随着数字社会的到来,用户数据安全保护刻不容缓。全球各政府组织纷纷出台政策条规,针对企业数据隐私保护拉起了红线,欧盟的《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)就是其中之一。全球多家企业因违反GDPR,而面临巨额罚款的事件屡见不鲜。满足合规要求是中企进入国际市场的入场券,而满足GDPR 要求也成了出海欧洲的企业不可回避的难题。
关于 GDPR
GDPR 于2018年5月生效,其作为一项隐私法规,旨在加强和统一欧盟内部个人的数据保护,具有全面的隐私和安全要求。对于全球任何公司、组织或机构,如果其在欧盟境内拥有业务,或在欧盟境内没有业务,但是存储或处理欧盟公民和居民的个人信息与数据,都将受到该条例的约束。GDPR 主要要求包括:
数据安全性
企业需要实施适当级别的安全控制,包括采用技术和组织安全控制措施来防止数据丢失、信息泄漏或其他未经授权的数据处理操作。GDPR 鼓励企业将加密、事件管理以及网络和系统完整性、可用性和弹性要求纳入到其安全计划中。
扩展个人权限
个人对其数据拥有更高的控制权,并最终拥有更高的所有权。此外,还拥有一系列扩展的数据保护权限,包括数据可移植性和被遗忘权。
数据泄露通知
在意识到发生数据泄露之后,企业需要立即通知其监管机构和/或受影响的个人。
安全审计
公司应当记录并维护其安全实践记录,审计其安全计划的有效性,并适时采取纠正措施。
总的来说,对于在欧盟收集和处理个人数据的公司,该条例加强了个人权利,提升了对公司的责任要求,加大了监管机构的审查力度,因此企业需要更仔细地考虑和管理其数据处理实践和使用案例。
GDPR 下三个关键角色
在 GDPR 背景下,数据安全由三个关键方确定:
数据主体 (Data subject)
个人数据被控制者收集和处理的个人
控制者 (Controller)
决定数据处理的目的和方式的实体
处理者 (Processor)
只在控制者的命令下处理数据的实体
Oracle 作为云技术服务提供商,可承担起“处理者”的角色,为客户提供适当的解决方案和组织措施,例如高级安全控制、外部审计证明、检测数据泄露并通知客户等,以保护客户的个人数据,抵抗未经授权的处理所带来的风险,从而帮助企业实现 GDPR 合规。
应对 GDPR 十大战略步骤
GDPR 看似是复杂,充满挑战的数据监管政策,但见仁见智,企业也可将其视为重塑数据治理的契机,带来合规、良好的数据治理以及高效运营多赢成效。Oracle 总结了应对 GDPR 的十大战略性步骤:
Oracle 在数据保护和安全解决方案上拥有丰富的经验,Oracle Fusion 云技术应用备受全球企业信赖,帮助客户成功管理关键业务数据。它提供了全面的云应用套件,涵盖 ERP、人力资源、供应链、市场、销售到服务等领域,让企业每一层都能安全无忧,从而充分发挥 SaaS 的优势。Oracle Fusion 云技术应用能为企业带来标准化的业务流程策略,以降低风险并简化操作,在不断变化的监管环境中,帮助企业更高效、更轻松地满足监管合规性要求。
注:为免疑义,本文所用以下术语专指以下含义:
1. Oracle 专指 Oracle 境外公司而非甲骨文中国。
2. 相关 Cloud 或云术语均指代 Oracle 境外公司提供的云技术或其解决方案。
