2016年4月27日,歐洲議會通過了《一般數據保護條例》(簡稱“GDPR”)法律條例并將在2018年5月25日生效。 非歐盟成員國的公司(包括免費服務)只要滿足下列兩個條件之一:
(1)為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息。
(2)為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息。
該公司就受到GDPR的管轄。這個條例將對中國企業的移動應用安全,以及數據收集、處理和交易產生重大影響。
第25條介紹了軟件(包括移動應用)開發設計中對數據保護的原則性要求。它強制要求軟件在整個開發階段和運行數據處理階段能夠保護個人數據隱私。
第32條規定了數據控制(含移動應用)和處理需要有足夠的技術和措施來確保其數據和移動應用的完整性。這些安全措施必須能夠應對數據處理面臨的風險,例如所傳輸或存儲的個人數據被篡改、丟失、未經授權披露或被惡意攻擊。
以上2條法規是對中國企業移動應用安全合規性的最大挑戰。如果沒有通過,企業面臨的罰款標準是,“一般違規行政罰款的上限是1000萬歐元或該企業上一財年全球年度營業總額的2%(以較高者為準)”;“嚴重違規行政罰款的上限是2000萬歐元或該企業上一財年全球年度營業總額的4%(以較高者為準)”。
GDPR規定了歐盟每一個成員國都必須成立關于GDPR的監管機構(“Supervisory Authority”),負責GDPR在每一個國家的執行。監管機構接受該國關于違法的投訴,有權調查可能的違法情形,并進行相應的處罰。而這一監管機構也有義務和歐盟其他成員國的監管機構溝通,確保在同一件事情上執法尺度盡可能統一。同時,歐盟將設立“一站式”投訴服務,以便于消費者在歐盟內跨境投訴。
對于在歐盟境內有分支機構的中國公司,分支機構將被作為責任主體來強制執行法律要求。 如果沒有在歐盟境內設有機構,歐盟將缺席判決,一旦境外公司高管進入歐盟境內,將直接強制執行。中國企業首當其沖的是銀行、電子商務、互聯網、IT企業和軟硬件生產商。
中國企業面臨三個選擇:
(1)停止向歐盟居民提供互聯網服務(包括免費的服務);
(2)接到罰單后再去面對;
(3)主動完成歐盟GDPR的合規性要求。
通過第三方專業安全機構來解決是最高效和最有保障的方法。梆梆安全可以首先提供針對移動應用安全的GDPR合規性評估,然后提供相應的解決方案,來幫助中國企業解決這個迫在眉睫的歐盟合規性要求。
留給中國企業的時間真不多了!
(新聞稿 2017-01-18)