2022年10月3日 星期一

· 安控設備 AI SoC 機會爆發,華為海思倒閉後中國企業爭奪 AI SoC 市場佔有率

AI CCTV - 它是如何工作的 


不只是縮時,還有粉塵、噪音、位移偵測


ijiwei

在華為的 IC 子公司 HiSilicon 失去高階安全晶片市場佔有率後,現有的中國公司加緊了他們的遊戲,新玩家加入了進來,追趕人工智慧安全裝置市場的爆炸機會。市場正處於從高畫質發展到智慧發展的關鍵時期,對 AI SoC 的需求前所未有的成長。

這就是 JW Insights 高階分析師黃仁貴,在他關於該行業及其參與者的最新文章中寫的。他的文章摘錄更多:

中國是世界上最大的安全行業市場,也是相關技術和應用的全球主管者。

根據 IHS 的統計資料,2019 年中國有 4.1 人擁有一台攝影機,進一步縮短了與美國(每台攝影機 4.6 人)和英國(每台攝影機 6.5 人)等已開發國家的差距。

Gartner 的統計資料顯示,2019 年全球監控攝影機出貨量約為 4.3 億台,預計到 2022 年將成長到 8.5 億台,其中 45% 以上來自世界上最大的單一市場中國大陸。

臉部辨識門禁控制和行動裝置等安全裝置,對 AI SoC 晶片也有巨大的需求。隨著全球情報的趨勢,安全行業正在引領新一輪技術革命,成為人工智慧應用的一個領域。其背後對晶片的巨大需求,也將給各種 IC 公司帶來新的機會和挑戰。


華為擁有的 IC 公司 HiSilicon(海思)是最好的參與者之一。 其晶片曾經佔據 IP Cam 市場佔有率的 70%,和後端儲存市場佔有率的 90%。 其產品在中國佔據了很高的市場佔有率,並向國際市場運送了大量產品。 HiSilicon 以韓華 Techwin(前三星 Techwin)等知名安全公司為客戶,曾經是世界上最大的安全攝影機晶片供應商。

然而,由於美國的制裁和地緣政治變化,HiSilicon 失去了市場佔有率,導致特別高功率的 AI SoC 晶片嚴重短缺。

其他中國晶片供應商,如星宸科技、國科微、北京君正、富瀚微,也釋出了基於 H.265 下一代標準的產品。然而,HiSilicon 擁有完整的產品線,產品佈局更好,而這些供應商主要專注於具有成本效益的產品,獲得相對有限的市場佔有率。

在 HiSilicon 的出貨量暴跌後,2021 年的中國晶片供應商無法滿足市場需求。 因此,新一輪競爭開始了。

Rockchip(瑞芯微)、Allwinner Technology(全志科技)、Amlogic(晶晨股份)、Intellif(雲天励飛)和其他具有安全晶片研發和供應能力的公司加快了市場擴張;Artosyn(酷芯微)和 Eeasy Tech(億智電子)也以高階市場的產品進入了市場。

截至 2020 年底,HiSilicon 仍然佔據 IP Cam SoC 的最大市場佔有率,約為 30%,其次是 SigmaStar 佔 25%,Fullhan 佔 17%,Ingenic 佔12%,其他市場佔 15%。

在低端市場,SigmaStar 推出的 SSC339G/SSC338G 和 Fullhan 在 2019 年推出的 FH8856 等產品可以取代 HiSilicon 的 Hi3516DV300。

2021 年 Eeasy Tech 的晶片 SV826/SV823,Rockchip 的 RV1109/RV1126 也可以取代 HiSilicon 的 Hi3516 DV300/Hi3516AV100 和其他產品。

就中高階產品而言,Rockchip 的 RK1808、Ingenic 的 T30/T31 和 Artosyn 的 AR93 系列都是合格的替代品。

然而,在高階部分,替代方案仍然較少。

2020 年,全球 IP 攝影機(IP Cam)出貨量為 1.43 億台,到 2023 年將增加到 2 億台,複合年成長率為 21.82%。 Omdia 的分析顯示,到 2025 年,全球人工智慧攝影機數量將佔所有 IP 攝影機的 64%;中國將成為全球成長最快的人工智慧攝影機市場,滲透率從 2019 年的 10% 增加到 2024 年的 63%。(市場滲透率表示的是一種產品或者服務在市場上的覆蓋程度。市場滲透率= 商品的現有需求量 / 商品的潛在需求量;市場滲透率與市場佔有率不同,市場佔有率指的是一段時間內(如一年)每個供應商的銷售額與市場總額的比值。



按此回今日3S Market新聞首頁 

· 用於門禁控制的臉部辨識系統

 
Eocortex 帶有人臉辨識模組的門禁系統

SPIE DIGITAL LIBRARY



摘要

一些公司要求,只有授權人員才能進入某些限制區域。生物辨識系統通常使用 RFID(射頻辨識)卡。然而,這些系統不能免於假冒,因為門卡可能被盜。開發安全系統的其他替代方法,包括使用臉部辨識技術,這種技術更安全,因為更難冒充某人,但仍然可以使用對象的照片,來試圖破壞系統的安全性。因此,這項工作建議開發一種臉部辨識應用,該應用只允許訪問那些在辨識過程中,做出手勢以確定它確實是真實主題的授權人員。所提出的技術包括三個連續階段:人臉辨識,嘴部運動或眨眼檢測,以及活體檢測。每個階段都分析了幾種算法,選擇了獲得最佳性能的模型。


在前兩個階段,Geitgey 和 Xie 方法分別用於嘴部檢測,Geitgey 和 Soukupova-Cech 算法用於眨眼。由於安全系統要求盡可能高的準確度,因此提出了一種從背景分析中檢測活體的新技術,該技術優於 Rosebrock 技術獲得的結果,在 6.76 秒的處理時間內實現了 100% 的準確度。為了評估這些方法,我們建構了一個數據庫,其中包含 46 個假人影片,和 40 個真人執行嘴巴張開和閉合,以及眨眼的影片。每個階段都分析了幾種算法,選擇了獲得最佳性能的模型。



在前兩個階段,Geitgey 和 Xie 方法分別用於嘴部檢測,Geitgey 和 Soukupova-Cech 算法用於眨眼。由於安全系統需要盡可能高的準確度,因此提出了一種從背景分析中檢測活體的新技術,該技術優於 Rosebrock 技術獲得的結果,在 6.76 秒的處理時間內實現了 100% 的準確度。為了評估這些方法,我們建構了一個數據庫,其中包含 46 個假人影像,和 40 個真人執行嘴巴張開和閉合,以及眨眼的影像。在前兩個階段,Geitgey 和 Xie 方法分別用於嘴部檢測,Geitgey 和 Soukupova-Cech 算法用於眨眼。由於安全系統要求盡可能高的準確度,因此提出了一種從背景分析中,檢測活體的新技術,該技術優於 Rosebrock 技術獲得的結果,在 6.76 秒的處理時間內,實現了 100% 的準確度。



· 零售業的技術轉型勢在必行

 
Vispera 圖像辨識技術 | 智慧零售執行和分析解決方案


不只是縮時,還有粉塵、噪音、位移偵測

McKinsey&Company


組織迫切需要對其技術架構和營運模式進行全面改革,以跟上不斷變化的格局。 五項具體行動可以加快轉型之旅。


數位技術已成為所有行業的基礎要素,但零售業正面臨著幾個挑戰,這些挑戰使其凸显出来。該行業因許多因素而重塑 —— 包括電子商務和全通路的崛起、客戶行為的改變和超個性化,以及供應鏈日益複雜——所有這些都因疫情而加速。 這些轉變加劇了零售商底線的壓力:在過去五年裡,利潤率每年縮小兩到三個百分點,甚至多達五到六個百分點,這取決於垂直。


一個強大的技術基礎可以為零售商提供全面提高績效的能力,但迄今為止,大多組織尚未取得足夠的進展,因此錯過了機會。只有少數零售商建立了真正的全通路產品,大規模利用了資料,並在整個組織中實施了敏捷的工作方式。 為了扭轉近年來的負面軌跡,需要採取大膽的行動:零售商必須對其技術功能進行根本性的轉變——包括其架構和營運模式。


協調一致的、雄心勃勃的技術轉型可以產生廣泛的影響。 我們在消費和零售行業的數位商數調查發現,2016年至2020年期間,數位主管者產生的數後者 TSR 是數後者的 3.3 倍。 這一發現堅持認為,技術將是下一代零售增長的核心驅動力,並將促進全通路客戶體驗、智慧產品和精益營運,以及資料貨幣化等新興商業模式。 零售商可以遵循五步行動計劃來評估其 IT 環境的成熟度,及其基礎組織和營運模式。 有了這些見解,零售商就可以對技術進行正確的戰略投資,以提高他們的績效。


技術是零售業轉型的核心

過去十年來,零售業經歷了構造轉變。新冠肺炎疫情加速了許多這些趨勢,使零售商難以跟上步伐。消費者活動一直在從離線轉移到線上,大多數傳統零售商都在努力擴大其技術能力。例如,在德國,從 2019 年到 2020 年,線上銷售額每年成長 23.0%,而線下銷售年僅成長 3.6%。 1


此外,零售商在消費者購買產品和與品牌互動的方式上看到了變化 —— 有時是戲劇性的變化。總體而言,消費者越來越有聯絡,越來越不忠誠,資訊更知情,並明確引導不可知論者。消費者的購買習慣也在轉向健康、新鮮、本地和正宗的雜貨店產品,以及服裝的休閒和跨界類別。


電子零售商佔據了線上銷售的很大一部分,他們通常能夠與品牌建立直接關係;與此同時,線上市場已成為主導平台。2 這些發展增加了實體零售商擴大全通路業務的壓力。


為了更好地應對這些趨勢,零售商可以利用技術,作為下一代零售幾個領域的核心推動者。技術支援線上和離線通路,與智慧數位服務的無縫整合,以促進端到端客戶決策之旅。透過高階分析最佳化的可靠、個性化的產品,可以近即時更新,並得到有吸引力的數位內容的支援。供應鏈的技術解決方案包括先進的即時管理;跨通路訂單管理;以及自動化物流、人力資源和財務。 最後,強大的技術基礎可以將零售業務模式,擴充套件到傳統核心業務之外,以產生額外收入,使客戶接觸點多樣化,並增加客戶資料。


根據我們的經驗,正確的投資可以將數位產品的上市時間加快三倍;將開發有競爭力的解決方案所需的內部技能提高一倍;並最佳化執行成本,以節省高達 20%,這些成本可以再投資於數位創新專案。總的來說,這些改進直接提高了對客戶需求的響應能力,提高了業務績效和收入,並增加了 TSR。


為了充分利用技術,零售商必須對其 IT 功能進行徹底的轉變。


整體技術轉型的基礎支柱

為了充分利用技術,零售商必須對其 IT 功能進行徹底的轉變。跨越技術架構和營運模式的六個支柱代表了一種綜合方法(附錄1)。 雖然一些零售商在其中一個或幾個支柱方面表現出色,但很少有零售商掌握所有六個支柱。由於這些支柱是相互關聯的,零售商需要同時研究所有六個支柱,才能從技術投資中獲得全部價值。


附錄1



技術架構

下一代零售架構是完全全通路的,由資料驅動,並且高度模組化。


全通路整合。傳統上,零售商的技術架構主要集中在商店網路和供應鏈上。 電子商務能力是透過單獨的努力開發的,這些努力使用商業解決方案,這些解決方案僅以有限的方式與遺留系統整合,阻礙了零售商實施真正全通路旅程(並實現即時庫存可見性)的能力。 一流的零售商透過遷移到無頭商業架構,能夠跨通路提供獨特、一致的客戶體驗 3 支援具有共享功能的所有接觸點,如願望清單、預約和付款。


例如,家得寶多年來一直專注於透過點選和收集,以及個性化行銷等產品為客戶創造個性化的全通路體驗。4 中國的一家零售商發現,在其零售和線上接觸點上參與的客戶,在忠誠度等級上價值高出 1.5 到兩倍。在零售店獲得的客戶透過專門的使用者旅程轉換為移動應用程式使用者,他們參與個性化內容和電子商務,並獲得回到商店的獎勵。


資料化。 在傳統架構中,資料通常跨系統碎片化,或部分整合在可擴充套件性的本地基礎設施中。 此外,大多數公司只實施了有限的資料和模型標準,因此很難重用和擴充套件分析用例。為了釋放資料的力量,並加快價值捕獲,領先的零售商實施了基於雲的資料平台,透過一組定義的協議實現自動化和重用。例如,數位原生交付英雄利用客戶資料,來計算客戶壽命值,從而根據特定客戶群體的價值,為戰略和戰術決策提供資訊。它利用這些見解來塑造決策,例如是否為特定細分市場開展行銷活動,或者是否應該進入新市場。


技術現代化。傳統的零售架構通常依賴於整體和老化的應用程式,這些應用程式極大地阻礙了敏捷性和升級,同時導致更高的整體成本。遷移到基於微服務的模組化架構,可以使組織實現更大的靈活性和可擴充套件性。巴西零售企業從其整體架構轉移,在升級後端之前優先轉變所有面向客戶的業務能力。這些努力是數位市場啟動的關鍵因素,數位市場產生了驚人的成長:在四年的時間裡,股價價值成長了18,000%以上。


操作模式技術功能支援組織的方式 —— 從擁抱敏捷性到建立正確的員工隊伍 —— 可以顯著提高營運績效。


產品主導的組織。大多數零售商都建立了一個敏捷的數位工廠,該工廠將業務和技術資源結合起來,以管理電子商務(有時甚至是分析)功能。 然而,需要對整個 IT 功能進行轉換,以滿足效率、靈活性和速度的一致基線。一個以產品為主導的組織,專注於開發和管理由技術解決方案支援的業務能力(如電子商務結賬、需求預測和倉庫管理)。 然後,這些產品由業務產品所有者主管的不同技術能力(例如工程、設計和建築)的跨職能團隊,以確保始終如一地關注業務成果。


