酷应用

GDPR高压下业务合规指南已出炉，接下来从跨境电商开始聊To C应用怎么出海？

百家作者：微软科技 2019-04-17 01:53:47

致即将出航的各位舵手：

《企业出海必看11课》已陆续起航，阅读今日份的“GDPR合规出海”干货前，扫描二维码报名将于本周五直播的：《企业出海必看11课（四）| 以跨境电商为例，聊透To C应用出海有多大空间？》

占好坐了？接下里就来回顾上周五直播的《企业出海必看11课（三）| GDPR天价罚单高压下，企业如何合规出海？》提纯后干货！读前划重点：

什么是 GDPR 及 GDPR 的覆盖范围
GDPR 生效未满一年，欧盟已经开出罚单
微软云对你的业务数据有哪些保障？
规避 GDPR 风险四步法

内容来源：微软全渠道事业部资深云解决方案架构师赵俊伟

配图来源：讲师直播PPT

*经「微软商业视角」整理编辑后推送

- 领航员介绍 -

2018年5月25日，一部新的欧洲隐私保护法正式宣告生效，为全球的隐私权、安全性和合规性树立了新标杆。

欧盟《一般数据保护条例》（GDPR）的根本宗旨是保护和实现个人的隐私权。GDPR 在尊重个人选择的同时，就如何管理和保护个人数据（不论数据的发送、处理或存储地点），设定了严格的全球性隐私保护要求。

这将意味着：企业不仅仅需要保证用户隐私信息的透明度，还必须采取必要操作保护数据，一旦发生信息泄露，可以强制企业提供对应的泄露报告，如果企业没有按照上述做法执行，违反了该规定，将有可能承担巨额违规罚金。

一、适用的地区范围：GDPR 不止针对欧盟境内的企业，它适用于所有为欧盟境内居民提供商品和服务、或收集和分析与欧盟居民有关数据的公司、政府机构、非营利组织及其他组织机构。就是说就算你的公司在中国，就算公司的所有员工都在国内，但是你的服务范围内有欧盟居民，也属于 GDPR 的管辖范围！

二、哪些个人信息和数据属于隐私数据？根据 GDPR 的标准：“个人数据”的定义非常广泛，指与已识别或者可识别的自然人有关的任何资料。

#举个例子#个人数据无处不在：包含客户信息的数据库、客户反馈的问卷、邮件正文或者附件的文档，照片、摄像头监控的存储设备、会员系统奖励记录、HR 的统计资料......所以不仅仅在企业的业务系统里面会有个人隐私数据，员工的 PC、外置的存储设备等等，都有可能存有这类数据。

GDPR 的具体要求可以总结为4个部分（快背！要罚考的）：

· 根据 GDPR 规定，个人有权知道某一组织是否正在处理其个人数据，并了解其处理目的。个人有权要求删除或更正其数据，要求不再处理其数据，反对将其数据用于直接营销，并且有权撤销对其数据的某些使用的同意。数据可携权赋予了个人将其数据迁移至其他地点，并就此获得协助的权利。

· GDPR 要求组织机构根据数据的敏感度确保个人数据的安全。发生数据泄露事件时，数据控制者通常须在72小时内通知相关主管部门。此外，如果泄露事件可能给个人权利和自由造成高风险，组织机构还需要立即通知受影响的个人。

· 处理个人数据必须有合法依据。对于处理个人资料的任何同意必须“自由给予、具体、知情且明确”。为保护儿童，GDPR 规定了特殊的同意要求。

· 组织机构必须进行数据保护影响评估，以预测项目的隐私影响，并根据需要采取风险消减措施。必须就处理活动、处理数据的同意以及 GDPR 合规情况保存相关记录。

· GDPR 合规不是一次性活动，它是一个持续的过程。不遵守 GDPR 可能招致重大罚款。为确保 GDPR 的合规，我们鼓励组织机构建立隐私文化，保护个人对其个人数据享有的权益。

可以看到， GDPR 是一个非常全面，要求非常严格的法规。要符合 GDPR，企业不仅仅需要对内部的信息系统去做完善，对于自身管理和业务流程也需要做对应的调整。

微软在遵守复杂法规方面拥有丰富的经验，并乐于与客户分享这些经验，帮你的组织机构制定最佳路径，以符合 GDPR 的隐私要求。

凭借着云服务提供商中最为全面的合规和安全产品，以及广泛的合作伙伴生态系统，微软已做好随时为你的隐私和安全举措提供支持的充分准备：

在开展 GDPR 合规准备工作时，微软可以提供：

·满足你需求的技术。你可以充分利用我们广泛的企业云服务组合，以履行你根据 GDPR 承担的各方面义务，包括删除、更正、转移、访问个人数据和处理数据主体提出的反对处理其个人数据的请求。此外，你在使用微软技术时，还可以通过我们广泛的全球合作伙伴生态系统获得专家支持。

