互联网领域 :
阿里云—Link物联网平合、腾讯—QQ物联、百度云—天工智能物联网平台、京东—京东微联、小米—小米IOT开发者平台
通信领域 :
中国移动— OneNeT、中国联通— 物联网平台20、中国电信—ctwing、华为—Ocean Connect、中兴通讯 —Thing Cloud兴云、中国通信服务—CCS开放物联网平台
垂直行业领域:
美的—美的云物联网IOT平台、航天科工— INDICS、徐工信息—Xrea
树根、研华科技— WISE-PaS、海尔— COSMOPlat、研华科技— WISE-PaaS、海尔— COSMOPlat
创业公司:
树根互联—根云平台、立子科技—立子云、智云奇点—Matrix、中科云创—云中控、寄云科技— NeuSeer平台、涂鸦智能—涂鸦智能云、小葱智能—小葱智能物联网IOT平台、上海庆科— FogCloud、粒聚科技— LETSIOT平台、艾森智能— senzFlow、青莲云—物联网安全云平合
前言:
整理本文的原因有三:
1、 网上很多关于GDPR的文章并不全面,甚至有误
2、 以此机会在公司内部开展关于GDPR的专项培训
3、 青莲云的部分客户业务在未来会受到GDPR的影响
之后,我们计划编写一系列相关文章,更多的是站在企业角度来思考法案对物联网行业的影响以及应对措施,一来希望与同行企业可以就GDPR进行更多的互动讨论;二来也是希望传播国际法案对于安全和隐私的态度,共同提高物联网安全意识。
以下您将了解到:
1、 什么是GDPR(重要)
2、 GDPR的发展历程
3、 GDPR的关键术语定义(重要)
4、 GDPR会影响哪些企业(重要)
5、 GDPR不适用于哪些情况
6、 GDPR约束了哪些数据(重要)
7、 GDPR中数据主体的权利(重要)
8、 GDPR中处理个人数据的基本原则(重要)
9、 GDPR中对合法处理数据的定义
10、 GDPR中针对儿童数据的处理规定
11、 GDPR中数据控制者与数据处理者的义务(重要)
12、 GDPR中针对特别类型个人数据的处理规定
13、 GDPR中关于数据主体被遗忘权的规定(重要)
14、 GDPR中关于数据主体可携带权的规定(重要)
15、 GDPR中关于个人数据泄露通知的规定(重要)
16、 GDPR中关于设立数据保护官的规定
17、 GDPR关于执法和处罚的规定(非常重要)
18、 总结
什么是GDPR
2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation (GDPR)),新法案由11章共99条组成,该法案将于2018年5月25日正式生效,将取代现有的《数据保护指示》(Data Protection Directive 95/46/EC),统一欧盟成员国关于数据保护的法律法规。
此外,GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。
GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案
GDPR的发展历程
(来自网络)
GDPR的关键术语定义
个人数据:是指任何指向一个已识别或可识别的自然人(数据主体)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份z号、定位数据、在线身份识别这列标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
处理:是指针对个人数据或个人数据集合的任何一个或一系列 *** 作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用、排列、组合、限制、删除或销毁,无论此 *** 作是否采用自动化手段。
匿名化:是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。
数据控制者:能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。
数据处理者:是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
数据接受者:只是接收到被传递的个人数据的主体,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据,不得视为“数据接受者”。
