数据泄露的安全控制措施,与其他数据保护标准(例如ISO
27018云隐私标准)要求的控制措施类似。

最佳做法不是具体跟踪每份标准或法规所要求的控制措施,而是确定一套全面的控制措施和功能,以满足这些要求。同样,对于像GDPR这样的综合性法规,最好不要逐一评估具体的技术和解决方案,而应从平台角度(例如包含Windows、Microsoft
SQL Server、SharePoint、Exchange、Office 365、Azure和Dynamics
365的平台)出发,这样可以提供更清晰的路径,以确保您遵守GDPR。

我们建议您按照以下四个关键步骤开启您的GDPR合规之旅:

• 发现——识别持有的个人数据并确认其存储位置。

• 管理——对个人数据的使用和访问进行治理。

• 保护——设立安全控制措施,防范、监测并响应漏洞和数据泄露。

• 报告——执行数据请求,提供数据泄露通知,并保留所需的文档记录。

图片 3

中国的云服务

在中国,基于微软服务于全球的领先技术,由世纪互联本土运营的Microsoft
Azure、Office 365和Power
BI云服务也采取了微软全球云服务一致的措施,并作出了与微软云服务同样的GDPR承诺,帮助中国客户以及落地中国的跨国企业实现GDPR合规。

微软GDPR合规工具

想要了解微软针对GDPR合规四个关键步骤的的示例工具、资源和功能,敬请通过【阅读原文】访问微软信任中心的GDPR栏目。在这里,微软分享了GDPR合规评估工具帮助您的组织机构进行GDPR合规快速评估。

我们未来还将发布更多文章,详细介绍微软和世纪互联如何通过我们的产品和服务助您实现GDPR合规。返回搜狐,查看更多

责任编辑: