从2018年5月25日起,欧盟的《通用数据保护条例》(简称 GDPR,General Data Protection Regulation)开始强制施行。这个规范加强了对个人信息的保护,并且加大了对于数据泄露的处罚力度。
GDPR 是着重于欧盟的数据保护条例,那么对中国的公司有影响吗?
答案是有的!GDPR 的适用范围包括了所有处理欧盟居民个人资料的公司和机构,所以也适用于处于欧盟境外、为欧盟居民提供商品或服务的公司。对于在欧盟有业务的中国公司,在5月25号之后也要遵循 GDPR 的规范。
GDPR 中的内容和现有的很多数据保护条例相似。我们在开发和使用信息系统的时候,考虑到各个方面是非常重要的,否则有可能造成法律和经济方面的双重损失。
对于 GDPR 和个人信息的保护,我们需要注意哪些方面呢?
我们先了解一下个人信息的相关权限:
- 读取权限
- 使用的知情权。比如在用户注册网站的时候,必须同意“隐私条款”。在这些条款中,网站必须通知用户他们的信息会被如何使用
- 删除权。当用户需要删除个人信息的时候,相关的公司和机构必须执行。比如当某人从学校毕业之后,他有权让自己的信息从各类“校友网络”中移除
- 移植权。个人可以要求自己的信息从一个组织机构转移到另一个组织机构
- 限制使用权。当我们不想让自己的信息被某些业务流程使用的时候,我们有权利进行阻止
作为组织机构,在处理个人信息的时候需要遵循以下原则:
- 遵循隐私条款
- 遵循信息的使用目的。比如:在 HR 进行招聘的时候,通过社交网络中的信息来对候选人进行判断,是不合适的,因为社交网络中信息的使用目的是个人生活而非职业
- 使用和保存最少的信息
- 将信息保存尽可能短的时间。一旦个人信息不再被使用,则需要移除
- 保持信息的更新和准确
- 信息使用的透明。这一点和上面提到的“信息被使用的知情权”相对应
- 信息的保密