·契约式承诺。我们通过对云服务的契约式承诺为你提供支持，包括根据新的 GDPR 要求及时提供安全支持和通知。早在2017年3月，我们的微软全球云服务客户许可协议承诺在 GDPR 开始施行之前实现对该条例的合规。

·分享我们的经验。我们将分享我们的 GDPR 合规历程，以便你借鉴我们的经验，帮助贵组织机构制定最佳合规路径。

在开展 GDPR 合规工作前，首先要全面考察相关要求以及所有监管和法律隐私义务。例如，GDPR 所要求的用于防止、检测和响应漏洞和数据泄露的安全控制措施，与其他数据保护标准（例如 ISO 27018云隐私标准）要求的控制措施类似。

上图即为规避GDPR合规性风险四步法：

· 发现——识别持有的个人数据并确认其存储位置

· 管理——对个人数据的使用和访问进行管理

· 保护——设立安全控制措施，防范、监测并响应漏洞和数据泄露

· 报告——执行数据请求，提供数据泄露通知，并保留所需的文档记录

Microsoft Azure（微软公有云平台）提供的一项完全托管的云服务——“数据目录”，即可以帮你轻松地发现和识别数据源，可以将其作为数据源的注册系统和发现系统。数据源在 Microsoft Azure 数据目录完成注册后，其元数据将由服务编入索引，你便可以借此进行搜索，发现所需的数据。

· 身份和访问管理：微软云的 *Azure Active Directory 负责云中的身份和访问管理。该解决方案管理身份并控制对 Microsoft Azure、本地及其他云资源、数据和应用程序的访问。借助 Azure Active Directory Privileged Identity Management，你可以为符合条件的用户分配临时的实时（JIT）管理权限，以管理 Azure 资源。

扫描二维码了解

*Azure Active Directory

· 访问权限管理：*Azure基于角色的访问控制（RBAC）可帮你管理对Azure资源的访问。这使你可以根据向用户分配的角色，向其授予相应的访问权限，因此可以轻松地将授予用户的权限限制在执行作业所需的范围内。还可以根据你组织机构的业务模式和风险承受度对 RBAC 进行个性化定义。

扫描二维码了解

*Azure基于角色的访问控制（RBAC）

＞阅读更多：*《数据分类》白皮书为 Azure 的数据分类提供了具体指导，并介绍了数据分类技术、流程、术语和实施的基本原理。该文档同时提供了大量其他信息和链接。

扫描二维码观看白皮书

*《数据分类》

· · ·

篇幅有限，更多关于第三步“数据保护”和第四步“报告”的实用工具与方法，扫描二维码观看课程录播或下载本课 PPT！

（*认真观看回放，触发隐藏《企业出海白皮书》）

02.

你的企业或已经出海，或即将出海，或还在观望机会......

如希望在业务合规或高效出海领域与微软合作，识别二维码完善合作意向表单即可。

03.

再次提醒——本周五15:00即将上线《企业出海必看11课（四）》以跨境电商为例，聊透To C应用出海有多大空间？》

抓紧最后报名机会（↓），触发报名福利：1）直播前自动收取直播间链接；2）直播后可下载讲师 PPT 及免费《企业出海白皮书》3）And...?

- 领航员介绍 -

出海第四课

企业出海必看11课：以跨境电商为例，聊透To C应用出海有多大空间？

直播时间

2019.04.19 15:00-16:00

重点剧透

• 跨境电商的行业发展情况及机会分析

• 跨境电商系统整体的架构及其面临的挑战

• 跨境电商系统关键系统的架构建议和最佳实践

• 跨境电商案例分析

扫码报名《企业出海必看11课（四） | 以跨境电商为例，聊透To C应用出海有多大空间？》

加群方式	＞加群收益：与群内专家讲师近距离、随时与企业出海同路者交流经验、获取学习资料、及时获取课程提醒＞长按识别以下二维码：加小助手“微爷”微信＞截图告诉小助手你已报名《企业出海必看11课》＞微爷审核后，帮你加入企业出海学习交流群

黑色小圆动图分割线

GDPR高压下业务合规指南已出炉，接下来从跨境电商开始聊To C应用怎么出海？

保护濒危河狸，还有机会把数千元豪礼抱回家？