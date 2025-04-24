Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御，保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能且经济实惠的服务。众多全球企业信赖 Akamai，凭借我们卓越的可靠性、扩展性和专业技术，企业能够从容拓展业务。
数据隐私与世界各国的公民都息息相关，因为消费者数据隐私违规问题（例如，Facebook/Cambridge Analytica 丑闻）已经让用户注意到了数据隐私标准的不足。研究发现，信任和数据隐私是数字化生活中必不可少的部分。例如，根据一项針對数据共享与消费者行为的 2020 年 McKinsey 研究报告发现，87% 的人不会与安全实践令人担忧的公司发生业务往来。此外，该调查还发现，71% 的人会远离未经许可共享敏感数据的公司。
为应对滥用消费者隐私的问题，欧盟在 2018 年 5 月 25 日颁布了通用数据保护条例 (GDPR)。欧盟 GDPR 在以消费者为中心的隐私法规方面以严格而闻名，旨在保护欧盟公民的隐私权。
欧盟 GDPR 法律的简要背景
自 1950 年《欧洲人权公约》签署以来，隐私权便成为了欧盟法律的重要组成部分。GDPR 是对 1995 年《数据保护指令》 95/46/EC (或 DPA) 的更新。GDPR 于 2016 年通过，欧盟成员国有两年的时间来实施该法规。促成此次修订的因素之一是为了在欧盟各成员国之间实现隐私法的协调一致。自从 GDPR 法律生效以来，受该法规监管的各界公司一直致力于实现 GDPR 合规性。GDPR 的宗旨是确保个人数据隐私受到保护。根据 GDPR 第 4 条的规定，个人数据是指“与已识别或可识别的自然人（即‘数据主体’）相关的任何信息”。这包括个人信息、IP 地址、生物识别信息等数据。GDPR 还指定了数据分类，包括反映敏感性级别的“特殊数据分类”，同时要求为最敏感的数据实施更强级别的保护。
根据 GDPR 规定，受管辖实体是指在提供商品或服务或者监控在线行为的情况下，使用欧盟数据主体个人数据的任何企业。受管辖实体被视为数据控制者或处理者：数据控制者是指负责同意和管理访问的主体；数据处理者则代表控制者处理数据。GDPR 的管辖范围涵盖一些位于欧洲和欧盟之外，向欧盟内的客户销售商品并收集这些客户个人数据的公司。GDPR 对各种规模的公司都有影响，因为与 GDPR 法律有关系的是公司的数据处理活动，而不是公司规模。
Akamai 如何帮助企业满足 GDPR 要求
数据保护和数据隐私是 GDPR 合规的核心。Akamai 安全解决方案提供智能和端到端保护，以保护财务数据免遭泄露和意外暴露。Akamai 突破了传统端点检测的限制，可提供强有力的 Zero Trust 解决方案来确保数据的安全性和隐私性，从而帮助您的安全团队显著提升安全投资的成效和投资回报。
Akamai 提供：
- 全球安全平台，可实施全面覆盖您的 IT、物联网和 OT 环境的 Zero Trust 安全防护
- 对资产、访问权限和网络流的深度监测能力
- 安全策略的精细实施
GDPR 对企业有何影响？
对于消费者来说，数据隐私非常重要。GDPR 和美国的《加州消费者隐私法案》(CCPA) 等类似的数据隐私法都致力于实施面向消费者和公民的数据隐私规范。发现不符合 GDPR 的公司将被处以高额罚款；对于在 2023 年 4 月 13 日根据标准合同条款 (SCC) 将个人数据传输至美国期间违反 GDPR 的行为，爱尔兰数据保护局 (DPA )向Meta 平台爱尔兰有限公司 (Meta IE) 处以 12 亿欧元的罚款。
除了直接受 GDPR 管辖的公司之外，以下示例企业也必须遵守该条例：
在欧盟拥有客户的美国公司
GDPR 拥有治外法权。因此，即使贵公司位于欧盟之外，但只要有可能与欧盟公民发生业务往来，就必须遵守 GDPR。这些公司必须执行 GDPR 评估，以确定他们在执行哪些数据处理活动。然后，您必须提供符合 GDPR 要求的隐私声明。此外，您需要进行数据保护影响评估，并确定需要采取的保护措施。这可能包括数据加密、强有力的身份验证措施以及企业级数据保护，例如实施 Zero Trust 安全方法。这些措施的范围必须扩展到第三方供应商。
员工少于 250 人的小型企业
