2016年4月27日,欧洲议会通过了《一般数据保护条例》(简称“GDPR”)法律条例并将在2018年5月25日生效。 非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。
该公司就受到GDPR的管辖。这个条例将对中国企业的移动应用安全,以及数据收集、处理和交易产生重大影响。
第25条介绍了软件(包括移动应用)开发设计中对数据保护的原则性要求。它强制要求软件在整个开发阶段和运行数据处理阶段能够保护个人数据隐私。
第32条规定了数据控制(含移动应用)和处理需要有足够的技术和措施来确保其数据和移动应用的完整性。这些安全措施必须能够应对数据处理面临的风险,例如所传输或存储的个人数据被篡改、丢失、未经授权披露或被恶意攻击。
以上2条法规是对中国企业移动应用安全合规性的最大挑战。如果没有通过,企业面临的罚款标准是,“一般违规行政罚款的上限是1000万欧元或该企业上一财年全球年度营业总额的2%(以较高者为准)”;“严重违规行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%(以较高者为准)”。
GDPR规定了欧盟每一个成员国都必须成立关于GDPR的监管机构(“Supervisory Authority”),负责GDPR在每一个国家的执行。监管机构接受该国关于违法的投诉,有权调查可能的违法情形,并进行相应的处罚。而这一监管机构也有义务和欧盟其他成员国的监管机构沟通,确保在同一件事情上执法尺度尽可能统一。同时,欧盟将设立“一站式”投诉服务,以便于消费者在欧盟内跨境投诉。
对于在欧盟境内有分支机构的中国公司,分支机构将被作为责任主体来强制执行法律要求。 如果没有在欧盟境内设有机构,欧盟将缺席判决,一旦境外公司高管进入欧盟境内,将直接强制执行。中国企业首当其冲的是银行、电子商务、互联网、IT企业和软硬件生产商。
中国企业面临三个选择:
(1)停止向欧盟居民提供互联网服务(包括免费的服务);
(2)接到罚单后再去面对;
(3)主动完成欧盟GDPR的合规性要求。
通过第三方专业安全机构来解决是最高效和最有保障的方法。梆梆安全可以首先提供针对移动应用安全的GDPR合规性评估,然后提供相应的解决方案,来帮助中国企业解决这个迫在眉睫的欧盟合规性要求。
留给中国企业的时间真不多了!
(新闻稿 2017-01-18)