高度自動化的軟體交付。數位和軟體公司開創了先進的工程實踐,並實現了軟體開發生命週期的自動化,但零售業仍處於採用這些實踐的早期階段。這些實踐的定義和實施,將是實現軟體交付下一級效能的核心要素。在上述巴西零售參與者的轉型中,成功因素包括建立產品主導的敏捷工作方式,以及端到端自動化。這些功能使組織能夠在幾天內釋出新的數位產品。


人才驅動的轉型。大多數零售商都有一個 IT 部門,依靠外部合作伙伴來維護業務應用程式。隨著技術日益成為一個差異化因素,開發高技能工程師的內部人才庫非常重要。內部團隊不僅可以保護組織的智慧財產權,還可以大幅提高交付績效和上市時間。例如,沃爾瑪建立了沃爾瑪全球技術公司,由 15,000 名工程師、資料科學家和其他角色組成。透過將其在全球的相關數位專業知識整合為卓越中心,它能夠開發創新的數位產品,與線上零售商競爭。


衡量進展

大多數零售商已經啟動了技術轉型,但仍然堅定地陷入了架構和營運模式的「新興」階段(附錄2)。因此,他們缺乏工具、流程和能力來充分解決下一代零售挑戰。相比之下,一流的球員已經進入了「成熟」階段,並專注於持續改進。



附錄2



致力於技術功能徹底轉變的零售商既可以刺激成長,也可以提高績效。 例如,英國 DIY 播放器 Screwfix 透過建立次日交付和點選收集選項,過渡到數位、商店和目錄的全通路商業模式。 向一流的玩家學習,Screwfix 迅速成為英國建築和零售市場成長最快的公司。


致力於技術功能徹底轉變的零售商既可以刺激成長,也可以提高績效。


加速技術轉型

為了充分釋放技術的潛力並加快他們的技術轉型之旅,零售商可以採取幾項具體行動。

  1. 透過從端到端的客戶角度,來適應旅程驅動的方法,並非所有客戶群體都是平等的。零售商應該從編纂最相關的客戶旅程開始,並量化透過端到端全通路體驗可能產生的價值。然後,他們可以在這些選定的旅程中實施頻繁測量,將客戶終身價值與收購成本進行比較,以有效分配資源來增加價值。在最後階段,零售商可以將這一旅程鏡頭嵌入到整個業務和技術組織中。
  2. 重定向技術投資,重點是商業價值許多零售商仍然在遺留系統和軟體上花費大量資源 —— 也稱為「保持系統執行」費用。這筆科技債務正在排擠對將創造商業價值的戰略優先事項,以及新商業模式的試點的投資。相反,他們應該引入 360 度指導流程,其中聯合業務和技術團隊在季度業務審查中與 C-suite 分享進展。該小組將集體評估現有業務目標和各自的關鍵績效指標,並將資源重新分配到未來的優先事項上。
  3. 資料加倍許多組織犯了一個錯誤,試圖彙總和管理所有資料來支援戰略 —— 這是一項耗時的工作。相反,零售商應該根據優先用例利用資料,為業務決策提供資訊和創造價值的潛力,來確定優先應用案例。透過整合實施這些用例所需的資料,IT主管者可以與企業密切合作,建立必要的技術和業務基礎,例如擁有合格資料架構師和科學家的中央組織。零售商可以透過提供方便的訪問、持續更新和針對內部受眾的相關見解,來確保功能定期使用資料。
  4. 建立下一代技術基礎零售商,可以採取幾個步驟來升級他們的技術基礎,並加快新解決方案的開發。他們應該試行一個基於雲的高度自動化的開發平台,該平台具有內建的安全和開發工具。此外,他們應該儘可能使用標準軟體,來促進解決方案的採用,實施業務流程的最佳實踐,並促進最新功能的升級。零售商也可以從粒度中受益:分解整體解決方案以建立基於微服務的架構,可以增加靈活性和可重用性,同時加快交付速度。
  5. 試點極端工業化速度和規模,應該是零售商的優先事項。他們可以透過實現交付模式的工業化,來實現這些目標。由於組織孤島可能是重大障礙,零售商應該建立跨職能團隊(例如,由業務產品所有者主管的工程師、設計師和建築師),以促進協作和知名度。引入大規模自動化的軟體交付管道,可以使這些跨職能團隊管理其解決方案的端到端交付,從而大大加快向客戶交付新功能。


當消費者要求更大的靈活性、客製化和響應性時,許多零售商缺乏滿足這些期望的技術基礎。答案是對技術架構和營運模式的全面檢修。時間非常重要,因此零售商應該採取一切必要措施來加快轉型。不僅在整個商業和技術組織中都能感受到好處,而且在底線上也能感受到。



· 智慧校園:意義、特點和好處

 
什麼是智慧校園?



MY TECH MAG



建設智慧校園的概念在學校管理人員中很受歡迎,因為他們目的在為學生創造安全高效率的教育體驗。

根據高等教育當局最近的一項研究,43% 的人認為智慧校園基礎設施,可能有助於學生在大學裡待得更久。 一半的受訪高等教育高管認為,精心策劃的智慧校園理念將節省大量成本。

隨著機構響應學生的要求,他們可能會實施一個智慧校園計劃,鼓勵高效率的行為。 高等教育機構應該專注於最佳實踐,這些最佳實踐將使它們作為智慧校園概念的一部分而區分開來,而不是交易過程的變化。

智慧校園是什麼意思?

智慧校園透過利用現代通訊基礎設施,和網路連線的小工具,提供有益的互動體驗。它連線人員、資源和應用,允許機構做出資料驅動的選擇,以確保安全和增加收入。

Gartner 將智慧校園技術評為影響高等教育的十大策略技術之一。為了支援智慧校園理念,大學將網路裝置和裝置混合在一起。管理員可以透過辨識需求,來實現智慧校園計劃目標,同時使用基本框架管理財務。

以下是智慧校園的一些應用案例:

  • 引導客人前往可用的停車位,併為該場景提供繪圖技術
  • 在漏水的管道或故障的電器,成為問題之前辨識它們
  • 資料可用於尋找,將人們重新分配到更有意義的職位的可能性
  • 提供互動工具和自助服務技術,為課堂教育做出積極貢獻
  • 透過自動化學生和教師活動,提高生產力,同時保留以人為本的策略

智慧校園的特點

智慧校園在提高其成員生活水準方面的貢獻,正在成為其建築的關鍵要素。 互聯的必要性及其提供的優勢,是所有設計中反覆出現的主題。以下是其一些關鍵特徵:

易於使用

與其他高等教育選區一樣,今天的學生精通技術,並希望使用一個簡單的平台來使用。 該解決方案應該提供奇妙且易於使用的使用者體驗。使用智慧管理系統時的身份、可用性測試、主要用例和消費者體驗,將為智慧校園提供真正的智慧和實用性。

以人格面具為中心的設計思維

應該可以透過各種介面與系統進行無接觸通訊,包括影像、語音、手勢和聯絡。 該框架應該解決誰必須得到服務,以及如何為他們服務。智慧校園實現了這一目標,並提供了無縫的使用者體驗。

模組化、適應性和多功能性

校園需求和支援它們的系統在不斷變化。在最好的情況下,該解決方案不受僅為第一天建立的一系列技術,或核心能力的約束。智慧校園技術可以透過,利用基於促進校園現代化的模組的域,驅動的概念框架來解決這個問題。

這些模組是自包含的、可互換的功能元素。目標是設計連線鬆散的軟體應用和服務,利用以前建構的功能和技術。這種架構模式使操作轉型成為可能,使智慧校園顯著成長,並允許以任何方式利用功能。

因此,系統可能會以符合最終消費者不斷變化的需求的方式建立。

可擴充套件的

該技術目的在讓學校和機構與同齡人合作,同時進行大規模擴充套件。雖然高等學術機構規模小,規模小,規模大,但智慧校園技術應該為實現該機構的目標提供全球擴張。

該解決方案利用現代工具和技術來提供資料驅動的見解,同時還允許覆蓋和擴充套件。該解決方案可以為學生提供服務,無論他們在現場的課堂環境中還是在線上虛擬教室中。

另請閱讀:高等教育技術

智慧校園的好處

智慧校園使用網路技術來提高合作、資源效率、安全性、成本節約,並使機構更加整合和愉快。機構可能會使用智慧校園來整合照明、小工具、攝影機等系統,為學生提供簡化和互聯的體驗。

1. 增強學習體驗

學生要求學校所有地區都像家一樣的網際網路連線。 大學必須提供簡單、安全、量身訂製的現代課堂環境,為學生服務。

此外,可訪問性非常重要。 學生應該在整個校園內自由旅行,並依靠直觀、無障礙和簡單的服務來使用。

正如 2020 年所顯示的,校園內設定必須迅速適應校外學生的要求。無論課程是遠端的,還是線上的,大學都必須提供相同的體驗才能實現這一目標。

2. 提高安全性

儘管過去二十年來本科學校的犯罪率有所減少,但校園安全仍然令人擔憂。 良好的照明和安全巡邏,不足以為兒童提供保護。

由於網際網路連線的安全功能,學生及其家人可以有一種寧靜的感覺。智慧校園技術有助於減少犯罪,同時提高認識。大學可能會實施智慧技術,使用可靠的連結系統保護資產和個人。

3. 提高大學的可信度

智慧校園的各個方面都提高了其聲譽。多虧了增強的安全功能、積極主動的學術支援服務和新的教學方法,一個機構可以擁有競爭優勢。

此外,大學可以毫不費力地收集使用者生成的材料,用於與始終相互聯絡的學生進行廣告和推廣。

總結

來自許多建築應用的資料,可以透過將以前獨立的系統,整合到一個中央樞紐來聚合和整合。這種簡化的方法,使機構能夠更輕鬆地評估資料。

此外,它幫助管理員做出資料驅動的決策,以提高營運效率和智慧。雖然網路的整合可能看起來很複雜,但實現連線比許多人想像的要容易。



按此回今日3S Market新聞首頁 

· 互聯物流:物聯網、雲和分析是關鍵驅動力

甲骨文的互聯物流 


i-SCOOP

物流、運輸和倉儲(整體供應鏈管理)傳統上是可以感知和「通信」的連接設備領域的先行者,早在「物聯網」一詞被創造出來之前,它與工業 4.0 密切相關。

借助 RFID 和其他互聯物流的可能性,物流市場試圖在速度比以往任何時候都更加重要的世界中建立競爭優勢。

2016-2020 年全球互聯物流市場:以接近 30% 的複合年成長率成長。

隨著在正確的時間、正確的地點和正確的條件,以正確的數量和正確的成本(著名的物流 7R)將正確的產品提供給正確的客戶,這一挑戰越來越大,物流行業不斷投資於互聯物流解決方案,由工業物聯網強力驅動,從支出的角度來看,它代表了第二大行業,僅次於製造業

物流的 7 盧比——以及商業物流如何與數據交織在一起

物聯網在互聯物流系統四大支柱中的地位

根據 Technavio 於 11 月 28 日發布的《2016 年全球互聯物流市場報告》,預計到 2020 年,全球互聯物流市場將以約 30% 的複合年成長率 (CAGR) 長。


顯然,互聯物流市場不僅僅是嚴格意義上的工業物聯網,而是我們通常在集成的萬物互聯方法中看到的整個生態系統。因此,它還包括服務、安全、雲、大數據分析和其他幾個第三方平台技術。

事實上,對於 Technavio 來說,互聯物流系統有四大支柱:通信系統、供應鏈監控系統、車輛跟踪和 IT 安全。

根據 Technavio 的說法,互聯物流系統的 4 個支柱

儘管如此,物聯網以及總體而言的工業網路顯然發揮著重要作用。

正如 Technavio 物流研究的首席分析師 Sharan Ray 所說:「全球互聯物流市場正在經歷顯著成長。使用先進的 IT 解決方案,如物聯網、大數據分析雲計算和遠端溫度監控系統,已經改變了物流服務。」

互聯物流市場:每個細分市場的預測和演變

該報告區分了三個關鍵部分,每個部分都有自己的預期成長率。

軟體服務

如下圖所示,軟件服務在 2015 年佔整個市場的 37.41%,並有望在 2020 年之前以 29.88% 的複合年成長率長。

軟體服務部分包括「互聯物流」雲和本地解決方案,可與物流應用和 ERP (企業資源規劃)整合。很明顯,就像幾乎所有行業的情況一樣,正在向雲端運算模式和智慧系統(如智慧 ERP )轉變。

硬體設備

2015 年,硬體設備部分佔全球互聯物流市場的 29.86%,預計到 2020 年將以 25.64% 的複合年成長率長。

在這裡,我們發現 RFID (射頻辨識)感測器(感測器市場的演變是由自動化程度的提高驅動的),物聯網的智慧連接設備,也是不可避免的通信和網路設備,如路由器、交換機和無線通信設備,以及生物辨識設備、車隊管理設備、車輛遠端資訊處理,以及互聯物流方法範圍內所需的更多硬體。

資訊科技服務

我們把最好的留到最後。雖然在 2015 年,IT 服務排名第二,僅次於軟體服務,總支出份額為 32.73%,但到 2020 年,IT 服務部分將以 32.89% 的複合年成長率成為長最快的部分。

這也符合我們在許多行業中看到的情況,在這些行業中,隨著組織專注於數位化轉型、創新和優化、改變支出和 IT 方法,服務變得越來越重要。

嵌入 RFID、感測器設備並由 IoT 提供支持的高級通信系統可幫助企業提升價值鏈

例如,在IT服務領域,我們發現系統整合服務、諮詢服務、IT支持和維護服務以及應用管理服務,如報告公告所示,這些服務都廣泛用於互聯物流市場。系統整合服務的作用很大。

