从GDPR和个保法看,为什么要做数据合规?

01

什么是数据合规性?

数据合规性是遵循公司治理、行业组织和政府制定的法规的做法。这些法规规定了有关如何收集、使用、存储和管理敏感数据的协议以及其他要求,以防止其丢失、损坏、盗窃和滥用。许多数据合规性要求与数据治理和数据安全保护有关。

数据合规性与数据安全性有何不同?

数据合规侧重于准则和规则,而数据安全包括机制、流程、程序和技术。数据合规性和数据安全性的共同目标是保护敏感数据和防止数据泄露

 

02

数据合规的好处是什么?

01

数据保护

随着我们越来越依赖技术,企业每天都在生产、共享和存储大量数据,数据安全已成为热门话题。企业必须制定适当的数据保护计划,不仅是为了保护自己,也是为了保护自己的客户。数据合规性法规迫使公司改进其数据安全标准和实践,以防止发生违规行为以及客户的敏感数据被暴露、被盗或损坏。通过遵守法规,组织可以确保他们的敏感数据不会受到损害,并确认已采取必要的预防措施来保证客户数据的安全。

02

客户信任

数据泄露的最大和最重要的后果之一是对客户信任和忠诚度的影响。根据Varonis 对数据泄露后公司声誉的分析,80%的消费者会放弃数据泄露的企业,52%的消费者会为不同品牌的安全性更高的产品或服务支付相同的费用。当一个企业采取适当的步骤来实现数据合规时,不仅可以更好地保护数据也更值得信赖和可信。

03

节约成本

不遵守合规性法规最终可能会让企业付出代价,一些不同的法规要求组织在被发现不合规时支付巨额罚款。此外,不遵守合规性法规的企业更容易受到违规行为的影响,这对公司来说也可能代价高昂。 根据IBM和Ponemon Institute的数据,2020年数据泄露的平均成本为386万美元,而客户的个人身份信息 (PII) 是损失最昂贵的记录类型。大型组织可能能够承受数百万美元违规的打击,但小型企业可能无法承受。通过遵守数据合规性法规,组织可以确保他们不会因罚款或违规而蒙受损失。

关于处罚的标准

目前欧盟处罚的标准是该企业前一年全球营业额的4% ,我们国家的个保法是5%。日前滴滴行政处罚的80.26亿人民币是我国《个人信息保护法》生效以来全球数据隐私保护领域迄今为止最高罚单。

全球部分地区数据隐私立法的梳理

全球隐私保护相关法律覆盖区域

标蓝■:有相关法律发布

标黄■:无相关法律发布

中华人民共和国(针对大陆地区)

PIPL 个人信息保护法

《中华人民共和国个人信息保护法》2021年8月20日正式通过,2021年11月1日起施行。标志着我国个人信息立法保护的历史新篇章,也是全球个人信息法治发展的重大里程碑。

《个人信息保护法》从“个人信息“定义、处理原则、处理个人信息的前提条件、对个人同意处理个人信息的要求、共同处理者的连带责任(处理者间约定不能对抗个人)、委托处理、处理者转移个人信息、处理者间提供处理的个人信息等所涉的义务及责任进行了明确规定,以“告知-同意-撤回同意”为逻辑主线,规范了个人信息全程处理过程中所涉及的各项权利义务及责任。

《个人信息保护法》 与 《网络安全法》、 《数据安全法》共同构成了我国网络安全与数据保护领域的基本法律框架,使网络安全与数据保护在上位法层面得到完善,为数据安全释放价值提供了合规指引,为“我的数据信息我做主”保驾护航。

只要处理个人数据,就会引发隐私问题。

EXIN (国际信息科学考试学会) 于今年发布基于《个人信息保护法》PIPL的认证考试- Privacy & Data Protection Foundation based on PIPL

认证涵盖了《个人信息保护法》相关的主要议题,以及与欧盟《通用数据保护条例》(GDPR)的比较。

该认证考试纳入数据保护官DPO认证中的课程科目,与 当前数据保护官(DPO)认证科目中基于欧盟GDPR的 Privacy & Data Protection Foundation( PDPF)并列存在。 选择基于欧盟GDPR和(或)中国PIPL的认证考试来获得EXIN数据保护官DPO证书。

关于DPO认证文末有详细介绍

欧洲联盟

GDPR 《通用数据保护条例》

欧盟颁布了《通用数据保护条例》(GDPR),以深化和协调个人数据保护条例。自2018年5月25日起生效,这是一套全面而明确的指导方针,承认不同“风格”的个人数据需要不同程度的保护。敏感数据,例如健康、生物特征、遗传或犯罪历史,受到最高级别的保护。数据量也很重要,定期收集和处理大量个人数据的公司必须在政府指定的数据保护机构注册。