个人数据外泄:是指个人数据在传输、存储或进行其他处理时的由安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。
GDPR会影响哪些企业
欧盟GDPR法案具有域外效应。也就是说,GDPR赋予了欧盟在个人信息安全方面的域外管辖权。
主要受影响的企业为以下四类:
l 设立在欧盟境内的企业(控制者、处理者)
l 未在欧盟境内设立,但向欧盟境内的数据主体(自然人)提供产品和服务的企业(控制者、处理者)
l 未在欧盟境内设立,但涉及监控欧盟境内数据主体(自然人)行为的企业(控制者、处理者)
l 未在欧盟境内设立,但在欧洲成员国法律适用的地方设立的企业(控制者、处理者)
总结来说,GDPR不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。
GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案,数据控制者也无法免除责任,GDPR规定控制者需要承担更多的责任,以确保和数据处理者之间的合同能够严格遵守GDPR的规定。
GDPR不适用于哪些情况
GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR:
l 为了预防、调查、侦查或起诉刑事犯罪,主管当局为执行刑事处罚目的而产生的数据处理行为
l 基于国家安全目的而产生的数据处理行为
l 自然人在纯粹的个人或家庭活动中产生的数据处理行为
l 欧盟法律规定范围之外的活动过程中产生的数据处理行为
GDPR约束了哪些数据
个人数据:
可以通过某个标识直接或间接识别某一自然人的信息。
不管是采用自动化手段还是人工进行归类的数据,包括按时间顺序排列的包含个人数据的记录集合。
已经被匿名化的个人数据,取决于用已有标识来识别特定个体的困难程度。
敏感个人数据:
也被称为“特殊种类的个人数据”。
包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。
包括遗传数据和经过处理可以唯一识别个体的生物特征数据。
不包括涉及刑事定罪和罪行的个人数据,但该类数据的处理和保存有特殊要求。
GDPR中数据主体的权利(第三章)
l 知情权
l 访问权
l 反对权
l 可携带权
l 纠正权
l 删除权/被遗忘权
l 限制处理权
l 免受数据画像影响
GDPR中处理个人数据的基本原则
l 合法、正当、透明
l 处理数据的目的是有限的
l 仅处理为达到目的的最少数据
l 确保数据准确、及时更新
l 存储数据的期限不得长于为达到目的所需要的时间
l 采取技术和管理措施以保护数据的安全
l 数据控制者有责任并应能够证明做到了以上几点
GDPR中对合法处理数据的定义
至少满足一下中的某一项,处理数据才是合法的
l 数据主体同意为了特定目的处理其数据
l 处理数据是为了签订或履行合同的需要
l 处理数据是为了遵守法定义务的需要
l 处理数据是为了保护数据主体或其他自然人的至关重要的利益
l 处理数据是为了公共利益或形式政府授受的权力
l 处理数据是为了追求数据控制者的合理利益,但不得损害数据主体的利益
GDPR中针对儿童数据的处理规定
处理16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可以对上述年龄进行调整,但是不得低于13岁
GDPR中数据控制者与数据处理者的义务
设置DPO(数据保护官)
文档化管理
数据保护影响评估
事先咨询机制
数据泄露报告机制
安全保障措施
遵守数据跨境转移规则
GDPR中针对特别类型个人数据的处理规定
禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。
GDPR中关于数据主体被遗忘权的规定(重要)
当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。
如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。
GDPR中关于数据主体可携带权的规定(重要)
数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。
GDPR中关于个人数据泄露通知的规定(重要)
数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误的通知数据主体,以便数据主体及时采取措施。
GDPR中关于设立数据保护官的规定