現有的 IT 系統需要與新的 IT 系統整合,以實現由物聯網實現的無縫數據和資訊交換,並且在傳統 IT 經常阻礙的數位化轉型經濟中發揮關鍵作用。

技術和服務的全球互聯物流市場 – 來源 Technavio – 2016-2020 年全球互聯物流市場 – 更多
技術和服務的全球互聯物流市場 – 來源 Technavio – 2016-2020 年全球互聯物流市場 – 更多

Technavio 的 Sharan Ray 評論說:「諮詢服務與 IT 規劃相結合,以提高佈署在互聯物流服務中的技術的性能。應用管理服務為遠端追蹤系統管理行動設備上的企業應用。最後,IT 支持服務管理整個供應鏈中,使用的端到端 IT 系統。」

根據報告的摘要頁面,全球互聯物流市場的領導者是埃森哲、AT&T、思科、SAP 和甲骨文。

物聯網和物流智能解決方案的驅動力:透過更好地管理溫度敏感產品來減少浪費

市場成長以及物聯網和智會應用使用增加的驅動力之一,是對有效管理溫度敏感產品的可能性的日益成長的需求,以及隨之而來的高浪費率。

在新聞稿中,Technavio 舉了著名的物流(航運)巨頭馬士基集團(Maersk Group)的例子,該集團實施了由 AT&T 提供的工業物聯網解決方案,來管理他們的冷藏集裝箱。

Technavio 表示,通過這種方式,嵌入 RFID、感測器設備並由物聯網提供支持的先進通信系統,正在幫助企業提升價值鏈。

全球互聯物流市場的未來顯然是物聯網、整合解決方案、數據以及最後但並非最不重要的行動性。

報告的登陸頁面顯示:「行動技術的不斷創新將推動全球互聯物流市場的成長前景,直 到 2020 年底。企業……越來越多地使用行動技術,來管理其供應鏈管理(SCM) 和分銷系統。 」



按此回今日3S Market新聞首頁 

· 通用數據保護條例:歐盟 GDPR 在線指南

 


i-SCOOP


通用數據保護條例(GDPR)是歐盟的一項條例,目的在保護自然人 (稱為數據主體)處理和自由移動其個人數據。它於 2016 年正式發佈為「2016 年 4 月 27 日歐洲議會和理事會條例 (EU) 2016/679」,並於 2018 年 5 月 25 日生效。

《通用數據保護條例》是對個人數據保護的巨大變革影響全球數據被用於充分的商業目的。GDPR 是一個巨大的變化有幾個原因,包括 GDPR 的所謂域外適用性:它的應用擴展到歐盟和 EEA (歐洲經濟區)的邊界之外。

個人數據的處理應目的在為人類服務。個人數據保護權不是絕對權利;必鬚根據其在社會中的功能加以考慮,並根據相稱性原則(通用數據保護條例)與其他基本權利相平衡

歐盟 GDPR 還授予數據主體更多的權利,並對數據控制 者(決定處理個人數據的目的和方式) 和數據處理 者(代表控制者進行處理活動)產生更多和更深遠的影響。

GDPR 通用數據保護條例歐盟指南

《通用數據保護條例》的地域範圍 適用於個人數據處理類型)和擴大的材料範圍在全球範圍內具有重大影響。

在 Facebook 和 Cambridge Analytica 數據隱私醜聞,以及主要公司的重大個人數據洩露事件之後, 《通用數據保護條例》(以及 GDPR 的ePrivacy 條例)的影響引起了全球的廣泛關注。

隨著網路安全風險的增加和多個國家和,通過的個人數據保護立法,GDPR 和數據保護法規總體上也引起了對網路彈性的日益關注。

概括地說通用數據保護條例:範圍、合規性、罰款、處罰和 GDPR 步驟

在開始深入探討之前,簡要介紹為什麼認為歐盟 GDPR 被認為是必要的,以及一些基本方面,從通用數據保護條例的「內容」和「原因」開始。本章涵蓋了一些要點,因此如果 GDPR 對你來說不是那麼新,請使用目錄。

GDPR 的含義和定義是什麼?

沒有真正的 GDPR 定義。GDPR 是通用數據保護條例的縮寫。

如前所述,從技術上講,《通用數據保護條例》文本發表在《歐盟法律和出版物》雜誌上,被稱為「歐洲議會和理事會 2016 年 4 月 27 日關於保護自然人關於個人數據的處理和此類數據的自由流動,並廢除指令 95/46/EC」。

但是,《通用數據保護條例》的文本中對其使用的術語有幾個定義。如果你正在尋找超出本 GDPR 概述範圍的術語的 GDPR 定義,例如個人數據處理、同意、控制者等,GDPR 文本的第 1 章在第 4 條中提供了這些定義。

組合和聚合的個人數據和標識符越多,個人數據就越重要 - GDPR 也包括幾個在線標識符 - 在此處了解有關它們的更多信息
組合和聚合的個人數據和標識符越多,個人數據就越重要 —— GDPR 也包括幾個在線上標識符 —— 在此處了解有關它們的更多資訊

為什麼歐盟用通用數據保護條例,取代現有的數據保護條例?

通用數據保護條例的存在有多種原因。第一個是提到的數據保護指令,或指令 95/46/EC,雖然已經過調整,但不再適合應對這些數位時代的個人數據挑戰。

歐盟的數據保護指令自 1995 年就已經存在。1995 年,人們幾乎不使用網路。儘管自 1995 年以來已經有了額外的規定,但歐盟認為是時候取代數據保護指令了。

2012 年初,歐盟委員會表示,歐盟需要在許多方面與數位時代保持一致,而不僅僅是個人數據。同時,出於同樣的原因,它還決定是時候改革現有的數據保護規則框架了。數據保護指令是這些現有數據保護規則的關鍵。

個人數據處理的示例包括個人數據的儲存、收集和收集個人數據(無論以何種方式)匯總、記錄、交換、分析、公開、數位化、豐富、結構化、更改、搜索、利用、刪除、結構化、銷毀、上傳和簡單地使用/保存個人數據。

此外,《數據保護指令》是一項指令,《通用數據保護條例》是一項法規。2015 年 12 月 15 日,歐洲議會、歐洲理事會和歐盟委員會就新的數據保護規則達成協議,該規則將被稱為 GDPR 並取代數據保護指令。

作為一項指令,歐盟 GDPR 的前身被不同的國家採用。歐盟想要一種更加一致的方法。GDPR 是為單一數位市場而設計的,在這個市場中,處理個人數據的組織,知道他們可以用個人數據做什麼,不能做什麼。透過這種方式,數據非常重要的數位經濟,應該在數據日益密集的世界中蓬勃發展。GDPR 提供了適應當今數位世界現實的監管框架,同時將數據主體置於其個人數據的主導地位。

我們現在所做的幾乎所有事情都是由數據驅動的,而個人數據幾乎存在於我們所做的所有事情中:使用社交媒體、線上購物、開設銀行賬戶、透過 Skype 進行交流、在網站上填寫表格以接收促銷活動、從我們最喜歡的商店,看醫生,訂閱時事通訊,與政府互動,清單是無窮無盡的。

數據控制者擁有大量關於自然人的數據,他們處理、儲存、收集、分析和交換這些數據。儘管很少有公司擁有我們所有的個人數據,但個人數據的聚合,可以讓我們深入瞭解我們的個人生活和隱私,從而導致潛在的濫用。大量的個人數據也容易受到潛在的破壞,而且個人數據的使用方式,通常是人們沒有明確同意的。

例如,在在線廣告和社交媒體中,大量個人數據和所謂的個人數據標識符被用於在許多數位平台上追蹤和定位我們,並且出於我們未同意的目的,或其他法律依據的目的,存在用於合法處理個人數據,除了同意。

什麼是數據主體?

數據主體是已識別或可識別的自然人,其個人數據需要在 GDPR 的背景下得到保護和處理。

已辨識的自然人是被單獨挑選出來的自然人,無需其他元素或標識符即可清楚地辨識為自然人。可辨識的自然人尚未被辨識,但可以被辨識。這可以與其他標識符(例如名稱和地址)相關聯來完成。

個人數據保護和 GDPR 適用於,已辨識和可辨識數據主體,及其個人數據,以及所有可能的標識符,因此某些辨識數據被認為非常敏感,甚至受到更多保護。

什麼是個人數據,什麼是敏感數據?

個人數據是指與數據主體相關的資訊,無論數據主體是否在數據處理範圍內被辨識或可以被辨識

個人數據包括相當常見的數據,例如姓名、電子郵件地址、出生地、出生日期、數據主體的照片等。

個人數據還包括其他不太明顯的數據,包括對數位經濟更為典型的數據和標識符。這可以包括在線標識符,例如 IP 地址、位置數據、透過現代手段(例如物聯網 ( IoT ) 或臉部辨識系統)獲取的行為數據、cookie、RFID 標籤等,還包括與組織相關的數據或政府,例如身份證號碼。

最後,還有一類個人數據,被視為具有額外保護需求和規定的敏感數據。這些是與個人健康和健康史、種族、宗教或政治信仰、整體社會和文化身份、遺傳數據等有關的個人數據。

GDPR 也適用於匿名的個人數據,但不適用於匿名數據。假名化是 GDPR 推薦的一種技術。

什麼是 GDPR 清單?

GDPR 清單是你的組織為符合 GDPR 需要做的事情的清單。但是,沒有普遍有效的 GDPR 清單,也可以將其視為「GDPR 待辦事項」清單。

由於每個組織都是不同的,有不同的目標和活動,處理不同類型的個人數據,並且有自己的工作方式和自己的流程和挑戰,因此應在跨部門團隊之間合作制定 GDPR 清單,以確保所有 GDPR 風險均已列出,所有 GDPR 保護機制均已到位,並且組織始終瞭解個人數據所在的位置,以及如何獲得同意,以及通常需要符合 GDPR 要求的外部顧問和顧問。

但是,通用的是所有 GDPR 清單,都應包括實現上述目標的步驟。它應該包括重要的職責,例如 GDPR 員工意識培訓,這也意味著你有一個可操作的計劃,並因此進行了 GDPR 作業。這樣的 GDPR 計劃是進行風險分析的結果,根據組織在 GDPR 合規範圍內的職責,列出與當前個人數據處理和保護實踐有關的所有 GDPR 風險,瞭解要解決的問題是什麼,列出如何處理這些問題,並在 GDPR 清單上定義要完成的不同任務的優先級,因為你不能同時做所有事情,並且某些風險高於其他風險,某些類型的個人數據和數據處理活動更多比其他人重要。應該從數據主體風險的角度來處理風險,但你可能還需要考慮 GDPR 罰款和處罰。除了 GDPR 意識計劃和帶有 GDPR 清單或「待辦事項」清單的 GDPR 行動計劃外,組織還表明它已在 GDPR 合規方向上採取了一些步驟,這是必不可少的。

GDPR 規定的罰款和處罰是什麼?

GDPR 規定 GDPR 罰款,最高可達組織全球年營業額的 4% 或最高 2000 萬歐元,另外規定在第 8 章第 83 條中選擇兩者中的最高者。

這並不意味著在不合規和/或個人數據安全漏洞的情況下,組織將不得不支付這些驚人的金額。他們是最高罰款。

在 GDPR 真正生效之前,一些歐盟國家已經出現了非常高額罰款的案例。雖然很難預測在任何特定情況下 GDPR 的罰款和處罰是什麼,但很明顯,像往常一樣,一切都取決於許多因素,例如違規的嚴重程度或不合規,數據主體權利的方式被忽視或妥協,不合規程度(毫無疑問,看看在員工意識水準、風險評估和盡可能合規的步驟方面所做的工作)以及個人數據發生了什麼。

例如,如果它們在未經同意/授權的情況下,進行國際轉移或數據主體訪問它們被系統地拒絕或簡單地忽略,則適用最高 GDPR 罰款。

儘管很難預測 GDPR 為各種類型的違規行為,和不符合 GDPR 的情況提供了明確的罰款機制。

例如,GDPR 不僅規定了最高罰款額,還預見了對組織未能遵守的其他幾種情況的較低罰款(1000 萬歐元或營業額的 2%) 。其中包括不以 GDPR 預見的方式報告數據洩露,或透過設計規則忽略隱私。更多關於第 83 條中的行政罰款。附加說明:類似的罰款適用於即將到來的、前面提到的歐盟電子隱私條例。

除了行政罰款外,《通用數據保護條例》還提供多種其他處罰。如果懷疑公司不遵守數據保護規則,適當的數據保護機構 (DPA)可以對其進行調查,如果違反規則,可以 1) 決定處以罰款,2) 決定採取另一種措施(例如,也可以是譴責或禁止數據處理活動)或 3)決定處以罰款並採取另一種措施。

有關本 GDPR 概述中提供的罰款和處罰的更多信息,請單擊下面的按鈕。GDPR 罰款和處罰

關於 GDPR 合規性,我需要了解哪些信息?

GDPR 合規性僅意味著遵守《通用數據保護條例》中有關你進行的個人數據處理活動的所有規則。鑑於歐盟 GDPR 的大量規則和許多變化,與其前身數據保護指令 95/46/EC 相比,實現這一目標並不容易。

雖然通用數據保護條例於 2016 年生效,但所謂的 GDPR 截止日期(提到的適用日期)是你的組織應遵守的時間。這意味著從 2018 年 5 月 25 日起,GDPR 中提到的高額行政罰款也可以適用。

《通用數據保護條例》對組織內的角色和責任做出了明確的規定,以便能夠響應數據主體在行使其多項權利中的一項或控制和監視實例的請求時的請求。

GDPR 不僅僅是關於罰款和截止日期。合規是一項持續的工作。你需要制訂一個策略計劃,從數據主體角度的主要風險開始(事實上你當然也會考慮你的風險),以及通用數據保護條例的基本方面和變化,按照 GDPR 文本的規定。

當然,僅此文本並不能回答所有問題。這就是為什麼有數據保護機構、DPA 和其他機構的指導方針(這些機構的作用遠不止罰款),例如歐洲數據保護委員會,當然還有數據保護官員 (DPO)等專家,你可能需要這樣做遵守歐盟 GDPR,但如果你嚴格來說不需要,你也可以僱用(DPO 培訓已滿員,很快將有更多 DPO 可供僱用,例如在已經存在的 DPO 即服務模型中) )超出你的想像。

換句話說:尋求建議,而不僅僅是在有疑問的情況下。GDPR 合規性是端到端的,沒有法律文本或指南涵蓋所有內容。在某些情況下,最終法官需要像往常一樣進行裁決。

重要的是,通往合規的道路是持續存在的,這一切都與風險和管理有關。因此,在以優先方式映射這些風險和基本任務之後,你需要逐漸從解決它們轉向進一步的合規步驟。展示你已經完成和仍計劃做的事情的能力,是這裡的關鍵,始終展示合規性的能力,也是數據控制者的職責之一。

GDPR - 數字時代的歐洲數據保護 - 簡而言之 GDPR 的一些要素 - 來源和歐盟版權委員會
GDPR – 數位時代的歐洲數據保護 – 一些 GDPR 要素簡而言之 – 來源和歐盟版權委員會

關於通用數據保護條例,我應該瞭解哪些信息並開始使用?

