什么是 GDPR？

数据隐私与世界各国的公民都息息相关，因为消费者数据隐私违规问题（例如，Facebook/Cambridge Analytica 丑闻）已经让用户注意到了数据隐私标准的不足。研究发现，信任和数据隐私是数字化生活中必不可少的部分。例如，对数据共享和消费者行为的 2020 McKinsey 调查 发现，87% 的人不会与安全实践令人担忧的公司发生业务往来。此外，该调查还发现，71% 的人会远离未经许可共享敏感数据的公司。

为了解决消费者隐私滥用问题，欧盟于 2018 年 5 月 25 日颁布了 通用数据保护条例 (GDPR)。欧盟 GDPR 在以消费者为中心的隐私法规方面以严格而闻名，旨在保护欧盟公民的隐私权。

自 1950 年《欧洲人权公约》签署以来，隐私权便成为了欧盟法律的重要组成部分。GDPR 是对 1995 年 《数据保护指令 95/46/EC》 或 DPA (2)e 的修订。GDPR 于 2016 年被正式采纳，欧盟成员国有两年的宽限期来实施该法律。促成此次修订的因素之一是为了在欧盟各成员国之间实现隐私法的协调一致。自从 GDPR 法律生效以来，受该法规监管的各界公司一直致力于实现 GDPR 合规性。GDPR 的宗旨是确保个人数据隐私受到保护。根据 GDPR 第 4 条的规定，个人数据是指“与已识别或可识别的自然人（即‘数据主体’）相关的任何信息”。这包括个人信息、IP 地址、生物识别信息等数据。GDPR 还指定了数据分类，包括反映敏感性级别的“特殊数据分类”，同时要求为最敏感的数据实施更强级别的保护。

根据 GDPR 规定，受管辖实体是指在提供商品或服务或者监控在线行为的情况下，使用欧盟数据主体个人数据的任何企业。受管辖实体被视为数据控制者或处理者：数据控制者是指负责同意和管理访问的主体；数据处理者则代表控制者处理数据。GDPR 的管辖范围涵盖一些位于欧洲和欧盟之外，向欧盟内的客户销售商品并收集这些客户个人数据的公司。GDPR 对各种规模的公司都有影响，因为与 GDPR 法律有关系的是公司的数据处理活动，而不是公司规模。

数据保护和数据隐私是 GDPR 合规的核心。 Akamai 安全解决方案提供智能和端到端保护，以保护数据免遭泄露和意外暴露。Akamai 突破了传统端点检测的限制，可提供强有力的 Zero Trust 解决方案来确保数据的安全性和隐私性，从而帮助您的安全团队显著提升安全投资的成效和投资回报。

Akamai 提供：

• 全球安全平台，可实施全面覆盖您的 IT、物联网和 OT 环境的 Zero Trust 安全防护
• 对资产、访问权限和网络流的深度监测能力
• 安全策略的精细实施

对于消费者来说，数据隐私非常重要。GDPR 和美国的《加州消费者隐私法案》(CCPA) 等类似的数据隐私法都致力于实施面向消费者和公民的数据隐私规范。被发现未遵守 GDPR 规定的公司会受到巨额处罚；2023 年 4 月 13 日，爱尔兰数据保护机构 (DPA) 向 Meta Platforms Ireland Limited (Meta IE) 开出了一张 12 亿欧元的罚单，对其在依据标准合同条款 (SCC) 向美国传输个人数据的过程中违反 GDPR 的行为予以处罚。

除了直接受 GDPR 管辖的公司之外，以下示例企业也必须遵守该条例：

在欧盟拥有客户的美国公司

GDPR 拥有治外法权。因此，即使贵公司位于欧盟之外，但只要有可能与欧盟公民发生业务往来，就必须遵守 GDPR。这些公司必须执行 GDPR 评估，以确定他们在执行哪些数据处理活动。然后，您必须提供符合 GDPR 要求的隐私声明。此外，您需要进行数据保护影响评估，并确定需要采取的保护措施。这可能包括数据加密、强有力的身份验证措施以及企业级数据保护，例如实施 Zero Trust 安全方法。这些措施的范围必须扩展到第三方供应商。

