歡迎光臨
每天分享高質量文章

GDPR 將如何影響開源社群? | Linux 中國

許多組織正在爭先恐後地瞭解隱私法的變化如何影響他們的工作。
— Robin Muilwijk


致謝
編譯自 | https://opensource.com/article/18/4/gdpr-impact 
 作者 | Robin Muilwijk
 譯者 | Andy Song (pinewall) ? ? ? 共計翻譯:20 篇 貢獻時間:73 天

許多組織正在爭先恐後地瞭解隱私法的變化如何影響他們的工作。

2018 年 5 月 25 日,通用資料保護條例General Data Protection Regulation, GDPR[1] 開始生效。歐盟出臺的該條例將在全球範圍內對企業如何保護個人資料產生重大影響。影響也會波及到開源專案以及開源社群。

GDPR 概述

GDPR 於 2016 年 4 月 14 日在歐盟議會透過,從 2018 年 5 月 25 日起開始生效。GDPR 用於替代 95/46/EC 號資料保護指令Data Protection Directive,該指令被設計用於“協調歐洲各國資料隱私法,保護和授權全體歐盟公民的資料隱私,改變歐洲範圍內企業處理資料隱私的方式”。

GDPR 標的是在當前日益資料驅動的世界中保護歐盟公民的個人資料。

它對誰生效

GDPR 帶來的最大改變之一是影響範圍的擴大。不管企業本身是否位於歐盟,只要涉及歐盟公民個人資料的處理,GDPR 就會對其生效。

大部分提及 GDPR 的網上文章關登出售商品或服務的公司,但關註影響範圍時,我們也不要忘記開源專案。有幾種不同的型別,包括運營開源社群的(營利性)軟體公司和非營利性組織(例如,開源軟體專案及其社群)。對於面向全球的社群,幾乎總是會有歐盟居民加入其中。

如果一個面向全球的社群有對應的線上平臺,包括網站、論壇和問題跟蹤系統等,那麼很可能會涉及歐盟居民的個人資料處理,包括姓名、郵箱地址甚至更多。這些處理行為都需要遵循 GDPR。

GDPR 帶來的改變及其影響

相比被替代的指令,GDPR 帶來了很多改變[2],強化了對歐盟居民資料和隱私的保護。正如前文所說,一些改變給社群帶來了直接的影響。我們來看看若干改變。

授權

我們假設社群為成員提供論壇,網站中包含若干個用於註冊的表單。要遵循 GDPR,你不能再使用冗長、無法辨識的隱私策略和條件條款。無論是每種特殊用途,在論壇註冊或使用網站表單註冊,你都需要獲取明確的授權。授權必須是無條件的、具體的、通知性的以及無歧義的。

以表單為例,你需要提供一個核取方塊,處於未選中狀態並給出個人資料用途的明確說明,一般是當前使用的隱私策略和條件條款附錄的超連結。

訪問權

GDPR 賦予歐盟公民更多的權利。其中一項權利是向企業查詢個人資料包括哪些,儲存在哪裡;如果資料相關人data subject(例如歐盟公民)提出獲取相應資料副本的需求,企業還應免費提供數字形式的資料。

遺忘權

歐盟居民還從 GDPR 獲得了“遺忘權”,即資料擦除。該權利是指,在一定限制條件下,企業必須刪除個人資料,甚至可能停止其自身或第三方機構後續處理申請人的資料。

上述三種改變要求你的平臺軟體也要遵循 GDPR 的某些方面。需要提供特定的功能,例如獲取並儲存授權,提取資料並向資料相關人提供數字形式的副本,以及刪除資料相關人對應的資料等。

洩露通知

在 GDPR 看來,不經資料相關人授權情況下使用或偷取個人資料都被視為資料洩露data breach。一旦發現,你應該在 72 小時內通知社群成員,除非這些個人資料不太可能給自然人natural persons的權利與自由帶來風險。GDPR 強制要求執行洩露通知。

披露記錄

企業負責提供一份記錄,用於詳細披露個人資料處理的過程和目的等。該記錄用於證明企業遵從 GDPR 要求,維護了一份個人資料處理行為的記錄;同時該記錄也用於審計。

罰款

不遵循 GDPR 的企業最高可面臨全球年收入總額 4% 或 2000 萬歐元 (取兩者較大值)的罰款。根據 GDPR,“最高處罰針對嚴重的侵權行為,包括未經使用者充分授權的情況下處理資料,以及違反設計理念中核心隱私部分”。

補充說明

本文不應用於法律建議或 GDPR 合規的指導書。我提到了可能對開源社群有影響的條約部分,希望引起大家對 GDPR 及其影響的關註。當然,條約包含了更多你需要瞭解和可能需要遵循的條款。

你自己也可能認識到,當運營一個面向全球的社群時,需要行動起來使其遵循 GDPR。如果在社群中,你已經遵循包括 ISO 27001,NIST 和 PCI DSS 在內的健壯安全標準,你已經先人一步。

可以從如下網站/資源中獲取更多關於 GDPR 的資訊:

◈ GDPR 官網[1] (歐盟提供)
◈ 官方條約 (歐盟) 2016/679[3] (GDPR,包含翻譯)
◈ GDPR 是什麼? 領導人需要知道的 8 件事[4] (企業人專案)
◈ 如何規避 GDPR 合規審計:最佳實踐[5] (企業人專案)

關於作者

Robin Muilwijk 是一名網際網路和電子政務顧問,在 Red Hat 旗下線上釋出平臺 Opensource.com 擔任社群版主,在 Open Organization 擔任大使。此外,Robin 還是 eZ 社群董事會成員,eZ 系統[6] 社群的管理員。Robin 活躍在社交媒體中,促進和支援商業和生活領域的開源專案。可以在 Twitter 上關註 Robin Muilwijk[7] 以獲取更多關於他的資訊。更多關於我的資訊[7]


via: https://opensource.com/article/18/4/gdpr-impact

作者: Robin Muilwijk[7] 選題者: lujun9972 譯者: pinewall 校對: wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出

贊(0)

分享創造快樂