雖然罰款不是最好的起點,但關鍵是確保數據主體的權利能夠得到行使,並且有適當的法律依據來合法處理個人數據

不讓數據主體行使其權利或無視他們的請求會使情況變得更糟,並可能導致更高的罰款,當數據主體提出投訴時,他們每個人都可以這樣做,而適當的數據保護機構需要跟進。

換句話說:沒有理由恐慌,有理由小心,繼續並理解 GDPR、數據主體的權利、控制者和處理者的義務、合法處理的法律依據、一般數據處理原則和規定你的個人業務、各個部門(人力資源、行銷、銷售、客戶服務等)、你處理的個人數據類型、適當的安全業務措施和以端到端方式的基本步驟,從GDPR 意識和(意識)對員工進行培訓,因為人是數據保護中最薄弱的環節(無論是在資訊管理的範圍內)文件共享、使用他們的工作工具等方面;以及在網路安全範圍內)並讓他們意識到(在他們的工作環境中處理個人數據時要遵循的政策)是證明合規性的第一步,也是簡單的一步。其他步驟,例如查看與你的數據處理者的協議(當你是控制者時)和註冊個人數據處理活動,並提供有關處理內容、原因和方式,以及獲取數據的基礎的附加資訊,在此 GDPR 概述中進一步瞭解。

最後,請注意,GDPR 合規性也是一項持續的工作,因為數據保護挑戰不斷發展,法理學也在不斷發展,有關合規性和新技術和風險的規則,也在不斷發展,這些規則在瞬息萬變的世界中構成了挑戰。

在技 術方面確實考慮到 GDPR 及其「特別法」,即電子隱私條例,還涵蓋個人數據和 PII (個人身份資訊)以及 IoT (物聯網、可穿戴設備智慧設備)等領域的標識符家庭自動化應用到所謂的工業 4.0 應用中的個人數據)、網路、先進的「第三平台」數位技術和電子通信,等等。雖然後兩者也包含在以前的法律中,但它們被擴大以符合當今存在的平台和工具,當然其中有不少(想想社交網路、Skype 等應用、大數據分析、透過在對人進行排名的應用中,賦予社交分數來自動決策,通常與社交活動和其他數據(例如「影響力」等)相結合)。物聯網是新事物。因此,在此需要額外關注,理想情況下,對於該領域的應用以及在新數位技術的背景下,建議進行所謂的數據保護影響評估。它確實不再只是關於 cookie 和電子郵件地址。

GDPR:蓬勃發展的數位經濟的個人數據保護和隱私規則

如前所述,罰款和處罰不是《通用數據保護條例》的目的。此外,它還適用於比消費者關於(使用和保護)其個人數據的基本權利更大的背景。

GDPR 被視為在數位轉型經濟中,保護個人數據及其所有權的框架,其中數據是商業資產、新貨幣、石油和創新加速器;以及透過更廣泛的個人視角,在整個互聯生態系統中,利用個人數據來實現收益,以便在各個學科中取得更好的結果。

在這種經濟、數位和社會背景下,所有組織都有明顯的好處,但也有一些規則需要在個人層面得到尊重,否則我們將看到,不斷增長的數位市場會受到多重挑戰的阻礙。換句話說:儘管 GDPR 對許多人來說似乎很痛苦,但它也需要讓數位和數據驅動的世界,變得更容易和更清晰。由於我們將解決的幾個原因,這也為組織帶來了好處。

歐盟通用數據保護條例 - GDPR 一些關鍵變化的總結 - 注意 - 閱讀詳細信息
歐盟通用數據保護條例 – GDPR 的一些關鍵變更摘要 – 注意 – 閱讀條例中的詳細資訊並獲得建議

GDPR 的關鍵定義、術語、權利和規定

要符合 GDPR,您不僅需要一些工具。您需要一份全面的分析、計劃、詳細的清單等,涵蓋所涉及的所有方面和流程。任何此類策略、清單或合規計劃的第一階段是意識。

雖然這更多的是關於組織中,所有利益相關者的意識和專業知識(包括培訓你的員工),但我們還需要瞭解 GDPR 中的一些關鍵術語、概念、權利和義務。你可能已經掌握了大部分內容,並且你可以在本概述下方的列表中看到更詳盡和詳細的指南。

個人數據的處理:處理的廣義 GDPR 定義

GDPR 是關於歐洲經濟區(包括歐盟)自然人個人數據的處理,在法規中稱為「數據主體」。

「處理」是指對個人數據或個人數據集 (GDPR) 執行的任何操作或一組操作

處理涵蓋了廣泛的行動現實,包括個人數據的儲存、傳播、更改和管理。正如我們將看到的,個人數據還涵蓋標準、定義、例外、個人數據標識符、假名數據等廣泛現實。此外,這往往被忽視,它適用於個人數據的處理,無論處理是否以自動化方式進行。換句話說:手動處理個人數據(營運商)也包括在內。

在 GDPR 最終文本第 1 章第 4 條(「定義」)的第二部分中,GDPR 將處理定義如下:

「處理」是指對個人數據或個人數據集執行的任何操作或一組操作,無論是否通過自動化方式,例如收集、記錄、組織、結構化、儲存、改編或更改、檢索、諮詢、使用、透過傳輸、傳播,或以其他方式提供的披露、對齊或組合、限制、刪除或破壞。

如果你開始考慮誰處理個人數據,你就會開始看到冰山一角。處理的定義非常明確,這表明 GDPR 如何涉及有關個人數據的所有活動。這還包括捕獲、掃描和處理硬拷貝文檔包含的個人數據,甚至包括「擁有」個人數據(或者我們不會儲存或處理它們)或「有權訪問它們」的簡單事實。

GDPR 對數據主體和個人數據的定義和範圍

歐盟 GDPR 對個人數據的定義也幾乎沒有解釋的餘地。在第 4 條中,案文規定:

「個人數據」是指與已辨識或可辨識的自然人(「數據主體」)相關的任何資訊;可辨識的自然人是可以直接或間接辨識的人,特別是透過參考諸如姓名、身份證號、位置數據、在線標識符等標識符,或特定於身體、生理、該自然人的遺傳、心理、經濟、文化或社會身份;  

GDPR 的定義很明確:如果你處理數據主體的個人數據,一般規則是適用 GDPR。然而,正如我們將看到的,在這個看似簡單的定義下隱藏著很多東西。

另一方面,在公共衛生和科學研究等領域,個人數據存在一些例外情況,因此瞭解 GDPR 對你所在行業的影響非常重要。這又是一個即時準備並瞭解它,如何影響你的個人組織和活動的論點。

經過假名化的個人數據,可以通過使用附加資訊歸於自然人,應被視為有關可辨識自然人的資訊。

歐盟 GDPR 不涵蓋匿名數據。但是,它確實涵蓋了所謂的假名化個人數據,因為假名化是安全和分析等領域中經常使用的「策略」,可以逆轉,並且與匿名數據相反,可以追溯到可辨識的自然人,數據主體。然而,假名以及加密是 GDPR 推薦的方法之一,作為「一種適當的技術和組織措施,以確保與風險相適應的安全級別」。

研究表明,相當多的公司事實上使用技術對數據進行去識別化,以降低風險敞口。

請注意,一般來說,合併的數據越多,去辨識化變得越困難,風險就越高。如果涉及特殊類別的數據(「敏感數據」),則會產生額外的風險和措施。

瞭解數據保護原則以及有關已辨識和可辨識人員的資訊

GDPR 第 26 條是理解數據保護原則的關鍵,並規定 GDPR 適用於與已辨識或可辨識人員有關的任何資訊。

它對通用數據保護條例適用於已辨識,或可辨識自然人的資訊類型,進行了基本概述。它還概述了應如何確定數據主體,或自然人何時變得可辨識,並指出假名數據也屬於 GDPR,而匿名資訊則不屬於。所有這些主題都在 GDPR 中更多的獨奏會和文章中得到了進一步的深入確立。

線上標識符、基因數據和個人健康數據

在 GDPR 中,個人數據的定義已經擴大(對於同意和保護都很重要)。

它包括標識符,例如遺傳數據和與數據主體健康狀況有關的所有數據。科學研究的數據也包括在內,但只是在一定程度上。

基因數據包括 DNA 分析結果,健康狀況數據包括治療、病史、疾病等數據——如下圖所示。標識符是可以使自然人可識別的數據元素,並且有很多。有些更籠統,有些則「敏感」。瞭解所有這些標識符以及自然人如何成為數據主體(他/她變得可辨識的各種方式)非常重要。給你一個想法:下圖中的一種標識符,即在線標識符,由多種類型和形式組成,從 IP 地址和 cookie 到 RFID 標籤。

圖表中的個人數據、數據主體、數據控制者、數據處理者和標識符關於醫療保健數據 - 更多信息請點擊此處
圖形中的個人數據、數據主體、數據控制者、數據處理者和標識符

《通用數據保護條例》第 30 條介紹了在線標識符,例如 IP 地址、cookie、RFID 標籤等,但並不詳盡。然而,在文本中,GDPR 進一步放大了它們。

要記住的關鍵是,上述那些線上標識符被視為個人數據,因為與唯一標識符相結合,它們可以導致數據主體的辨識,並且因為此類在線標識符再次與其他標識符相結合,可以並且確定 facto 用於分析,這在 GDPR 中明確提到。

我們看到很多人不知道這一點,甚至經常看到調查顯示,各個行業的專業人士不將其他標識符視為 GDPR 範圍內的標識符,例如電子郵件地址或照片。必須瞭解它們是(以及它們在什麼情況下)。

正如你可以在 Recital 34 中閱讀的那樣,遺傳數據被明確視為個人數據。此外,遺傳數據被視為敏感數據,應受到特殊保護。個人健康數據也是如此,其中包括來自基因數據的資訊,但更進一步,正如 GDPR 的 Recital 35 中所解釋的那樣,它總結了 GDPR 下各種形式的與醫療保健相關的個人數據(並且有特殊保護規則)。

GDPR 擴大的地域範圍

與現有指令相比,GDPR 的一個重大變化是其所謂的域外適用性,即 GDPR 不僅僅影響歐盟公司,這一事實的技術術語。

GDPR 涉及所有處理居住在歐盟的公民(「數據主體」)個人數據的公司,無論這些公司(「數據處理者」和「數據控制者」)位於何處。

當歐盟數據主體的個人數據處理由不在歐盟的控制者或處理者完成時,GDPR 適用於與向歐盟公民提供商品或服務(免費和付費服務)和歐盟行為監控相關的活動數據主體。

此外,處理歐盟公民數據的非歐盟公司需要在歐盟任命一名代表。

有關此領土範圍的相關鏈接和文本包括:

  • GDPR Recital 22 規定,在歐盟建立控制者或處理者的活動中,對個人數據的任何處理都應按照《通用數據保護條例》進行,無論處理髮生在歐盟境內還是不是。
  • GDPR 文本的第 23 條主要規定,歐盟以外的組織在提供商品和服務(有償或無償)方面對數據主體的個人數據的處理受 GDPR 的約束。
  • Recital 24,其中說 GDPR 適用於不在歐盟但監控歐盟數據主體行為的組織。
  • Recital 25,涵蓋了 GDPR 在國際公法範圍內的領土適用,例如歐盟以外的外交使團在適用歐盟規則的情況下屬於 GDPR。
  • 《通用數據保護條例》第 3 條(「地域範圍」)總結了所有內容,並具體解決了 GDPR 的地域範圍。
GDPR 地域範圍——主體控制者和處理者——當 GDPR 適用時
GDPR 地域範圍——主體控制者和處理者——當 GDPR 適用時

GDPR 以及控制者和處理者的職責

與其前身相比,GDPR 並沒有太大改變控制器和處理器的定義。然而,改變的是對處理器的影響 (以及在控制者本身之上的各種參與者的整體情況中的報告流程和義務,以及監管機構,和取代該條款的歐洲數據保護委員會的作用 29 本 GDPR 合規指南中,進一步提到的工作組)。

在關於 GDPR 地域範圍的資訊圖中,我們已經提到了數據控制者和數據處理者的定義。

  • 數據控制者是任何自然人或法人、公共當局、機構或其他機構,它們單獨或與他人共同決定,處理個人數據的目的和方式。假設它是主要組織。
  • 數據處理者是代表控制者處理個人數據的自然人或法人、公共當局、機構或其他機構。因此,根據個人數據處理活動的類型,實際上每個人都作為外包合作夥伴關注特定處理任務,因為處理涉及個人數據的任何可能的業務功能,因為處理的定義如此廣泛,如其他地方所述。

