skip to Main Content

中域 Brandma 针对 GDPR 的通知

2017.11.06

针对即将在 2018.05.25 正式执行的欧盟通用数据保护规定 (General Data Protection Regulations, 以下称 “GDPR” ) ,中域公司向客户以及合作伙伴发出本通知。

在域名注册相关领域,GDPR 正式执行后,主要影响 ICANN 实施 WHOIS 政策的方式。在 ICANN 上周发出的声明 (https://www.icann.org/resources/pages/contractual-compliance- statement-2017-11- 02-en)指出,域名 WHOIS 资料的收集,展示,以及 ICANN 可能产生新的合规要求 (和短期间的不要求),导致域名注册局 (Registry),注册商 (Registrar),注册人 (Registrant) 在提供 WHOIS 信息, 使用 WHOIS 信息上,有了本质性的改变。具体的影响以及其牵动的域名注册流程改变,目前正由ICANN 与社群研议中,各ICANN 签约单位也须将调整方案提交给 ICANN 合规组备案审查。原本 ICANN 针对老旧 WHOIS 结构(如.com / .net)的更新工作,也将暂停六个月;目前已有位于欧洲的 gTLD 停止提供公众 WHOIS 查询服务。

对于未来不符合 GDPR 规范的域名服务商,欧盟将对其提出高达两千万欧元或年营收 4% 的罚金制裁。

对于合规工作会产生的业务信息改变,流程改变,服务价格调整以及各项合规需求等,中域将随时发函通知客户与合作伙伴的合规法尊部门。 目前所知,可能产生的影响包括但不限于:

  • 中国企业以
    • 欧洲自然人名义注册任何 gTLD / ccTLD 域名
    • 中国公司或中国自然人注册任何欧洲 ccTLD
  • 以中国为司法管辖地,对欧洲自然人提供域名注册服务的注册局与注册商
  • 因 ICANN 实施新的合规政策,导致各 gTLD 注册局,注册商的 WHOIS 信息结构在短期间的不一致 (目前预估为 2019.5 之前) ,造成域名管理,移转,回购,监控,UDRP 业务处理方式的改变
  • 其他衍伸商业问题(如企业投资或并购时需要对域名持有人进行查核)

中域集团旗下域名注册服务商是以中国和中国香港为司法管辖地,不受欧盟法律约束,然而中域客户与合作伙伴遍布全球,诸多境内或跨境业务,仍会受到 GDPR 管制。为了更全面的维护客户利益,中域已委托欧洲 GDPR 专业顾问与合作伙伴,限期完成 GDPR 合规工作和相关营运细节的调整。于此同时,我们也会持续严格地遵守中国中央网信办与工信部对于个人信息保护的要求。

有关 GDPR 相关细节,请参照 http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf 。需要特别提醒的是,GDPR 所牵涉的范围极广,域名注册仅是其中的一小部分,中域建议客户与合作伙伴尽速熟悉 GDPR 规定,导入管理与监控机制,品牌企业更应尽早对其域名资产,做出合理调整,以免影响到欧盟的业务发展。

如对此通知有任何疑问,请联系 gdpr@brandma.co

FAQ

1. 什么是 GDPR?

GDPR,全称为 General Data Protection Regulation,是欧盟 2016 年 4 月通过的一项通用数据保护条例(或称“一般数据保护法案”),是 1995 年欧盟「EU法规95/46/c」法规(数据保护指令)的更新版本。

2. 为什么会出台 GDPR 条例?

欧盟拥有较为完善的数据保护框架,包括一系列的指令、协议、条例等,其中最重要的是 1995 年通过的数据保护指令(“ 95 指令”),为欧盟成员国立法保护个人数据设立了最低标准。但是新技术的冲击,95 指令在各成员国内的不协调性及程序的复杂化,都使得欧盟现存的法律难以应对不断出现的安全风险,所以 GDPR 应运而生。

3. GDPR 何时开始具体实施?

GDPR 将于 2018 年 5月 25 日起正式实施。GDPR 于 2016 年 4 月获得欧盟议会通过
,该条例将在两年过渡期后生效,即于 2018 年 5 月 25 日起正式实施。

4. GDPR 条例的适用主体?

GDPR 不仅适用于位于欧盟内部的组织,还适用于位于欧盟以外的组织,只要它们向欧盟数据主体提供产品或服务或监控其行为。它适用于所有处理和持有欧盟数据主体个人资料的公司,而不管公司的位置如何。具体要求如下:
(1)在欧盟成员国有法人实体的公司;
(2)在欧盟没有设立实体公司,但因为业务关系而持有欧盟居民个人资料的公司;
通俗来讲,无论您的公司总部在哪儿,只要与欧盟的人做生意,或者监视欧盟
公民的行为,亦或收集欧盟公民的数据,您就受到GDPR的管辖。

5. GDPR 的处罚规则是什么?

GDPR 不仅仅是《欧盟数据保护指南》的范围扩大版,它还是总体上更为严苛的法规,包含更严厉的违规处罚,对于违反 GDPR 的行为,处罚具体如下:
(1) 严重违规者罚金将会是上限 2000 万欧元或该企业全球年营业额的 4%(以两者较高者为准);
(2) 一般违规者罚金将会是上限 1000 万欧元或该企业全球年营业额的 2%(以两者较高者为准);
举个例子,苹果公司最近两年的年收入都超过了 2000 亿美元,如果苹果公司严重违反了 GDPR 的规定,那么罚金就有可能高达 80 亿美元。

6. 对于处罚严重程度的判断依据是什么?