GDPR 适用于所有收集和处理欧盟居民个人数据的公司,无论它们位于何处。非欧盟公司必须任命一名GDPR代表(数据保护官),并将承担所有罚款和制裁。

GDPR 的一些关键要求是:

同意:组织必须获得同意才能收集个人数据,同意的程度根据所收集的个人数据的类型而有所不同。

数据最小化:针对应用程序多年来无偿收集个人数据而没有明确目的,GDPR 规定组织只能收集与明确定义的业务目标明确相关的个人数据。如果组织出于一个目的收集个人数据,但随后决定将其用于其他目的(例如消费者分析),则可能被视为不合规。

个人权利:GDPR 的另一个关键特征是它赋予数据主体(即,正在收集其个人数据的个人)非常明确的权利,以了解为什么要收集他们的数据以及如何处理这些数据。他们有权反对、纠正——他们有权被删除/遗忘。如果他们的个人数据遭到破坏,可能危及他们的自由和权利,他们也有权(单独)收到通知。

GDPR 最独特的方面之一是它的“处罚标准”——对违规行为(最高1000万欧元或全球年营业额的2%,以较高者为准)和违规行为(最高2000万欧元或全球年营业额的4%,以较高者为准)。

加拿大

PIPEDA:个人信息保护和电子文件

2000年4月13日获得王室批准的《个人信息保护和电子文件法》(PIPEDA) 是加拿大针对私营部门组织的联邦隐私法。其最初目的是通过规范处理个人信息的企业来唤起人们对电子商务的信任。该法规适用于任何在商业活动过程中收集消费者数据的加拿大私营企业,以及针对加拿大客户的国际公司。PIPEDA 适用于收集的有关可识别个人的数据,例如姓名、年龄、种族、病史、意见、评论和婚姻状况。

PIPEDA 基于十项公平信息原则,根据这些原则,企业必须在收集数据之前征得客户的同意。此外,他们必须坚持透明的个人数据政策,并将数据收集限制在明确和特定的目的。个人有权访问他们的数据并质疑其准确性,PIPEDA还要求组织对数据丢失或被盗负责。自2018年11月1日起,受PIPEDA约束的组织有义务向加拿大隐私专员和受违规影响的个人披露个人信息安全漏洞。如果不这样做,可能会导致高达 100,000 加元的罚款。  

巴西

LGPD:巴西通用数据保护法

巴西通用数据保护法 (LGPD) 于2020年生效,旨在以规范公共和私营部门的通用数据保护法补充和取代现有立法。它不仅旨在保护个人数据,而且通过与 GDPR设定的国际合规标准保持一致来加强巴西的经济。LGPD监管任何收集巴西人个人信息的组织,无论是小型企业还是跨国公司。受保护的数据既包括可识别个人的数据,也包括可以推断身份或用于行为分析的匿名数据。

受LGPD约束的实体必须任命一名数据保护官 (DPO),以实施最佳实践并与巴西数据保护机构 ANPD 进行沟通。公司还必须确保个人数据的安全,并且必须将任何可能具有破坏性的数据泄露通知 ANPD。此外,消费者将有权了解收集其数据的目的,并要求对其进行更改、删除或转移。不遵守这些规定的公司将被支付高达其在巴西年总收入的2%或高达5000万美元的巴西雷亚尔。

澳大利亚

澳大利亚数据隐私法规起源于1988年的《隐私法》,该法案通过联邦、州和领地法律的混合来规范个人信息的处理。这些由澳大利亚信息专员办公室 (OAIC) 执行的法规适用于私营部门。他们的目标是通过确保营业额超过300万澳元的澳大利亚实体符合某些合规标准来保护消费者数据。

随着 GDPR 和其他国际法规的制定,澳大利亚最近努力更新和完善其现有政策。澳大利亚政府于 2017年11月26日推出了消费者数据权 (CDR),允许能源、电信和银行业的消费者访问他们的数据,并控制与谁共享数据以及用于何种目的。违反由澳大利亚竞争和消费者委员会 (ACCC) 执行的这些规定,可能会导致高达1000万美元的罚款。2019年8月1日,澳大利亚参议院通过了《用户数据权利法案》(Customer Data Right Bill)。

南非

POPI:个人信息保护法

个人信息保护法 (POPI) 于2013年11月19日在南非签署成为法律,预计将于今年晚些时候生效。其主要目标是保护在公共和私人领域收集的个人信息。根据 POPI,南非机构必须遵守一套合规标准,以确保负责任地收集、存储、处理和共享个人信息。POPI 适用于所有南非公司,尽管它专门针对处理大量消费者信息的实体,例如银行、医疗机构和保险公司。该法律不仅保护个人,而且延伸到任何法律认可的实体,包括公司和社区。