GDPR 下的數據控制器與數據處理器 - 處理器的位置
GDPR 下的數據控制者與數據處理者 —— 處理者和控制者的位置

我們專門為數據處理者的角色設置了一個特別頁面,因為在 GDPR 下數據處理者的義務很多,並且在侵權或個人數據洩露的情況下,存在事實上的共同責任。

處理者必須遵循與控制者完全相同的個人數據處理原則。最重要的是,處理器等,

  • 必須記錄他們為控制者完成的所有處理活動(審計跟蹤)以及他們為其進行數據處理活動的所有控制者,
  • 必須有一份合同或法律依據,清楚地描述他們為數據控制者所做的事情、持續多長時間、出於何種原因、數據類型和數據主體類別等等,
  • 必須協助控制者履行許多義務,例如安全數據處理、個人數據洩露時的通知義務(從處理者到控制者的個人數據洩露通知義務)、對數據保護影響評估或事先諮詢的潛在需求,
  • 在使用或考慮使用其他數據處理者的服務時,必須通知數據控制者,並有額外義務,對所描述的個人數據處理活動有明確的授權。

換句話說:GDPR 對數據處理者影響很大,因此對行銷、數據服務、人力資源、物流等領域的各種外包公司都有影響。

上面的處理器義務列表遠未完成。他們必須以安全和合規的方式自己工作,他們必須以比以前更透明的方式與數據控制器操作,數據控制器反過來必須更加關注與他合作的處理器的合規程度,必須有一個明確的數據處理協議,和處理者以比以往更多(直接)的方式承擔責任。

注意:在某些情況下,組織可以同時充當數據處理者和數據控制者。Jessica Lam 在下面的資訊圖和關於該主題的全文中解釋了這種情況。

雙重角色 - 在 GDPR 信息圖中充當數據處理者和數據控制者 Jessica Lam Lawinfographic - 閱讀全文
雙重角色——在 GDPR 資訊圖中充當數據處理者和數據控制者 Lawinfographic.com 的 Jessica Lam—— 閱讀全文

GDPR 在同意方面比其前身更為嚴格。同意仍然是合法處理個人數據的幾個法律依據之一。但是,當它被選為法律依據時,它增加了我們在本 GDPR 合規指南中進一步介紹的一般數據主體權利,因此實現 GDPR 合規意味著能夠滿足數據主體權利的要求,當他們想要行使這種權利時正確的。

同意應通過明確的肯定行為給予同意,該行為建立自由、具體、知情和明確的指示,顯示數據主體同意處理與其有關的個人數據,例如透過書面聲明,包括透過電子方式,或口頭陳述。

以同意為法律依據,適用附加規則,數據主體對其個人數據的控製程度更高,同時控制者和處理者的職責增加,額外的特定同意相關權利加入一般數據主體權利,例如作為撤回同意的權利。在實踐中,這很困難,需要同意管理的可能性。因此,在任何時候,關鍵是要看什麼是最好的法律依據,因為同意當然不是聖杯,也不是在公園裡散步。然而,在某些情況下,這將是最合適的法律依據,或者可能是特定個人數據處理活動的唯一(有效)依據。

根據 GDPR,當在任何數據處理活動中選擇同意作為合法處理依據時,數據控制者需要證明同意。同意還需要自由、具體、知情、明確,並透過聲明或明確的肯定行動給予。所有這些元素都非常重要。

透過選擇基於行動的同意方法 GDPR 合規性,不僅意味著在選擇時更難證明同意,還意味著獲得同意的方式,需要真正基於數據主體的明確行動,而不是透過預先勾選的框、不活動、沈默,和其他幾個可能使數據主體,更難自由同意的理由獲得。其他提到的關於同意的要素顯然與主動同意的概念有關,即自由給予、具體、知情和明確的事實交織在一起。

自由同意 GDPR - 權力損害不平衡 捆綁同意條件粒度
只有在遵循非常具體的規則,並且不存在使同意不能自由給予的條件時,才被認為是自由給予的

如果對數據處理活動的同意與使用服務,或合同的其他條款和條件捆綁在一起,則在未將特定數據處理活動的同意與這些條款分開的情況下,則認為同意不是自由給予的,因為需要對每個條款和條件給予同意單一活動(粒度)。

此外,數據控制者必須使用清晰和簡單的語言,來說明尋求同意的處理活動的目的,並且同意需要暗示真正的肯定和自由選擇,其中有幾個概念會使自由給予的同意無效。

這方面的一個例子:當在數據控制者和數據主體之間的權力,明顯不平衡的情況下給予同意時,同意將不被視為自由給予。

某些形式的數據處理的使用也存在限制,因此需要明確同意,這是一種更嚴格的同意形式,嚴格來說僅適用於某些條件。

如前所述,關於處理個人數據的同意需要清晰明瞭,且語言通俗易懂。

在實踐中,這意味著採用法律術語且易於區分,和易於理解的方式,來描述數據主體給予什麼同意,以及如何給予同意。同樣的簡單程度必須適用於撤回同意。此外,未經同意,不得與其他方共享個人數據。

同意和關於同意的後果/義務的詳細資訊

GDPR 說明和文章決定了應如何給予同意、何時適用、何時不適用、組織在同意方面的職責、數據主體如何撤回同意等等。

這一切都始於 GDPR 的第 30 條,其中明確提到數據主體同意處理他/她的個人數據的同意必須通過「明確的肯定行為」發生,正如剛才提到的。它不僅必須明確和肯定,還必須是該協議的自由給出、具體、知情和明確的指示。

這一切都會帶來更多後果。

  • 自由給予意味著絕不存在強迫、壓力或無法行使自由意志的情況。自由同意也意味著同意,當用作合法處理個人數據的法律依據時,數據主體可以在任何給定時間自由(並且輕鬆)撤回,而不會產生任何負面後果或損害。
  • 知情意味著數據主體確實知道他/她同意什麼,這是任何徵求同意的人的義務。
  • 明確意味著組織不能以合法或模稜兩可的方式,隱藏對個人數據處理的同意,以及處理的目的和數據主體的權利。
  • 具體是指為特定目的和在特定範圍內徵求同意的原因、個人數據,將如何使用等給予同意。
  • 肯定行為是我們之前提到的,關於數據主體方面的活動維度的內容,其中,預先勾選的框是「不行的」。

換句話說:它延伸得很遠,並且真正將知情的數據主體置於中心位置。Recital 32 清楚地表示同意的預先勾選框的結束,因為這些並不意味著同意。清晰和透明是關鍵。GDPR 文本第 3 章(主要是第 1 節)中的數據主體權利範圍進一步解決了透明度問題。

有許多關於同意的獨奏會和文章,因此請檢查你的具體情況的規則。舉個例子:GDPR 的獨奏會 33 著眼於科學研究範圍內的同意和個人數據。

除其他外,GDPR 文本的第 2 章(第 5-11 條)更詳細地處理了同意的主題,包括同意的條件、同意和 16 歲以下的兒童、撤回同意的權利等。

明確同意和具體/明確之間的區別

對於明確同意的含義,經常存在誤解。如上所述,同意的定義中未提及明確同意。

在明確同意的情況下,建議使用兩階段驗證方法作為一個不錯的選擇。

然而,明確同意一詞在 GDPR 中多次出現,其中包括關於特殊數據類別的第 9 條、關於自動決策和分析的 GDPR 第 22 條,以及關於國際數據傳輸減損的 GDPR 第 49 條。

在 2017 年 12 月 GDPR第 29 條數據保護工作組的同意指南中,明確同意是提到的幾個與同意相關的主題之一。

在個人數據保護存在嚴重風險的特定情況下,需要明確同意,並且認為對個人數據進行更高級別的個人控制是適當的。

換句話說:明確同意與具體同意不同,也不同於 GDPR 同意定義中使用的任何其他術語。上述指南進一步詳細說明了,獲得明確同意的機制,以及在哪些情況下你需要它,你可以在我們的文章中閱讀。

GDPR 合規性和合法處理個人數據的法律依據

同意只是合法處理的法律依據之一,儘管是最常提到的。這絕不意味著同意在 GDPR 眼中更重要,即使規則更嚴格。

我們一直在說:為個人數據處理活動擁有最適當的法律依據是最重要的。除了同意之外,合法處理個人數據的其他法律依據如下所述。它們是合同必要性、法律義務、切身利益、公共利益和合法利益。

GDPR 合法性處理個人數據 - 處理 GDPR 第 6 條的 6 個法律依據
合法處理的六個主要法律依據

除了我們剛剛介紹的同意之外,快速瀏覽一下它們中的每一個。此外,對於同意、明確同意、合法處理的法律依據等,我們在本 GDPR 合規指南中指出了更多文章。

合同必要性

顧名思義,合同必要性確實是合法處理的法律依據,其中為了簽訂合同而執行或採取的步驟需要處理特定的個人數據。

很明顯,如果你不知道與誰簽訂了合同,那麼在幾種類型的合同中很難有一個到位。獲取使合同生效的基本數據是一種處理形式,由於這些數據是個人數據,因此適用 GDPR。

這並不是新的,並且存在於 GDPR 的前身中,因此它不會對現有合同產生太大影響。但是,請確保你在簽訂合同時,要求提供的個人數據,是合同所必需的(不要超出合同範圍內嚴格要求的數據),檢查你在合同中進行的所有數據處理活動合同範圍,檢查特定業務職能 (例如人力資源)或行業的合同示例,在有疑問時尋求幫助,並確保你不會在一份合同中,混合多個目的和法律基礎(如果其中一個是同意的)。還請查看特定行業、商業活動、數據處理活動和合同規定的 GDPR 文章和 GDPR 說明會。

法律義務

法律義務,顧名思義,意味著為了履行其法律職責,數據控制者只需處理某些個人數據。

這已經作為法律依據存在,就像法律義務一樣。但是,GDPR 將法律義務限制,在歐盟或歐盟成員國的法律範圍內。

雖然這不是新的,你應該已經有了它,再次檢查是否符合 GDPR,列出法律義務範圍內的各種數據處理活動,看看它何時作為法律依據,並尋找你的行業。此外,對歐盟及其成員國法律的限制確實會帶來後果。

切身利益

切身利益本質上是當你需要獲取一些個人數據,以幫助自然人,並且沒有時間考慮規則和法規時。

換句話說:當你不立即採取行動時,本質上是生死攸關或對人們造成潛在災難的問題。例如,當你需要剛發生事故的人提供緊急資訊時,並且在試圖幫助他們的過程中,這些資訊非常重要。此外,在真正關乎生死和切身利益的情況下,其中一些數據可以服務於公眾利益。真的認為這裡有災難。

公共利益

公共利益主要是在公共當局的任務,和職責範圍內的法律基礎,以及控制者為公共利益或對公共當局,和公共利益所承擔的職責。 

公共利益也不是什麼新鮮事物,因此對於大多數人來說,它已經為人所知,並且它也確實存在於非歐盟數據隱私法中。科學研究和公共衛生是這裡的一些活動。

合法權益

在幾種情況下,合法利益是最常提及的同意替代方案之一。它在 GDPR 中並不新鮮,但你在考慮這樣做時需要非常小心,因為有一些例外情況和很容易忽略的微小細節。

合法利益的一個例子是,在數據主體是客戶或為控制者服務的情況下,數據主體與控制者之間,存在相關且適當的關係。合法利益通常被用作營銷範圍內同意的替代方案,其中也存在 GDPR 是否意味著你需要重新同意的問題;意思:請客戶再次同意。一般來說,如果你已經按照 GDPR 前身的規則工作,你就不會這樣做。然而,魔鬼在細節中:只有在你之前所做的符合 GDPR 的情況下才會如此。所以,檢查兩次。

其他合法利益示例,例如網路和資訊安全原因,以及更多關於這些法律依據的更多資訊,請點擊下面的按鈕。

處理個人數據:透明、合法、公平等原則

除了合法處理數據的法律依據之外,還有個人數據處理的透明度、公平性和合法性的一般原則。

因此,請務必查看《通用數據保護條例》第 5 條和第 39 條,因為它涵蓋了根據 GDPR 處理個人數據的透明度、合法性和公平性的本質,以及處理這些數據的組織的若干後果。

說明和文章更詳細地介紹了透明度(例如,為什麼要處理個人數據,讓數據主體易於查找和理解的義務,使用清晰明了的語言的義務),但也著眼於關於個人數據儲存時間限制的基本規則和基本義務,以確保數據主體可以行使他們在 GDPR 下的多項權利(透明度原則、目的限制、儲存限制等)。

GDPR 下的個人數據處理原則 - 與處理個人數據相關的原則 GDPR 第 5 條

數據主體的同意以及在某些情況下,其他法律依據是根據 GDPR 合法處理個人數據的基礎,作為一般規則(通常的例外情況除外),由組織(或控制者)決定能夠證明數據主體,確實同意處理他/她的個人數據,或者有其他合法處理的依據。控制者還應確保遵守若干數據處理原則並得到證明。(責任原則)。

個人數據洩露通知義務

GDPR 對何時以及如何報告對數據主體,構成風險的個人數據洩露有明確的規定。GDPR 合規意味著能夠履行該職責。

違反通知義務意味著幾件事。首先,這意味著需要將個人數據洩露事件傳達給所謂的監管機構。如果可行,該個人數據洩露通知應在不適當的延遲內發出,並且不遲於控制者知道它的 72 小時。

如果控制者提交個人數據洩露通知的時間超過 72 小時,則通知需要附有延遲 原因的解釋。

如果個人數據洩露不太可能對各種權利和自由造成風險(這些權利和自由的解釋比 GDPR 單獨的範圍更廣),那麼所有這些都不適用。

個人數據洩露是指安全漏洞導致意外或非法破壞、丟失、更改、未經授權披露或訪問傳輸、存儲或以其他方式處理的個人數據(GDPR 第 4 條,定義)

如果發生個人數據洩露,可能會給數據主體帶來風險,處理者顯然還需要通知控制者。但是,這必須在意識到個人數據洩露後立即發生,不得無故拖延。GDPR 第 33 條對此進行瞭解釋,其中還有關於個人數據洩露通知至少應包含哪些內容的規則。