  • 违规的性质、严重程度和违规的持续时间
  • 违规是故意的还是因疏忽而造成的
  • 对个人身份信息的责任心和控制程度
  • 违规是单个事件还是重复事件
  • 受到影响的个人资料的种类
  • 个人遭遇损害的程度
  • 为了减轻损害而采取的行动
  • 由违规产生的财务预期或收益

7. GDPR 推行的目的是什么?

GDPR 的目标是保护所有欧盟公民免受隐私和数据泄露的影响,借赋予欧盟公民个人信息保护的基本权利,来增加消费者对在线服务和电子商务的信心。企业也可通过给消费者一种自身数据被合理存储和保护的安全感,来赢得消费者的信任。

8. 与 1995 年的数据保护指令相比,此次 GDPR 的特点有那些?

  • 扩大管辖的地域范围:不仅包括欧盟内的组织,也包括欧盟外的组织;
  • 处罚更加严厉:最高达 2000 万欧元或该企业全球年营业额的 4%;
  • 引入强制数据泄露通告:遭受安全事件并导致个人身份信息泄露的公司,需要在事件发现后 72 小时内,将事件报告给他们指定的数据保护机构;
  • 引入具备数据保护法令专业知识的指定数据保护官员 (Data Protection Officer,DPO) :该角色必须是独立的、自治的,并直接向高层管理汇报。

9. GDPR 所规定的个人数据信息包括哪些?

与自然人或 “数据主体” 有关的任何信息,可用于直接或间接识别此人。它可以是任何名称,照片,电子邮件地址,银行信息,社交网站上的帖子,医疗信息或计算机 IP 地址。

10. 面对 GDRP,中国企业将面临怎样的出路选择?

  • 停止向欧盟居民提供互联网服务 (包括免费的服务);
  • 接到罚单后再去面对;
  • 主动完成欧盟 GDPR 的合规性要求。

11. 企业或组织应该增加哪些技术措施来满足 GDPR 的规定?

确保其处理系统和所掌握信息的机密性和完整性,应包括以下措施:

  • 应用关键安全控制来恰当地检测、管理和缓解数据处理环境中的任何漏洞;
  • 根据企业策略配置系统,并维护该配置;
  • 主动识别偏离该策略的系统;
  • 持续监视日志文件,警惕任何潜在数据泄露或漏洞;
  • 维持有效检测、响应和缓解任何安全事件的能力;
  • 以安全的方式使用云服务。

12. 在GDPR条例下欧盟公民有哪些个人数据的控制权利?

  • 用通俗语言阐明如何访问现有信息、以及将个人信息用于何处;
  • 访问个人数据;
  • 删除或更正错误的数据;
  • 可在某些情况下调整和擦除个人数据;(简称“被遗忘权”)
  • 限制或反对处理个人数据;
  • 索取一份个人数据的副本;
  • 反对将数据用于某些特定的用途,比如营销和分析。

13. GDPR对于数据保护有哪些主要规定?

  • 公司必须设立一个数据保护官 (Data Protection Officer,DPO)。数据保护官必须直接汇报给最高管理层,其职责是监管和规范数据负责人和数据处理者的数据活动;
  • 公司需要保留用户数据监管信息,并定期删除无关数据;
  • 公司必须部署合适的工具用以保护数据,以防数据丢失、损坏或泄露。当发生任何数据泄露相关事件,数据管控者与数据处理者需要在 72 小时内进行报告;
  • 公司处理个人数据必须要有合法理由,包括数据主体的同意、为了签订或履行合同需要、遵守法定义务的需要、为公共利益或行事政府授权以及为追求数据控制者的合法利益等;
  • 当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据,用户有权要求删除数据;
  • 用户有权并可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者处;
  • 公司禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、工会组织成员的数据、个人基因识别数据、生物数据、涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要在法律允许的范围内已采取了适当的保护手段等;
  • 公司处理 16 岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可对上述年龄进行调整,但是不得低于 13 岁;
  • 公司需要实现数据的“缺省保护隐私”,即这种数据保护的隐私设计需要有默认的两个原则,一是数据采集与数据使用目的的一一对应原则;二是数据采集的最小化原则。

14. 官方的GDPR信息在哪里查看?

“ 2017 欧洲数据保护年会”布鲁塞尔成功召开

“ 2017 欧洲数据保护年会”布鲁塞尔成功召开

2017 年 11 月 8 日至 9 日由国际隐私专业协会(IAPP)组织主办的 “ 2017 欧洲数据保护年会”在布鲁塞尔顺利召开。IAPP 目前是世界上最大和最全面的全球信息隐私社区,致力于帮助其会员机构成功管理风险,保护其隐私数据。此次年会的一项重要议题 GDPR,欧盟的通用数据保护条例;此项条例将于 2018 年 5 月 25 日正式实施, 违反该条例的罚金可以高达 2000 万欧元...

We have a brand expert ready to help now

Back To Top
Search