为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(DPO)。
控制者和处理者应当对数据保护官不下达任何指令,DPO不能因为执行任务的原因被解雇或者受到刑事处罚。
数据保护官直接向最高管理者报告工作。
根据联盟法律或者成员国法律规定,数据保护官应当对其执行任务的内容进行保密。
数据保护官也可以执行其他任务,履行其他职责。
GDPR关于执法和处罚的规定(非常重要)
不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。
GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定:
对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);
对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者);
判罚的严重程度是基于以下因素:
l 违规的性质、严重程度和违规的持续时间
l 违规是故意的还是因疏忽造成的
l 对个人身份信息的责任心和控制程度
l 违规是单个事件还是重复事件
l 受到影响的个人资料的种类范围
l 数据主体遭遇的损害程度
l 为了减轻损害而采取的行动
l 由违规产生的财务预期或收益
GDPR核心旨在保护隐私数据,并通过法案约束来建立企业和公民之间的信任关系,违反GDPR的代价远不止财务层面,还将给企业声誉造成极大破坏,并且导致企业和消费者之间产生信任危机
总结
由于青莲云所在的物联网行业也处于GDPR法案的约束之中,故此整理出法案中的重点思想与业界分享。GDPR此次改革以保护公民的基本权利为理念,在提高个人数据保护标准的同时,也会增加企业的合规成本。法案的背后是对隐私和安全的需求,法案生效后会成为国际数据隐私保护标准。
对于物联网行业的相关企业(硬件、软件、制造、数据分析等)来说,从此刻开始提升物联网安全意识,关注数据安全和用户隐私安全,积极的采取相应的整改或强化措施刻不容缓。青莲云安全团队也将在不断提升自身安全攻防能力和安全合规意识的同时,与客户企业建立长期持续的安全咨询合作关系,共同建设安全、自主、可信的物联网安全新业态。
物联网的应用如下:1、智能仓库。物联网一个很好的应用。它能准确的提供仓库管理各个环节数据的真实性,对于生产企业,可以根据这个数据合理的把控库存量,调整生产量。物联网中利用SNHGES系统的库位管理功能,可以准确提供货物库存位置,这就大大提高了仓库管理的效率。
2、智能物流。运用条形码、传感器、射频识别技术、全球定位等先进的物联网通信技术,实现物流业运输、仓储、配送、装卸等各个环节的智能化。不仅货物运输更加的自动化,而且作出的全面分析还能及时的处理问题对物流过程作出调整,优化了管理。大大提高了物流行业的服务水平,还节约了成本。
3、智能医疗。利用物联网技术,实现患者和医务人员、医疗机构、医疗设备的互动,实现医疗智能化。物联网医疗设备中的传感器与移动设备可以对患者的生理状态进行捕捉,把生命指数记录到电子健康文件中,不仅自己可以查看,也方便了医生的查阅,实现远程的医疗看病。很好的解决当前的医疗资源分布不均,看病难的问题。
4、智能家庭。物联网的出现让我们的日常生活更加的便捷。不远的将来一台手机,就可以 *** 作家里大多数的电器,查看它们的运行状态。寒冷的冬天,我们可以提前打开家里的空调,回到家就暖暖的。物联网还能准确的定位家庭成员的位置,你再也不用担心孩子跑的找不见人,省心省力。
5、智能农业。物联网在农业中的应用就更加的广泛。监测温湿度,监视土壤酸碱度,查看家禽的状态。在这些数据的支持下,农户就可以合理进行科学评估,安排施肥,灌溉。监测到的天气情况比如降水,风力等又为我们抗灾、减灾提供了依据。提高了产量,降低了减产风险。
6、智能交通。物联网将整个交通设备连在一起。主要是用图像识别为核心技术。可以准确的收集到交通车流量信息,通过信号灯等设备进行流量的控制,这个技术的运用,会让堵车成为历史。管理人员利用这个技术能将道路、车辆的情况掌握的一清二楚,驾驶违章无处可逃,交通事故也能及时的得到处理。人们的出行得到了很大的方便。
7、智能电力。电力工程是一项重大的民生工程,对电网的安全检测是一项必修科目。以南方电网与中国移动通过M2M技术进行的合作为例,因为物联网的运用,使得自动化计量系统开始启动,使得故障评价处理时间得到一倍的缩减。
