本書是國際信息科學(xué)考試學(xué)會(EXIN)數(shù)據(jù)保護(hù)官(DPO)認(rèn)證之隱私和數(shù)據(jù)保護(hù)基礎(chǔ)(PDPF)認(rèn)證指定教材,以中英文對照形式梳理PDPF認(rèn)證考試重點(diǎn)。此外,本書以考點(diǎn)為脈絡(luò),對歐盟發(fā)布的《通用數(shù)據(jù)保護(hù)條例»(GDPR)進(jìn)行解讀,不僅可以幫助考生詳細(xì)了解GDPR,更可以為數(shù)據(jù)管理人員在實(shí)際工作中提供參考。
適讀人群 :金融、供應(yīng)鏈業(yè)務(wù)從業(yè)者、監(jiān)管部門、企業(yè)財務(wù)管理人員 本書為國際信息考試科學(xué)考試學(xué)會(EXIN)指定教材,第一部分EXIN隱私與數(shù)據(jù)保護(hù)白皮書(中、英文)為本書主體,該部分內(nèi)容主要涵蓋針對《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)核心概念與規(guī)范的解讀,以及對該法規(guī)下有關(guān)合規(guī)實(shí)踐的指引。第二部分為針對EXIN隱私與數(shù)據(jù)保護(hù)基礎(chǔ)認(rèn)證考試的有關(guān)說明及備考指南,第三部分為針對該認(rèn)證的樣例試題。
包含PDPF考試所需基本知識及材料,是DPO-PDPF考試必備教材。
寫在前面
歐洲聯(lián)盟(簡稱“歐盟”)《通用數(shù)據(jù)保護(hù)條例》(GeneralDataProtec-tionRegulation,GDPR)于2018年5月25日生效,對企業(yè)收集、控制和處理個人數(shù)據(jù)的方式產(chǎn)生了深遠(yuǎn)影響。而且,并非位于歐盟的企業(yè)才會受到影響,事實(shí)上,任何與歐盟監(jiān)管下的客戶進(jìn)行的業(yè)務(wù),都需要遵守GDPR。如果違反GDPR企業(yè)將面臨可高達(dá)2千萬歐元或全球年營業(yè)額的4%的巨額罰款。
伴隨著GDPR的實(shí)施,組織內(nèi)應(yīng)該根據(jù)具體職能配備相應(yīng)的角色,包括數(shù)據(jù)控制者(DataController)、數(shù)據(jù)處理者(DataProcessor)以及數(shù)據(jù)保護(hù)官(DataProtectionOfficer,DPO)。
其中數(shù)據(jù)控制者定義了個人數(shù)據(jù)的處理方式和目的,此外,控制者還負(fù)責(zé)確保外部承包商能夠遵守相關(guān)規(guī)定。數(shù)據(jù)處理者(DataProcessor)可以是維護(hù)和處理個人數(shù)據(jù)記錄的內(nèi)部團(tuán)體(如業(yè)務(wù)分析師或開發(fā)商的直接雇員),也可以是執(zhí)行全部或部分這些活動的任何外部服務(wù)提供商(如信用評級機(jī)構(gòu)等)。
此外,最重要的是GDPR還要求指定1名數(shù)據(jù)保護(hù)官(DPO)來監(jiān)管數(shù)據(jù)安全策略和GDPR合規(guī)性。核心活動涉及處理或存儲大量的歐盟公民數(shù)據(jù)、處理或存儲特殊類別的個人數(shù)據(jù)(健康記錄、犯罪記錄)的組織必須指定1名DPO。DPO主要負(fù)責(zé)就GDPR規(guī)定提供咨詢意見,向最高管理
層報告。
中國企業(yè)需要設(shè)置DPO嗎?
2018年5月25日正式實(shí)施的歐盟GDPR法案,提出了設(shè)置DPO的要求。
我們不要認(rèn)為歐盟GDPR和中國企業(yè)沒有什么關(guān)系,即使企業(yè)不在歐盟內(nèi),但如果在向歐盟內(nèi)的個人提供商品和服務(wù)的過程中處理了歐盟居民的個人數(shù)據(jù),或監(jiān)測了在歐盟實(shí)施的個人行為,企業(yè)就會受GDPR約束。盡管中國有關(guān)個人信息保護(hù)方面的專門立法暫未生效,但已經(jīng)公布實(shí)施的《網(wǎng)絡(luò)安全法》和2018年5月1日正式實(shí)施的國家標(biāo)準(zhǔn)GB/T35273—2017«信息安全技術(shù)個人信息安全規(guī)范»(簡稱«個人信息安全規(guī)范»),分別提出了設(shè)置“網(wǎng)絡(luò)安全負(fù)責(zé)人”“個人信息保護(hù)負(fù)責(zé)人”的要求。
DPO的職責(zé)
根據(jù)歐盟GDPR數(shù)據(jù)保護(hù)工作組2016年12月發(fā)布的《數(shù)據(jù)保護(hù)官指弓I》(簡稱《指引》),DPO的任務(wù)和職責(zé)包括:向數(shù)據(jù)控制者、處理者及負(fù)責(zé)數(shù)據(jù)處理的員工做出有關(guān)通知和建議;確保、監(jiān)控企業(yè)活動的合規(guī)性;提出建議并監(jiān)控數(shù)據(jù)保護(hù)影響評估;協(xié)助監(jiān)管機(jī)構(gòu)的工作,并擔(dān)任指定聯(lián)絡(luò)人;負(fù)責(zé)風(fēng)險管控工作等。DPO需要具備專業(yè)知識和技能。DPO必須有理解數(shù)據(jù)保護(hù)和信息安全方面的法律知識,且有能力指導(dǎo)企業(yè)在整個信息生命周期處理包括收集、使用、存儲、清理等方面的具體問題。GD¬PR第37條明確要求DPO需要“有數(shù)據(jù)保護(hù)法律與實(shí)踐的專業(yè)知識,且有能力完成第39條項下的職責(zé)”。