即使企业的规模较小，也不能豁免 GDPR 监管。哪怕是只有一个人的公司，或者是慈善机构，只要他们会处置和处理个人数据，就必须遵守 GDPR 规则。但是，只有当您定期或大量处理数据时，或者处理的数据可能会影响他人的权利和自由时，或者会泄露种族、民族、生物识别数据等信息时，才需要按照法律通常要求的级别来记录数据处理活动。除了需要遵循数据隐私要求外，小型公司还应当寻找能够提供有力身份验证和加密服务的安全平台，帮助保护数据并避免发生数据泄露。
GDPR 的七项原则
GDPR 制定了七项核心原则，并以其作为法律基础。这些原则与合法性、数据处理原因以及同意条件相关。它们涵盖以下方面：
- 合法性、公平性及透明性：处理数据必须有正当理由。
- 目的限制：这是“隐私保护设计与默认设置”原则中的一个重要概念，在 GDPR 中有所体现。其重点在于确保数据“被收集用于指定的、明确的且合法的目的”。
- 数据最小化：根据第二项原则，任何合法收集的数据都应限制在最小必要范围内。
- 准确性：相关实体必须确保所收集数据的准确性。
- 存储限制：相关实体必须制定并执行可强制实施的存储期限政策。
- 完整性与保密性：安全控制措施必须确保所收集个人数据的完整性与保密性，其中应包括防止内部或外部威胁攻击的安全措施。
- 问责制：相关实体必须通过措施和文档证明其符合 GDPR 要求。
GDPR 中规定的八项数据主体权利
数据主体是指使用 GDPR 所涵盖的个人数据可以识别其身份的个人。GDPR 第 3 章定义了八项数据主体权利，受管辖实体必须尊重这些权利才能确保遵守 GDPR：
- 知情权（第 12、13 和 14 条）。
- 访问权（第 15 条）。
- 纠正权（第 16 条）。
- 删除权（第 17 条）。
- 限制处理权（第 18 条）。
- 数据可携带权（第 20 条）。
- 反对权（第 21 条）。
- 不受自动化决策（包括数据画像）限制的权利（第 22 条）。
第 34 条还规定了违规通知规则，该规则要求：在数据泄露“很可能会对自然人权利和自由产生很高的风险”时，受管辖实体必须立即将该数据泄露问题告知数据主体且“不得无故延迟”。受管辖实体必须向监管机构通报数据泄露；监管机构是负责监督相关法规实施情况的公共机构。
GDPR 罚款
GDPR Enforcement Tracker（GDPR 执法追踪器）提供了因违反 GDPR 而被处以罚款和处罚的概览。截至 2023 年 5 月，累计罚款金额接近 27.9 亿欧元。根据 GDPR Enforcement Tracker 所述，罚款原因中位列前三的原因如下：
- 违反通用数据处理原则。
- 数据处理缺乏法律依据。
- 缺乏用于确保信息安全的技术和企业措施。
因违反 GDPR 而产生的罚款设定为以下两个级别：
Level 1：涵盖数据泄露以及不履行数据保护影响评估：全球年收入的 2% 或 1000 万欧元，以较高者为准。
Level 2：正确实施 GDPR 要求，例如实施同意权和数据主体权利：全球年收入的 4% 或 2000 万欧元，以较高者为准。
Akamai 数据安全解决方案如何帮助实现 GDPR 合规？
数据安全与可靠的数据隐私保护之间存在内在联系。GDPR 认识到了采用适当的技术和企业措施来防止数据泄露的重要性。GDPR 中提到的安全控制措施和隐私保护措施包括加密和假名化。还应该采用其他安全和隐私保护措施来防止数据泄露，包括身份和访问管理 (IAM)，以及使用 Zero Trust 安全方法实现可靠的身份验证和同意。
借助 Akamai Cloud，您可以精细控制数据访问控制和同意，从而帮助企业实现 GDPR 合规并提供相关证明。这些控制包括：
- 获取和管理同意
- 访问权
- 纠正权
- 删除权
- 加密
Akamai 通过采用 Zero Trust 策略提供风险管理、报告和文档支持，助力实现 GDPR 合规。
常见问题 (FAQ)
GDPR 表示《通用数据保护条例》(General Data Protection Regulation)。它是欧盟法律中的一项法规，旨在监管欧盟和欧洲经济区内的数据和隐私保护。
GDPR 对各种规模的公司都有影响，因为与 GDPR 法律有关系的是公司的数据处理活动，而不是公司规模。但是，对于员工少于 250 人的公司，它减少了相关的义务。这些公司：
- 无需记录其数据处理活动，除非他们定期处理个人数据，并且此处理活动会对个人的权利和自由产生威胁或者与敏感数据或犯罪记录相关。
- 无需任命数据保护官 (DPO)，除非公司以数据处理作为其核心业务活动，并且会对个人的权利和自由产生特定威胁。