除了處理者有義務通知控制者,和控制者在個人數據洩露,可能對數據主體的權利和自由造成高風險時,通知監管機構之外,控制者還必須傳達個人數據洩露的資訊數據主體,再次在這裡,不得無故拖延。

GDPR 第 34 條中有關向數據主體,傳達個人數據洩露,以及不需要的情況的基本規則。

GDPR 第 4 條包含 GDPR 定義,定義了個人數據洩露的含義,正如你在引文中所讀到的那樣。

兒童個人資料的特殊保護

《通用數據保護條例》第 38 條,規定了在其個人數據範圍內,對兒童的具體保護。

這裡提到了父母的作用,和關於兒童個人數據保護的一般規則,主要是在行銷、分析和收集兒童個人數據,以提供針對他們的服務的範圍內。

確切的細節在文本中進一步確定。在第 8 條(GDPR 文本的第 2 章)中引入了 16 歲的年齡,儘管歐盟成員國可以預見在特定條件下較低年齡的法律,即較低年齡永遠不會低於 13 歲。

在 GDPR 的範圍內,對兒童的特殊保護非常重要,因此它絕對應該在你的 GDPR 合規列表中排名靠前。

GDPR 合規性和數據保護官

GDPR 範圍內的數據保護官,或 DPO 僅在以下情況下,才需要大規模處理特定類別數據的數據。

數據保護官有明確的職責,需要在數據保護法律和實踐方面有經驗,並且需要能夠以完全獨立的方式工作。但是,對於 DPO 的過去經驗,並沒有準確的「職位描述」,也沒有一套固定的規則。可以透過多種方式任命和選擇數據保護官:他或她可以在組織內部(僅在沒有利益衝突和獨立工作能力問題的情況下為內部),甚至可以「共享」由幾個組織。

有關數據保護官的確切職責和角色,以及技能組合,請單擊下面的按鈕,你可以在其中找到比 GDPR 概述更多的資訊。該資訊圖總結了 GDPR 何時需要數據保護官。

GDPR 合規性 - 您何時需要數據保護官以及 DPO 的職責和技能是什麼
GDPR 合規性 —— 你何時需要數據保護官,以及 DPO 的職責和技能是什麼

數據主體權利和 GDPR 合規性

GDPR 繼承了其前身數據保護指令的多項數據主體權利。但是,除了擴大和收緊有關某些數據主體權利的規則之外,《通用數據保護條例》還引入了新的數據主體權利。我們在我們的網站上深入解決了其中的幾個問題。下面是一些。

很明顯,GDPR 合規意味著你已盡一切努力,使數據主體能夠行使這些數據主體權利。這還不夠。GDPR 合規性還意味著,資訊以透明和清晰的方式,正確告知數據主體這些權利。

數據主體權利:訪問權和資訊權

訪問權也是知情權、透明度以及(撤回)同意的權利。

數據主體可以詢問數據控制者,是否處理了與他們有關的個人數據,為什麼、在哪裡,以及如何處理,並獲得一份電子副本。

數據主體權利: 被遺忘或數據刪除的權利

數據主體可以要求數據控制者,刪除他們的個人數據。此外,如果明確同意傳播數據和/或第三方處理數據,則可以撤回該同意。但是,有適用的條件。

仔細研究數據擦除權或被遺忘權。數據主體有權要求在特定情況下刪除有關他或她的個人數據。

可以調用該被遺忘權的理由(並且控制者必須立即刪除數據並進行報告)是:

  • 不再需要與收集或處理個人數據的目的相關的事實,
  • 在同意被選擇作為合法處理的基礎(或在特殊類別數據的情況下為明確同意)的情況下選擇撤回同意,並附加規定除同意外沒有其他法律依據進行處理,
  • 數據主體反對按照 GDPR 第 21 條第一款的規定進行處理(反對權是另一種數據主體權利)以及該反對權的一般規則或個人數據,為直接行銷而處理的情況(包括直銷範圍內的分析),
  • 被要求刪除的個人數據,一開始就以非法方式處理,
  • 控制者有一項法律義務,需要刪除才能遵守該法律義務,
  • 如 GDPR 第 8 條第 1 款所述,個人數據涉及兒童,並已被收集,以直接向兒童提供資訊社會服務。

何時可以調用擦除權
何時可以調用擦除權

此外,如果要求刪除的個人數據,已被控制者以一種或另一種方式公開(例如,將個人數據放在網路上,其他人可以查閱),則控制者必須嘗試確保與該數據的鏈接,副本和復制也被刪除。

然而,這不是絕對的:它必須考慮到這樣做的現有技術,以及實施它的成本和控制者的努力必須是「合理的步驟,包括技術措施」。

被遺忘權或刪除權的例外情況,包括以下需要處理(按比例)的原因:

  • 行使言論和信息自由權,
  • 處理活動以履行法律義務,
  • 公共衛生範圍內的原因,
  • 為公共利益存檔的目的、科學或歷史研究的目的以及統計目的,
  • 法律主張的確立、行使或辯護。

有關 GDPR 第 17 條中刪除權或被遺忘權的全文(帶有鏈接)。

數據主體權利:數據可移植性的權利

數據可移植性的權利是 GDPR 附帶的一個新概念。簡而言之:數據主體有權在特定條件下(如前所述)接收有關他們的個人數據,但除此之外,還有權將其傳輸給另一個數據控制者;這僅在使用自動化方式完成數據處理時才會發生。

數據可移植性的權利賦予數據主體以結構化、常用和機器可讀的格式接收與他或她有關的個人數據的權利,以及將這些數據傳輸到另一個組織的權利。它是數字數據和數字時代的數據主體權利。

  • 控制者有責任使這成為可能,以便數據主體可以將其個人數據傳輸給另一個控制者。
  • 控制者也有責任毫無阻礙地做到這一點。
  • 如果技術上可行,數據主體也應該能夠直接將這些數據從控制者 A 傳輸到控制者 B。換句話說:不需要控制者乾預,但同樣只有在技術上可行的情況下。

數據可移植性的權利意味著:

  • 處理的發生是因為數據主體已經同意(因此同意被用作基礎或合法處理),或者,如果它涉及特殊類別的個人數據,數據主體已經明確同意;
  • 在數據主體為一方的情況下,為履行合同需要進行處理(合法處理的第二個基礎);
  • 處理是使用自動化手段(因此,數位和電子)完成的。

我們已經提到了其他關鍵方面,例如更高的罰款(處罰)和通過設計原則採用隱私。

GDPR 中的其他關鍵要素和/或變化

上面的列表遠非詳盡無遺。在本文的資源、資訊圖表和其他材料中,你會發現更多變化和元素。

為了能夠證明對本法規的遵守,控制者應採取內部政策並實施措施,特別是符合設計數據保護和默認數據保護 (GDPR) 的原則

其中包括:

  • 正如我們將看到的,設計隱私和默認數據保護 是對許多領域產生影響的兩個關鍵原則。例如,設計隱私在記錄管理層面發揮作用。
  • 所謂的一站式服務意味著,國際組織事實上必須與一個監管數據保護機構合作。
  • 關於特定文章的靈活性。與普遍的看法相反,國家監管機構可以在幾個領域解釋和/或詳細說明 GDPR 中的規定。在敏感數據的背景下,情況尤其如此。
  • 國際數據傳輸原則是 GDPR 的一部分。
  • 組織需要能夠證明已採取適當的技術和組織措施。ISO 27001 等認證有助於證明這一點。
  • 合法處理:如前所述,同意在 GDPR 中提出;然而,在更廣泛的合法處理範圍內,還有更多重要的因素。
  • GDPR「提倡」降低風險的具體措施,其中加密是主要措施。如前所述,將數據匿名化也是一種降低風險的方法。
  • 關於 DPIA 的新規則:在某些情況下, 數據保護影響評估是強制性的,同樣側重於「新技術」。

GDPR 合規策略和 GDPR 清單

優化、(恢復)信任、更全面的方法以及將安全和茲歌,更好地轉化為數位化轉型的推動力,這些只是智慧組織可以透過 GDPR 等框架,實現的一些好處(你將在下面找到更多資訊)。

另一方面,要符合 GDPR 標準,還需要付出艱苦的努力。如前所述,著眼於業務各個方面的策略方法是關鍵。

各種組織,通常與在 GDPR 的實際影響的,一個或多個特定領域具有主題專業知識的其他組織合作,提出了這樣的戰略方法。事實上,這也是整個 GDPR 現實的一部分。GDPR 預見了數據保護影響評估。

它們或多或少都有相同的步驟,並且是任何 GDPR 合規性清單,或數據保護和風險檢測清單的一部分。

數據隱私風險評估和解決方案框架 - 從庫存和評估到分析實施和評估 - 由 sebyde 授權的 GDPR 戰略 - 來源和禮貌介紹 GDPR 由 IRIS 專業解決方案
數據隱私風險評估和解決方案框架——從庫存和評估到分析、實施和評估——由 sebyde 授權的 GDPR 戰略 ——來源和禮貌介紹 IRIS 專業解決方案的 GDPR

GDPR 合規步驟 1:歐盟 GDPR 意識

顯然,組織需要了解 GDPR 及其影響。這是我們在本概述中所做的部分工作,如前所述,有相當多的組織缺乏意識和/或不會做好準備。

然而,在 GDPR 合規性的戰略方法中,意識也意味著其他東西:你的員工、管理層、IT 團隊、安全人員、資訊經理等,也需要了解 GDPR 在實踐中,對他們意味著什麼。這通常在研討會和培訓中完成,從有意識轉變為有意識地行動,從理解轉變為相應地採取行動。

請注意,重要的是要有負責建立這種意識的人,並且隨著新人加入公司,教育將成為一個反復出現的主題。GDPR 還預見了幾個角色。

當然,GDPR 也不應該被視為在 2018 年 5 月 25 日之前,「準備好」的一項重大努力。在 GDPR 及其他範圍內的數據保護,需要持續的努力、評估、監控和控制。此外,好像明天你不會再利用新技術來解決新問題。

最後,意識還意味著充分了解 GDPR 及其影響,否則很難看出你現在所處的位置,和你當然需要的位置之間的差距在哪裡。

GDPR 合規性第 2 步:GDPR 評估/審計:發現和差距分析

這些差距將我們帶到所有戰略方法的第二部分:有一個評估/審計階段,包括發現和差距分析。為了到達某個地方,你需要知道你今天所處的位置,這是一個普遍的給定。

為了評估你今天所處的位置——從而也看看差距——這個階段是發現和映射幾乎任何與 GDPR 範圍相關的東西。

因此,你需要從各個層面深入了解你當前的實踐,例如審計能力/方法、數據所在的位置(數據發現)、涉及哪些流程、你如何處理數據、你的隱私和安全實踐如何運作、誰負責並負責今天,什麼樣的系統,網絡和數據庫進入等式等等。

在進行風險評估時,請查看個人權利和隱私的風險。

在實踐中,評估/審計和意識,你可以想像有些重疊。看到你所做的事情可以讓你意識到你可能忽略的方面,反之亦然。

在實踐中,評估和發現階段還需要對差距進行分析。如前所述,這顯然也意味著你已經了解 GDPR 及其作為一種基準的全面影響,可指導你在考慮差距的情況下以優先方式進行評估。

審計還包括收集和分析組織中現有的所有當前文檔策略:從安全和業務連續性策略到可接受的使用和隱私策略。

一些額外的 GDPR 審計提示:

  • 審計以映射風險。建議承擔所有風險要素並從優先級的角度對其進行分類。在進行風險評估時,不要(只是)考慮您組織的風險。GDPR 希望您了解個人權利和隱私的風險。
  • 評估所有框架、組織方面、戰略和安全/數據/事件/報告管理實踐。
  • 關注人:這不僅關乎當前實踐、流程、系統和框架中的風險,還關乎個人數據保護和技能組合的組織文化。
  • 獲取文件。確保您可以訪問所有其他數據和文檔,其中包含有關您的最新安全評估和事件等的資訊。
  • 。眾所周知,書面政策與現實生活中的實踐之間往往存在天壤之別。這不可避免地意味著需要與人們討論,他們在實踐中的工作方式,而不管任何文件和政策如何。
GDPR 評估和方法框架 - 從審計準備到審計報告 - 由 iGuards 授權 - 來源和禮貌介紹 GDPR 由 Iris 專業服務
GDPR 評估和方法框架——從審計準備到審計報告——由 iGuards授權——Iris Professional Solutions的來源和禮貌介紹 GDPR 

GDPR 合規步驟 3:規劃/戰略——準備要採取的 GDPR 行動

一旦您知道差距在哪裡,就該制定真正的戰略併計劃需要做些什麼來縮小差距並採取您確定的所有其他措施。

計劃的目標是執行它,並且需要全面瞭解差距、各種涉及的領域,以及角色和責任。

由於 GDPR 涉及的領域如此之多,因此你基本上也需要以綜合和整體的方式進行規劃。在進行 GDPR 合規性練習時,計劃以及接下來以整體方式採取行動是您可以獲得的好處之一。畢竟,數位化轉型、安全、資訊管理、行銷、客戶服務等,也需要一個整體的視角才能成功。我們仍然生活在一個有許多孤島的現實中。

但是,在實踐中,你將跨多個功能和實踐領域進行規劃。這些包括:

  • 資訊管理和治理
  • 安全性(以及作為安全性的 ICT 需要在任何地方得到保障)
  • 人力資源
  • 合法的
  • 行銷、在線上展示和廣告管理(請注意,GDPR 將由新的歐盟電子隱私法規補充)。
  • 客戶服務和聯絡中心
  • 等等。

你還必須查看你的業務生態系統,其中包括第三方數據合作夥伴,。和業務流程外包 (BPO),因此也需要查看 SLA(供應商管理)。

在計劃階段(以及審計階段),你必須查看以下內容:

