本文探讨了在智能汽车增多背景下,GDPR对全球数据安全的影响,特别是欧盟的严格监管导致的高额罚款案例。文章详细解读了GDPR的概念、具体内容、基本法律要求和十大关键合规要点,强调了数据主体的权利以及数据合规的重要性。同时,提到了国内的《数据安全法》和《个人信息保护法》及其相应处罚。
前言
随着智能汽车的增多,汽车数据安全的重要性越发凸显。
前有滴滴因违反我国《数据安全法》等相关法律法规,被处罚11.9亿美元,这一记录是目前全球范围内数据安全违规处罚金额的最高值。后有蔚来汽车数据被窃,黑客以此勒索高额赎金。
数据安全重要性不断上升,国内外立法亦不断规范和严格。国内车企接受数据安全监管检查频繁、海外GDPR罚款金额指数攀升。
2021年5月12日,国家互联网信息办公室发布《汽车数据安全管理若干规定(征求意见稿)》;6月4日,国家工业信息安全发展研究中心参与的《智能网联汽车数据安全共享参考架构》(T/TIAA 020—2021)团体标准正式发布; 9月1日,《中华人民共和国数据安全法》正式施行。
国外以欧盟为例,监管尤为严格,GDPR罚款前20如下:
图片来源:《互联网法律评论》根据GDPR执法信息制作
从上述提到的巨额罚款能够看出,全球监管机构对于数据特别是消费者数据的重视程度越来越高,罚款金额也与日俱增。
车企出海,数据合规尤为重要,一起来了解下GDPR。
GDPR概念
GDPR(General Data Protection Regulation)《通用数据保护条例》是欧盟“史上最严”的隐私法案,于2018年5月25日在欧盟全面实施。
GDPR法案适用于欧盟和欧洲经济区的数据保护和隐私保护。
GDPR的主要目标是加强个人对其个人信息的控制和权利,任何收集、传输、保留或处理涉及到欧洲经济区个人信息的机构组织均受GDPR的管辖。
GDPR条款共99条,其中除各类定义以及对欧盟各国协作要求外,对企业的合规要求共42条。
GDPR具体内容
个人数据是指与已识别或可识别自然人“数据主题”有关的任何信息。
可识别自然人是指可直接或间接识别的自然人。特别是通过提及诸如姓名、识别号、位置数据、在线标识符或特定于身体、心里、遗传、心里、经济、该自然人的文化或社会身份。
可以直接识别到个人的信息:姓名、手机号、邮箱、VIN码、家庭住址等
可以别间接识别到个人的信息:车况信息(座椅状态、驾驶信息等)、用户行为分析(埋点、OTA升级时间)、支付信息等
特殊类个人信息具有敏感性/隐私性较高的特定,如种族或民族、政治观点、宗教信仰、健康状况、生物特征等,应避免收集或处理
基本法律要求
两种角色、七个原则
角色:数据控制者、数据处理者
原则:正当合法透明、目的限制、数据最小化、准确性、存储最小化、完整性与保密性、可归责
六大合法性基础
同意、履行合同、合法利益、法律义务、重大利益、公共利益
十大关键合规要求
个人信息治理、个人信息保护政策文件、个人信息跨境、从设计入手保护隐私、数据全生命周期管理、个人信息泄露事件响应、数据主体响应、数据处理者管理及责任、信息安全、培训和意识度
重要合规环节
规划、收集、存储、传输、使用、销毁
数据主体权利介绍
重启应设置数据主体响应的入口及内部的响应流程
访问权、更正权、删除权/遗忘权、拒绝权、可携权、反对自动决策、限制处理权
GDPR措施
数据合规红线
禁止非法采集个人数据
超范围采集个人数据
滥用已采集的数据
禁止未授权的数据分享或销售
非法跨境数据传输
延误、瞒报个人数据泄露事件
忽视、瞒报客户挂安于个人数据相关诉求
处罚条例
GDPR处罚金额
最大处罚金额1000万欧元或企业全球年度收入的2%(取较大值)
最大处罚金额2000万欧元或企业全球年度收入的4%(取较大值)
个人信息保护法处罚金额
国内《个人信息保护法》第七章法律责任第六十六条,情节严重的,处五千万元以下或者上一年度营业额百分之五以下罚款
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