國際信息科學(xué)考試學(xué)會(EXIN)
Exam Institute for Information Science
1984年,荷蘭經(jīng)濟(jì)事務(wù)部創(chuàng)辦EXN。作為信息技術(shù)架構(gòu)庫(ITIL)全球認(rèn)證體系的創(chuàng)始認(rèn)證機(jī)構(gòu),EXN在全球范圍內(nèi)推廣數(shù)字化服務(wù)管理、信息安全和數(shù)據(jù)隱私保護(hù)的行業(yè)實(shí)踐和標(biāo)準(zhǔn)。包括:數(shù)字化轉(zhuǎn)型與創(chuàng)新管理(Ver-iSM)、服務(wù)集成管理(SIAM)、開發(fā)運(yùn)維一體化(DevOps)、精益IT(Lean IT)和敏捷轉(zhuǎn)型(Agile Scrum)、區(qū)塊鏈、人工智能和云計算等。
2016年,EXIN在全球率先發(fā)布數(shù)據(jù)保護(hù)和隱私基礎(chǔ)認(rèn)證(PDPF),2017年,發(fā)布隱私和數(shù)據(jù)保護(hù)基礎(chǔ)(PDPP)。伴隨2018年5月歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效,EXIN在首發(fā)基于GDPR的數(shù)據(jù)保護(hù)官(DPO)職業(yè)資格認(rèn)證。
目前,持有EXIN認(rèn)證的數(shù)字化管理和數(shù)據(jù)隱私保護(hù)人才遍布世界500強(qiáng)企業(yè)。來自全球165多個國家和地區(qū),累計近300萬的信息與通信技術(shù)職業(yè)人士已經(jīng)獲得了EXIN頒發(fā)的資格證書。
作者:【荷】里奧??比斯摩爾( Leo Besemer)曾在EXIN和ECDL任職,并擔(dān)任荷蘭區(qū)副總裁。在項目管理、質(zhì)量保障、安全管理和隱私認(rèn)證考試開發(fā)與設(shè)計方面具備豐富經(jīng)驗。在CT管理領(lǐng)域具有30年以上的跨國項目經(jīng)驗。對《通用數(shù)據(jù)保護(hù)條例》具有深入研究。
譯者:劉合翔:就職于杭州電子科技大學(xué),北達(dá)軟數(shù)據(jù)治理專家、EXIN隱私與數(shù)據(jù)保護(hù)系列認(rèn)證授權(quán)講師。
王彥博:現(xiàn)任職于龍盈智達(dá)(北京)科技有限公司,擔(dān)任首席數(shù)據(jù)科學(xué)家(副總裁級)。同時擔(dān)任《銀行家》期刊金融科技欄目主持人、中關(guān)村大數(shù)據(jù)產(chǎn)業(yè)聯(lián)盟專家、對外經(jīng)濟(jì)貿(mào)易大學(xué)統(tǒng)計學(xué)院碩士研究生導(dǎo)師。曾任曼徹斯特大學(xué)計算機(jī)科學(xué)院博士后副研究員。
寫在前面
譯者序一
譯者序二
第一部分
白皮書:EXIN隱私和數(shù)據(jù)保護(hù)基礎(chǔ)與要點(diǎn)/1
引言/3
第一篇隱私基礎(chǔ)/4
1.定義與歷史背景/4
1.1數(shù)據(jù)保護(hù)條例的發(fā)展史/4
1.2GDPR的適用范圍與適用區(qū)域/7
1.3定義/9
1.4角色、責(zé)任、利益相關(guān)者/13
2.處理個人數(shù)據(jù)/17
3.合法依據(jù)與目的限制/19
3.1合法依據(jù)/19
3.2目的限制和用途說明/20
3.3輔助性和相稱性/22
4.數(shù)據(jù)主體的權(quán)利/24
4.1信息透明及溝通/24
4.2有關(guān)個人數(shù)據(jù)的信息及個人數(shù)據(jù)查閱/26
4.3數(shù)據(jù)主體的查閱(檢查)權(quán)/28
4.4糾正與刪除/28
4.5反對權(quán)和自動化的個體決策/31
4.6向監(jiān)管機(jī)構(gòu)提出申訴的權(quán)利/32
5.個人數(shù)據(jù)泄漏及相關(guān)程序/32
5.1個人數(shù)據(jù)泄漏的概念/32
5.2個人數(shù)據(jù)泄漏發(fā)生時的處置程序/34
5.3個人數(shù)據(jù)泄漏的類別/36
第2篇 數(shù)據(jù)保護(hù)的組織化/37
6.數(shù)據(jù)保護(hù)對組織的重要性/37
6.1GDPR的合規(guī)要求/37
6.2所需的管理活動/39
7.監(jiān)管機(jī)構(gòu)/42
7.1監(jiān)管機(jī)構(gòu)的一般責(zé)任/43
7.2與數(shù)據(jù)泄露有關(guān)的角色和責(zé)任/46
7.3監(jiān)管機(jī)構(gòu)在執(zhí)行GDPR方面的權(quán)力/47
7.4跨境數(shù)據(jù)傳輸/50
7.5適用于EEA之內(nèi)數(shù)據(jù)傳輸?shù)臈l例/52
7.6適用于EEA之外數(shù)據(jù)傳輸?shù)臈l例/53
......