在POPI下,消费者可以访问他们的数据,可以请求删除或修改数据,并控制与谁共享数据。公司必须出于有效和透明的原因收集数据,仅在严格需要时保留数据。此外,他们必须遵守安全合规标准;确保数据不被破坏或损害,无论是他们自己还是任何可能代表他们处理数据的第三方。未能满足 POPI 要求可能会导致声誉受损、罚款和监禁。

美国加州

CCPA:加州消费者隐私法

加州消费者隐私法 (CCPA) 侧重于消费者隐私权。自2020年1 月1日起生效并由加利福尼亚州总检察长强制执行的 CCPA 将监管属于个人的数据,例如互联网活动、cookie、IP 地址和生物特征数据,以及“家庭数据”例如,由家庭中的物联网设备生成。

根据 CCPA,消费者有权了解收集或出售了哪些个人数据,以及出于何种目的,包括披露可追溯到2019年1月1日的先前销售情况。他们有权访问数据,要求将其删除,并选择不收集或出售它。行使这些隐私权的人仍然有权以相同的成本获得平等的服务。消费者还有权就数据泄露和隐私失败起诉公司。

任何可能拥有加州居民数据的组织都可能受到CCPA法规的约束,不遵守可能导致每次违规最高7500美元的罚款。此外,消费者将能够以每条记录100至750美元的损失起诉数据泄露公司。

欧美国家早在2000年开始,已有至少数百家公司设有DPO(数据保护官)的职位,如花旗集团、美国运通、惠普、微软、脸书等。安永的一份调查数据显示,欧盟GDPR根本性地改变了全球范围内隐私保护的管理模式,75%的欧盟公司以及50%的美国公司声称GDPR合规要求是驱动其隐私工作的主要原因

从职业发展机遇来看,隐私、合规、数据安全岗位聘用人数都在近几年大幅增长。据IAPP发布最新消息,2021 年数据隐私专家的平均工资为 140,529 美元,比 2019 年增加了 6,000 多美元。与此同时,工资中位数为 126,000 美元,比 2019 年增加了 2,950 美元。

数据保护官

DPO是由EXIN(国际信息科学考试学会)基于欧盟GDPR法律条款发布,当你成为EXIN认证的数据保护官DPO时,这不仅意味着你成功通过了对欧盟法规的全面考察,更加意味着你拥有了在组织中担任实施与维护GDPR这一角色的能力。

认证受益

1. 充分了解欧盟GDPR法律法规条例,构建个人数据保护的知识体系和实施能力,梳理企业数据合规和安全需求,设定制度流程,进行数据安全体系建设。

2. 提升企业的数据安全和隐私保护能力,组织建设数据安全治理团队,规避企业违规成本。

3. 考试通过可获得国际EXIN DPO证书,提升个人竞争力,对个人岗位提升、未来转型均有帮助。

快来加入学习吧!

学习数据合规| 数据合规

从@谷安| 开始

学员在朋友圈的分享

学员在社区内交流

实力师资

方乐老师,谷安资深老师,谷安合伙人,20年的IT从业经验。在企业IT管理、IT治理、信息管理、IT风险管理、信息系统审计、数据治理等方面拥有丰富的经验。自 2003 年起,为超过 500 家企业的名誉 IT 经理、运维及安全培训培训CISSP/CISM/ CRISC/ITILv3 Expert/CGEIT/C/CGEITSM Master/ISO27001LA/ISO20000LA/DPO/CIPM/CIPT、CIPP/E等课程,深受喜爱

关于我们

谷安天下是EXIN官方授权机构 ,上课使用的资料、习题、纸质证书等全部由谷安统一寄出,一次缴费后再无其他费用,让您省心和放心。

◆认证报名:无学历和工作经验要求,且不需要再维持,终身有效

◆培训考试:线上培训和考试,随班一起考,没有指定日期

谷安培训的理念为“格物致知,知行合一”, 以服务国家和行业为己任,以培养德才兼备的信息安全人才为宗旨,聚集了一批业内信息安全专家学者,为政府、央企、银行、证券、保险、电信、移动、交通、电力、安全厂商、互联网公司、高校等行业培养优秀信息安全专业人才几万人,创造了大批科研成果,影响和推动了中国信息安全行业的发展。

作为数字风险领域的人才与知识服务机构、专业的信息安全培训机构,谷安天下始终瞄准世界前沿,秉承国际化的视野,构建丰富的信息安全培训体系。

(完)