  • 遷移到「設計隱私」組織的實際方面。
  • 「新」資訊治理計劃。
  • 有關資訊管理、安全和隱私計劃的實施計劃。
  • 有關需要實施的訪問策略、角色管理和安全控制的計劃。
  • 計劃解決你在評估/審計階段檢測到的潛在漏洞。
  • 針對行動勞動力的政策計劃和應對影子 IT 的行動計劃。
  • 關於審計和角色和職責的計劃(例如數據保護官)。
  • 有關推出有助於提高安全性和隱私性的技術的計劃。
  • 有關資訊審計、數據保留、主數據管理(MDM)、設備管理(工人的手機……)等的計劃……
  • 在安全和技術的許多非常具體方面的非常具體的計劃:GDPR 和雲、GDPR 和物聯網,不勝枚舉。

GDPR 合規性第 4 步:採取行動:按照你的計劃行事

有一個計劃?是時候開始實踐了,將其推廣並佈署到你已確定和計劃的所有領域。

正如下面所承諾的,我們將更深入地研究兩個領域,並鏈接到其他資源,這些資源可以解決這些領域的各種影響和採取的行動。

但是,如前所述,需要以整體方式看待各種組件。如前所述,許多人將 GDPR 視為安全、隱私、資訊治理、合規等整合的加速器。這確實是一個好處。

GDPR 合規性- 第 5 步:管理/評估和改進/調整

一旦計劃推出,工作就沒有完成。事實上,如果我們忘記歐盟 GDPR 本身並查看有關安全、隱私、資訊治理等方面的綜合方法,你會注意到我們實際上正在查看一個週期。

因此,除了管理我們所做的工作,用明確的 KPI 評估我們的工作之外,總是需要改進和適應。

有幾個原因:

  • 新員工將進入組織。
  • 新技術將被部署並觸及個人數據:無論是、大數據還是物聯網,你都需要不斷發展。
  • 在不斷變化的數位生態系統,以及不斷變化的法律和地緣政治環境中,持續改進和適應是必然的。

GDPR 與企業資訊和內容管理

信息系統、數據品質監控、資訊治理流程、業務流程等需要根據設計要求的隱私以及 GDPR 的同意和控制等方面進行構思或重新設計。

治理是資訊管理和數據管理難題的眾多方面之一。合規是當今網路安全發展的主要驅動力,意味著資訊治理和資訊管理。

當然,GDPR 還有更多資訊管理方面的內容。如前所述,所有領域都在融合,事實上,對於我們在網路安全部分提到的幾個主題,我們已經在治理和資訊/數據管理方面。

從資訊管理角度看歐盟 GDPR 合規性

讓我們在這裡再次深入探討一個好處。我們仍然生活在資訊源和數據密集型流程的現實中,而從資訊管理的角度來看,集成是數位化轉型成功的關鍵。

此外,許多組織在應對非結構化數據的增加,以及如何理解這些數據方面,面臨挑戰。最後,在許多業務功能中,你需要一種方法來組合各種格式和數據源。例如,想想聯絡中心。或保險索賠流程。雖然數據湖在這方面提供了一種解決方案,但對於這些不同的情況有一些特定的方法。對於聯絡中心,有可以處理多通路通信的人工智慧平台,對於保險索賠處理,有案例管理解決方案等等。所有這些,顧名思義,整合的方法、連接資訊和通信孤島,並利用各種形式的數據,可幫助你改善客戶服務、響應時間和簡化業務。

如果你還沒有,請將 GDPR 視為朝著這些更好的綜合方向前進的一種方式。然後我們甚至還沒有談到重新審視你的保留政策的好處,或者確保你擁有使數據易於搜索的方法的好處,這不僅使你的知識工作者的生活更輕鬆,而且還不錯想知道個人是否想要訪問他的個人數據。

從資訊管理的角度來看的一些要素

  • 映射和分類數據。許多組織沒有清楚地瞭解他們處理的數據類型(個人和其他)。此外,分類不充分也使必要的政策難以實施。所有相關數據在整個組織中的位置,在合規控制和潛在問題的情況下,需要什麼才能擁有單一視圖和快速有效的方式?
  • 映射個人數據和數據流。雖然瞭解數據的位置,以及在 GDPR 的背景下個人數據的位置總體上很重要,但我們顯然希望查看各種類型的個人數據。其中一些數據更敏感。例如:很明顯,在被盜時可能會被濫用並造成重大後果的財務數據比一些用於簡單任務的基本數據更敏感。所有個人數據都是平等的,但有些人比其他人更平等,使用喬治奧威爾。最後,還要繪製處理個人數據的數據流,並記錄這些流的各個方面:什麼、為什麼、為誰(訪問!!!)和多長時間。借助 GDPR,人們可以詢問處理了哪些個人數據,在何處以及如何進行記錄非常重要。
  • 「多長時間」將我們帶到數據保留和刪除。個人數據無處不在。傳統的大挑戰圍繞著所有非結構化數據/資訊/通信組織一直在各種存儲庫中囤積。這種囤積帶來了許多不利因素,但在 GDPR 的背景下,關注保留和刪除是關鍵(記住諸如被遺忘權、可移植性和訪問權等要素)。今天積極使用哪些(個人)數據,擁有和不使用哪些數據,但可以/應該使用哪些數據來改善的業務,哪些是 ROT(冗餘、過時、瑣碎的資訊)並且可以刪除,從而進一步降低風險?

轉向整體資訊治理方法,處理碎片化數據並提高可見性。

GDPR 合規 和資訊管理技術和策略

在 GDPR 和資訊管理的解決方案層面,我們除其他外,注意到同意管理平台、記錄管理解決方案、安全解決方案和人工智慧等等。

從自動分類的角度來看,後者特別有趣,並且可以隨時瞭解個人身份資訊的位置。儘管需要修改安全策略和資訊管理策略,但它是接近 GDPR 合規性要求的最有效方法之一。

正如我們在將通用數據保護條例,作為業務戰略和資訊管理挑戰的文章中,提到的那樣,GDPR 的隱私設計意味著你實際上從「開放式除非」轉變為「封閉式除非」企業資訊管理和企業內容管理辦法。

簡單地說:不是在資訊管理級別上擁有一個安全模型(或根本沒有),原則上一切都對團隊開放,除非對特定文件夾或資源另有決定,你做相反的事情:需要關閉什麼從 GDPR 的角度來看,什麼可以開放,我們如何確保什麼是開放的,以及它的位置。

根據 GDPR 在歐盟以外傳輸個人數據的機制——由 GDPR 聯盟提供

GDPR 合規性和網路安全

這是不可避免的,但也是有益的,而且是時候了:沒有更多的藉口不提高網路安全成熟度,並超越過時的安全方法。

如前所述,在數據就是石油的時代,安全不能成為事後的想法,個人數據的價值遠遠超過石油,而數字化轉型只需要更好的安全性。

在不深入細節(目前)的情況下,這意味著:

  • 擁抱安全設計,就像 GDPR 要求設計隱私一樣。設計安全意味著安全無處不在,從產品一開始(想像有多少消費者物聯網製造商需要改變)、流程和人們的活動。
  • 擁有主動和嵌入式安全方法,包括無處不在的安全邊界現實中的所有方面(邊界並沒有消失,它無處不在),其中所有方面都很重要(邊緣、網絡、雲、IT 系統、數據儲存、數據庫,應用,你的名字)。
  • 採取全面的網絡安全方法,從意識和員工教育(邊緣行動邊界的一部分)開始,一直貫穿你的系統、流程以及靠近(個人)數據的生成和處理位置。
  • 你很可能需要重新設計您的整體網路安全基礎設施,重點關注剛剛提到的特徵,並且在 GDPR 上下文中顯然關注數據流,以及可能涉及隱私和個人數據的任何流程和風險因素(違規是非常重要的,但只是幾個維度之一)。
  • 尋求即時安全可能性,包括在設備管理、訪問(數據)、用戶活動等領域執行安全策略。GDPR 也強調個人數據的加密。
  • 無論形式和結構如何,你都需要對數據、數據流程、大數據環境(例如數據湖)所發生的情況有一個統一的視圖,並為首席(資訊)安全官、IT 經理,或所有營運中需要它的任何人提供單一可見性、工作負載和 IT 基礎架構等。
  • 進行定期測試。除了具有預測能力的主動網絡安全方法之外,主動性還意味著,定期並在可能的情況下進行持續測試。從道德駭客到滲透測試等等。在 Web 應用程序和 Web 服務級別進行滲透測試,在單個設備和整個組織上佈署漏洞掃描程序,進行漏洞管理和整合方法。
  • 查看防止身份欺詐的機制和解決方案(某些國家/地區有特定的解決方案,例如確保被盜的身份證或駕駛執照不會被濫用)。
  • 進行社會工程測試。網路釣魚仍然是獲取個人數據的重要方式。工人需要接受有關這些策略、社會工程和整體安全的培訓。還可以使用眾多網路釣魚模擬器之一,來測試員工對社會工程的敏感程度。

最後但同樣重要的是:壞事發生了,我們當然不應該忘記違規通知義務。

在實踐中,這意味著你需要設置必要的監控、審計和警報機制來執行此操作。這也是一項跨職能的任務,並且有法律解決方案來處理它。你需要事件管理流程,並清楚地了解在發生違規時誰需要做什麼以及在哪裡做。測試它們是否運行良好並不是一種奢侈。

Trustmarque 提供的 GDPR 數據保護和風險檢測清單信息圖 - 來源大圖和更多信息
Trustmarque 提供的 GDPR 數據保護和風險檢測清單資訊 

歐盟 GDPR 如何使你的組織受益:信任

除了上述提到的跨越各個國家邊界的數位經濟增長所需的框架之外,如果你正確地完成 GDPR 合規性作業,那麼通用數據保護條例,還有其他幾種方式和原因,使你的組織受益。

其中一些好處與優化機會有關,另一些與社會有關,並且在 2016 年和 2017 年初達到了沸點。我們從信任開始。

如果數據是新油,那麼信任就是新油井

我們已經到了一個歷史點,利用這些新技術的技術可能性,和創新能力即將爆發。

借助大數據、分析、雲、物聯網、認知/人工智慧、社交和行動等領域的技術,我們作為組織、政府、個人、行銷人員、製造商等可以做的事情,今天看起來已經很大了。

然而,事實是我們還沒有看到任何東西。例如,儘管受到了廣泛關注,但物聯網仍處於早期階段。我們開始稱之為大數據的海量和種類的數據,只是數據海洋中的一些小水滴,這些數據很快就會僅在科學中產生。儘管我們看到了,我們相信我們今天看到的這個宏偉的數位數據世界,它是所有提到的技術,以及我們沒有提到的許多其他技術的共同點,但我們確實還沒有看到任何東西。

今天在上述幾個領域工作的許多聰明人都知道,就行業和我們生活的許多方面的數位化轉型而言,他們知道潛力。對一些人來說,這是非常樂觀的理由,對另一些人來說,這很可怕,而對那些關心它的人來說,這兩者兼而有之。

然而,對於所有這些新石油來說,這裡正在發生一個巨大的挑戰,需要解決這個問題:信任。

不僅僅是新油井,如果它被破壞,我們在數位社會中使用這種新油(稱為數據)所做的任何事情都不會失敗。如果我們正在做的事情沒有信任和透明度,就會不可避免地出現反彈,為了繼續保持油井形象,我們可能會看到一些油田著火了。

為末日情景道歉:數位創新和數據在工作中的好處是巨大的,但我們必須牢記人們和信任,因為它很重要,因為人類的情感和能力停止進化,或迅速採用完全轉變的心態勝過所有數據、技術轉型/創新和預測,無論數據有多大。

GDPR 和信任:數位時代的信任狀態

有充分的跡象顯示,我們今天使用數據的方式遭到強烈反對,從更廣泛的角度來看,對收集和處理數據的各方,以及數位演進本身的不信任。

我們之前已經多次提到它,其中包括透過利用可信賴的內容(行銷)進行可信賴和透明的通信,來恢復信任的重要性:愛德曼 2017 信任晴雨表,它顯示所有領域的信任水平都在下降。

其他研究顯示,即使是年輕一代也越來越警惕他們數據的使用方式,而消費者正處於潛在破壞隱私狀態的邊緣。

作為一個框架,《通用數據保護條例》提供了恢復對數位經濟的信任的可能性,並且至少同樣重要的是,它使組織能夠改進其當前的數據和安全實踐,這在這些超連接時代非常重要如前所述,數據已不僅僅是一項重要的商業資產,順暢和透明的流程導致人們對信任、效率和良好商業實踐的看法。顯然,以安全性、透明度、效率和以人為本的方式改進當前的實踐和流程,也有利於組織(在數字經濟中)的底線和有效性。

更好的安全和資訊管理導致更高的數位化轉型成功概率

研究清楚地表明,在任何具有(新)技術作用的數位業務轉型專案中,從一開始就涉及安全性,會帶來更多和更快的成功。

此外,設計安全是有益的(也是必須的),安全是數位化轉型的推動者和加速器。無論你的數位化轉型處於哪個階段或轉型的各個方面(業務流程、以客戶為中心、開發新功能、開發新業務模式等),事情都必須以可靠的方式平穩運行,不僅保證業務連續性,還保護那些推動數位經濟的資產:數據和人員。

此外,想像一下更好的安全實踐,以及更好的隱私實踐,正如 GDPR 的設計所要求的那樣,將如何推動物聯網顯然具有變革潛力,並帶來切實成果的各種市場,今天主要是在工業物聯網背景。這同樣適用於其他相關的技術集,最重要的是,如何利用它們來重塑商業模式或優化現有流程、面向客戶的營運等等。

在資訊管理層面,這也是 GDPR 的關鍵,並且從數據和治理的角度(以及其他)與安全性密切相關,關於增強通用數據保護條例的各種審計、計劃和佈署,實際上包括數據發現、孤島的整合、需要查看你「擁有」哪些數據,及其所在位置、更流暢的報告和搜索可能性、改進的數據映射、保留策略等等。

不可否認的事實是,許多數位化轉型項目的主要障礙之一,圍繞著糟糕的數據和資訊管理實踐

我們已經多次報導了這一點,因此將《通用數據保護條例》視為在這裡做得更好的一種方式。

歐盟 GDPR 的整體(客戶)優化優勢

當你根據定義就如何處理個人數據,以及客戶數據的各個方面進行全面的戰略性練習時,考慮到後者的利益,被迫 1) 辨識數據(並在此過程中找到尚未利用和/或獲得更好見解的非結構化數據)和 2)重新審視處理數據的方式。

如果你認真對待此練習,並考慮到相關性、同意、隱私和提到的整體方法,那麼你幾乎不可避免地還會發現,許多優化多個面向客戶的活動的機會。也許你的聯絡中心最終會處理所有需要的數據,以更好地服務和服務客戶,也許您會提高行銷效率,因為你的員工將學會,不要將名單上的姓名和電子郵件地址視為僅此而已。

我們可以繼續一段時間。

有關 GDPR 的挑戰和問題

可能我們已經解決了足夠多的挑戰,並且在資源列表中您會發現更多。然而,也存在需要研究的挑戰、擔憂和問題。

毫不奇怪,各種行業組織經常呼籲澄清 GDPR 中有時有些模糊的術語(例如「不成比例的努力」),還要仔細研究出現的一些實際問題.