员工少于 250 人的小型企业

即使企业的规模较小，也不能豁免 GDPR 监管。哪怕是只有一个人的公司，或者是慈善机构，只要他们会处置和处理个人数据，就必须遵守 GDPR 规则。但是，只有当您定期或大量处理数据时，或者处理的数据可能会影响他人的权利和自由时，或者会泄露种族、民族、生物识别数据等信息时，才需要按照法律通常要求的级别来记录数据处理活动。除了需要遵循数据隐私要求外，小型公司还应当寻找能够提供有力身份验证和加密服务的安全平台，帮助保护数据并避免发生数据泄露。

GDPR 制定了七项核心原则，并以其作为法律基础。这些原则与合法性、数据处理原因以及同意条件相关。它们涵盖以下方面：

1. 合法性、公平性和透明性：必须有正当理由才能处理数据。
2. 目的限制：这是有意纳入隐私原则中的一项重要概念，并且默认为在 GDPR 中体现。其重点在于确保数据“被收集用于指定的、明确的且合法的目的”。
3. 数据最小化：与第二项原则一致，任何以合法方式收集的数据都应当在最低限度范围内收集。
4. 准确性：受管辖实体必须确保所收集数据的准确性。
5. 存储限制：受管辖实体必须制定切实可行的存储限制策略。
6. 完整性和保密性：安全控制措施必须确保所收集个人数据的完整性和保密性；这必须包括采取相应的安全措施以防御来自内部或外部威胁的攻击。
7. 问责制：措施和文档必须证明受管辖实体已遵循 GDPR 规定。

数据主体是指使用 GDPR 所涵盖的个人数据可以识别其身份的个人。GDPR 第 3 章定义了八项数据主体权利，受管辖实体必须尊重这些权利才能确保遵守 GDPR：

1. 知情权（第 12、13 和 14 条）。
2. 访问权（第 15 条）。
3. 纠正权（第 16 条）。
4. 删除权（第 17 条）。
5. 限制处理权（第 18 条）。
6. 数据可携带权（第 20 条）。
7. 反对权（第 21 条）。
8. 不受自动化决策（包括数据画像）限制的权利（第 22 条）。

第 34 条还规定了违规通知规则，该规则要求：在数据泄露“很可能会对自然人权利和自由产生很高的风险”时，受管辖实体必须立即将该数据泄露问题告知数据主体且“不得无故延迟”。受管辖实体必须向监管机构通报数据泄露；监管机构是负责监督相关法规实施情况的公共机构。

GDPR Enforcement Tracker 概述了针对违反 GDPR 而发布的罚款和处罚措施。截至 2023 年 5 月，累计罚款金额接近 27.9 亿欧元。根据 GDPR Enforcement Tracker 所述，罚款原因中位列前三的原因如下：

1. 违反通用数据处理原则。
2. 数据处理缺乏法律依据。
3. 缺乏用于确保信息安全的技术和企业措施。

因违反 GDPR 而产生的罚款设定为以下两个级别：

1 级：涵盖数据泄露以及不履行数据保护影响评估：全球年收入的 2% 或 1000 万欧元，以较高者为准。

2 级：正确实施 GDPR 要求，例如实施同意权和数据主体权利：全球年收入的 4% 或 2000 万欧元，以较高者为准。

数据安全与可靠的数据隐私保护之间存在内在联系。GDPR 认识到了采用适当的技术和企业措施来防止数据泄露的重要性。GDPR 中提到的安全控制措施和隐私保护措施包括加密和假名化。还应该采用其他安全和隐私保护措施来防止数据泄露，包括身份和访问管理 (IAM)，以及使用 Zero Trust 安全方法实现可靠的身份验证和同意。

借助 Akamai Connected Cloud，您可以精细控制数据访问控制和同意，从而帮助企业实现 GDPR 合规并提供相关证明。这些控制包括：

• 获取和管理同意
• 访问权
• 纠正权
• 删除权
• 加密

Akamai 通过提供风险管理、报告和文档来支持 GDPR 合规，而所有这些功能的交付均使用 Zero Trust 策略