我們並不天真,很明顯,雖然《通用數據保護條例》帶來了好處,但它也帶來了大量的不確定性、實際挑戰,並且對於某些行業而言,至少可以說比其他行業更嚴重不便。

一些行業協會在向其成員和專家學習這些問題時,會考慮這些問題,並遊說靈活性或事實上的改變。

雖然我們無法涵蓋所有挑戰、問題和倡議,但最好看看這些問題,因為它們在各處都被提出來,看看它們是否也適用於你。舉例來說,我們涵蓋了 2017 年 3 月一些營銷/廣告協會提出的四個通用數據保護法規問題。有些對您的業務也有幫助。

有關歐盟 GDPR 和 GDPR 合規性的更多文章

GDPR 罰款、GDPR 員工意識、GDPR 合規性、控制者和數據主體。你迷路了嗎?然後還可以查看有關 GDPR 的以下資源。

GDPR 合規性:戰略業務和資訊管理視圖

實際上,本文結合了 GDPR 的兩個重要方面,我們之前已經簡要討論過。

端到端戰略業務資訊管理 GDPR 合規方法的 3 個階段:1) 授權你的人員和用戶的意識階段,這是任何 ECM 和安全項目中最薄弱的環節;2) 評估和方法階段,以檢測風險並製定解決方案; 3) 實施階段:推廣、監控和改進。

  • · 一方面,它著眼於《通用數據保護條例》的戰略業務方面,並提供了一種嚴肅的方法,說明如何盡可能地符合 GDPR,並優先考慮首先要做的事情和如何取得進展,這表明你盡最大努力,將個人數據風險和 GDPR 罰款降至最低。
  • · 另一方面,它著眼於 GDPR 合規性,以及主要從個人數據和資訊治理,以及資訊管理的角度採取的各種策略步驟。從通用數據保護法規意識的基本階段(和快速獲勝)到風險分析,透過設計有效實施隱私,透過保留方案和記錄管理實現擦除權,以及真正先進的 GDPR 合規性:自動分類!

GDPR 意識和 GDPR 員工意識

鑑於 GDPR 合規性確實應該從 GDPR 意識和 GDPR 員工意識開始,本文將深入探討原因和方式。

公司能否成功通過 GDPR 法規取決於他們是否願意通過設計來接受隱私。他們還必須了解,良好的安全和隱私流程除了受到監管要求的驅動外,還可以提供巨大的競爭優勢並成為贏得消費者信任的驅動力(Peter Gooch,網絡風險合夥人,德勤)

雖然 GDPR 意識是唾手可得的成果,並且是 GDPR 合規道路上的快速勝利,但它確實需要高管的參與,並明確關注人並讓所有員工參與,因為個人數據保護是整個組織的事情。不幸的是,正如文章所解釋的,最常參與 GDPR 合規的部門是 IT、安全和法律。

那麼,要建立一種透過設計支持隱私的文化和跨組織的 GDPR 意識,從而真正理解個人數據的價值,需要什麼?知道消費者確實希望得到個人數據保護(如果發生違規,對你的商業聲譽造成的後果比罰款更多)並且知道個人數據保護文化甚至必須超越組織邊界(因為你有合作夥伴、供應商等為了避免責任討論等等,誰也需要這樣做),這是一本重要的讀物。

GDPR 合規失敗始於錯誤的認知

許多組織非常有信心他們符合 GDPR。不幸的是,各個層面的脫節導致未能遵守 GDPR。

首先是對通用數據保護條例缺乏理解(一個脫節),然後是缺乏高管的支持,這也在這篇關於 GDPR 和雲的文章中發現,以及缺乏基本的數據治理策略。

不要成為許多對您的 GDPR 合規程度和你的通用數據保護條例合規性的現實存在脫節的組織之一。看看你是否確實做好了充分的準備,而不是相信對事實的看法。

GDPR 和個人數據保護:關於數據主體、個人數據、敏感數據、個人數據標識符等的一切

《通用數據保護條例》是關於保護數據主體的個人數據的。這很清楚。

然而,在實踐中,我們發現許多人不知道個人數據在 GDPR 下的含義和重要性,數據主體更加可辨識和/或使個人數據敏感數據的標識符,假名化的重要性和含義,加密,所有新的標識符,甚至數據主體在 GDPR 下的身份。

本文深入探討了所有這些術語及其作用和含義!

GDPR 罰款和處罰:指南

我們之前談到了 GDPR 罰款。GDPR 中有兩組行政罰款:一類最高可達 2000 萬歐元或全球年營業額的 4%,另一類最高為 1000 萬歐元或 2%。

對於這兩個組,附加規定是兩者中的最高者將被應用。GDPR 文本確實有關於這兩組罰款的一般規則的具體文章。它們可以在文本第 8 章第 83 條中找到。

然而,許多人發現它相當不清楚。2017 年 10 月,所謂的第 29 條工作組提出了監管機構根據《通用數據保護條例》實施罰款和處罰的指導方針。你可以在這篇關於 GDPR 罰款和處罰的文章中找到它們。此外,我們還會研究公司是否認為他們在財務上,準備好支付潛在的 GDPR 罰款,以及網路保險的價值和使用情況。當然,還有一些關於如何避免 GDPR 罰款並開始遵守 GDPR 的提醒。

如果你想知道 GDPR 文本中關於罰款和處罰的內容,那麼你可能需要查看文本中提到的第 8 章,該章全部關於 GDPR 補救措施、責任和處罰,並包含第 77 至 84 條。

GDPR 合規性和成為 GDPR 合規性:常見問題解答

我們經常收到有關歐盟 GDPR 的問題,這些問題乍一看似乎很明顯,但當然值得回答。其中許多問題涉及 GDPR 合規性、通用數據保護條例合規性的截止日期是什麼時候,以及當你未及時遵守 GDPR 時會發生什麼。

什麼是 GDPR 合規性?

GDPR 合規意味著組織遵守《通用數據保護條例》的規則,並能夠滿足其中規定的數據主體權利和組織職責。當人們談論 GDPR 合規性時,他們通常意味著個人數據洩露風險保護措施,以及所有其他要遵守的風險和規則,都得到了完美的涵蓋。

然而,在數字時代沒有完美的安全或保護,有時黑客甚至比安全公司更聰明,黑客有時是由犯罪集團組織的,甚至還有國家支持的攻擊。由於數據和技術如此重要,一些國家將技術用於網絡戰。

此外,數據永遠不可能得到 200% 的完美保護,而且還有無數其他原因導致數據洩露和不合規可能發生,而人是最薄弱的環節。即使你採取了所有可能的預防措施,您的一名工人也可能犯錯誤,例如,他的筆記本電腦被盜。

因此,組織必須能夠證明他們做了並繼續做(也在 GDPR 應用之日之後)他們可以盡可能合規的一切。這包括瞭解個人數據在組織中的位置,確保(並能夠證明)在《通用數據保護條例》中預見的法律條件下給予同意,能夠保護獲得、處理、儲存和 - 在特定情況下條件 —— 共享個人數據以防止違反、濫用和誤用,並能夠響應數據主體的請求和權利。如果這些能力中的任何一個沒有到位,罰款和處罰可能會很高。

GDPR 何時適用?GDPR 的合規期限是什麼時候?

歐盟理事會於 2016 年 4 月 8 日通過了《通用數據保護條例》,並於 2016 年 4 月 14 日通過了歐洲議會。官方文本自 2016 年 5 月 4 日起提供。由於該數據,GDPR 文本也可以在 24 個官方網站中查閱語言。

《通用數據保護條例》實際上已經生效,但自 2018 年 5 月 25 日起適用。GDPR 的合規截止日期也是 2018 年 5 月 25 日。

然而,它並沒有停止。遵守 GDPR 是一項持續的努力。此外,正如我們在實現 GDPR 合規的道路,和該領域的現實中看到的那樣,可以肯定很多公司不會遵守 GDPR。這就是為什麼從風險角度製定計劃,並以該計劃為基礎,並能夠證明存已採取(並且仍在採取)GDPR 合規步驟的重要性。但當然,如果發生個人數據洩露或控制,最好至少在 2018 年 5 月 25 日之前盡可能合規。

如果組織在歐盟 GDPR 合規期限之前不符合 GDPR 怎麼辦?

不幸的是,儘管在截止日期前兩年正式發布,但仍有大量組織遠未遵守《通用數據保護條例》。

雖然肯定會有嚴重的罰款案例來樹立榜樣,但也可以肯定,組織需要繼續 —— 在某些情況下甚至開始 —— 努力盡可能地合規,並在 2018 年 5 月 25 日之後繼續這樣做。理想情況下,這始於更廣泛計劃中的 GDPR 意識階段。由於 GDPR 的罰款和規定與數據主體角度的風險相關,並且側重於個人數據的特定類別和用途,尤其是在處理大量個人數據的行業中,因此從風險的角度出發非常重要,並有明確的行動計劃和記錄的步驟。風險分析是關鍵,戰略和員工意識也是如此。《通用數據保護條例》也從風險和數據主體的角度出發。

GDPR 意識在 GDPR 合規中的關鍵作用
GDPR 合規性始於 GDPR 意識

一些組織更願意為自己投保,但即便如此,努力實現合規性也很重要,因為你不希望成為其客戶和全世界,都知道的完全不符合 GDPR 的公司,更不用說遭受額外明確的違規行為了缺乏對個人數據保護的理解和關注,這與領導力、文化、人員、流程和尊重以及安全、資訊管理和其他實現合規的技術方式一樣重要。

是否有具體方法有助於證明 GDPR 合規性?

GDPR 條款中充滿了關於遵守法規,和證明 GDPR 合規性的義務的規則。如果你將 GDPR 最終文本的說明添加到其中,則不僅關於合規職責,而且還關於幫助組織(控制者和處理者)表明他們在證明合規性方面採取了必要步驟的各種方式。

這些證明 GDPR 合規性的方式顯然與成為 GDPR 合規性一樣重要。並不是說在 5 月 25 日所有組織都將接受 GDPR 合規性檢查。然而,當控制措施完成時,數據主體的投訴被提出,個人數據洩露事件發生,數據隱私(設計和默認)和個人數據保護原則明顯受到侵犯,證明 GDPR 合規性變得非常重要。

在每個 GDPR 合規策略中,都應考慮證明合規性的方式,並且從數據主體權利和自由方面的風險角度來看,是其中的關鍵。我們之前已經介紹了很多已知和鮮為人知的方法,來證明 GDPR 合規性。要求 DPIA 被視為證明合規性的一種方式,也可以向監管機構徵求意見,然後是遵守批准的行為準則或認證,不勝枚舉。隨著 GDPR 合規期限的臨近,我們將添加更多內容。我們已經討論了 DPIA 和其他方式,所以這裡有更多關於證明 GDPR 合規性的兩種方式的資訊:行為準則和認證。

遵守經批准的行為準則以證明 GDPR 合規性

行為守則可由監管機構和私人協會起草,這些協會代表進行類似數據處理活動或活躍於允許此類行為守則的特定行業的控制者或處理者類別。

行為準則需要獲得批准,一旦獲得批准,控制者和處理者就可以決定遵守它。如果他們這樣做,這不僅是作為證明 GDPR 合規性的一種方式而被明確考慮的因素,而且還提供了額外的好處,其中包括處理器對控制器的感知可靠性,控制器將根據其程度選擇處理器,足夠的保障措施,和 GDPR 合規性,以及跨境轉移。

請注意,遵守行為準則當然也伴隨著責任。遵守行為準則作為合規性的證明太容易了,然後就不再關心太多了。這就是為什麼還有監督機構檢查你是否遵守行為準則的原因。

證明 GDPR 合規性的認證

有關認證的通用數據保護條例規則與有關批准的行為準則的規則相對可比。但是,認證當然不等同於行為準則。兩者在 GDPR 合規範圍內的共同點是,認證也是證明 GDPR 合規性並明確承認的方式。

你可能已經或打算參加某種 GDPR 認證課程。但是請注意,認證需要滿足某些規範,行為準則也是如此,因此請注意方式和地點。

就像行為準則一樣,《通用數據保護條例》「推廣」認證不僅是證明合規性的一種方式,而且還作為任何利益相關者的象徵,顯示你的組織知道為了進行合法處理需要做什麼個人資料。

上圖:Shutterstock -版權所有 symbiot - 鬧鐘圖片:Shutterstock - 版權所有  Carlos Amarillo - Awareness 圖片:Shutterstock -版權所有:  Kunst Bilder - 所有其他圖片均為其各自提及的所有者的財產。儘管本文的內容經過徹底檢查,但我們不對潛在的錯誤負責,並建議您尋求幫助以準備符合歐盟 GDPR 的要求。