7月13日,2022北京网络安全大会开幕当天,大会特色活动第七届安全创客汇半决赛在北京金融安全产业园举办。经过五大评审团的严格筛选,10强企业诞生。
本届安全创客汇总决赛将于2022北京网络安全大会重庆产业峰会期间举办。安易 科技 、边界无限、持安 科技 、霍因 科技 、锘崴 科技 、青莲云、螣龙安科、为辰信安、雪诺 科技 、亿格云 科技 10家创新创业企业(按首字母英文排序),将共同争夺年度总冠军及3个单项奖。
紧握发展机遇 推进网安产业加速前进
闯入本届安全创客汇半决赛的20强企业,主要聚焦在身份安全及零信任、数据与隐私安全、软件供应链安全、云原生安全、物联网安全、自动化渗透测试平台、攻击面管理等热门创新赛道,和美国RSAC创新沙盒的10强赛道基本一致。安全创客汇评委会主席、奇安信集团总裁吴云坤表示,这说明我们对市场需求和技术趋势的把握和前瞻能力与世界前沿的差距在缩小。
吴云坤表示,本次安全创客汇汇集了我国网安创业明星企业,技术上紧跟国际主流创新方向与趋势,产业上注重服务我国国家、行业与数字产业安全,为我国网安产业注入新的活力,并将成为产业发展新的驱动力。作为网络安全产业创新发展生态平台,安全创客汇将从三个方面推动产业创新生态建设,帮助创新企业发展:一是更好的聚集和对接产业资源,二是更好的聚集能力满足市场需求,三是更好地发挥资本连接器的作用。
安全创客汇评委会主任、奇安信集团副总裁陈华平在“从发展眼光看网络安全产业”分享时表示:我国网络安全产业已进入高速增长期,并将长期伴随我国数字产业稳定发展。一方面,以奇安信为代表的中国头部网安企业保持30%以上的高速增长,并在全球网安企业排名中进入前十行列;另一方面,中国网络安全产业创业积极活跃,在业务需求、政策监管和资本加持下,我国网安的多个赛道上将产生更多创新机会。
共建创新生态 打造产业发展新动力
创新和生态建设,是网络安全产业发展的基础和动力。这既需要完善的创新平台和生态环境,也需要所有领域的企业持续不懈的创新。北京金融安全产业园作为产业生态建设和产业创新发展的成功实践和样板,值得包括网络安全产业在内的所有 科技 产业学习借鉴。
吴云坤表示,希望通过安全创客汇平台,为优秀的网络安全企业和产业园搭建沟通桥梁,感受创新文化、学习创新方法、共建网络安全创新生态。
北京市房山区金融服务办党组书记、主任雒轶表示,金融行业未来发展与 科技 创新紧密相关,金融发展离不开 科技 持续赋能,更离不开金融 科技 安全、网络信息安全的保驾护航。产业园作为2021年安全创客汇的赛事举办地,与奇安信等众多资深机构不断深化合作,取得了一定成果。也期待在接下来的赛事中,见证2022安全创客汇平台带来的创新成果展示,为产业发展发掘培育更多创新型 科技 企业和人才。
作为聚焦网络安全领域的专业创投平台,安全创客汇自2016年创办以来,已挖掘和扶植了一批国内外优秀的安全创新企业。据统计,前六届安全创客汇会十强企业均已获得数轮融资,总融资额超过40亿元。
安全创客汇负责人介绍,第七届安全创客汇决赛将于7月26日BCS2022重庆产业峰会上举办。届时,还将举行创客交流活动,为相关初创公司搭建资本、产业桥梁,更好地服务成渝地区双城经济圈建设,促进网络安全产业发展。
(由奇安信授权提供)
传统IT企业、通信运营商、通信设备商、互联网企业、工业方案提供商、新型创业公司等多股势力如雨后春笋般纷纷涌入,在经过井喷期的热闹,平台沉淀进入下半场盘整,物联网平台基于IaaS、PaaS、SaaS三种云计算服务模型,平台类型有ICP(基础设施云服务平台)、CMP(连接管理)、DMP(设备管理平台)、AEP(应用使能平台)、BAP(业务分析平台)等。以下是物联网平台举例:互联网领域 :
阿里云—Link物联网平合、腾讯—QQ物联、百度云—天工智能物联网平台、京东—京东微联、小米—小米IOT开发者平台
通信领域 :
中国移动— OneNeT、中国联通— 物联网平台20、中国电信—ctwing、华为—Ocean Connect、中兴通讯 —Thing Cloud兴云、中国通信服务—CCS开放物联网平台
垂直行业领域:
美的—美的云物联网IOT平台、航天科工— INDICS、徐工信息—Xrea
树根、研华科技— WISE-PaS、海尔— COSMOPlat、研华科技— WISE-PaaS、海尔— COSMOPlat
创业公司:
树根互联—根云平台、立子科技—立子云、智云奇点—Matrix、中科云创—云中控、寄云科技— NeuSeer平台、涂鸦智能—涂鸦智能云、小葱智能—小葱智能物联网IOT平台、上海庆科— FogCloud、粒聚科技— LETSIOT平台、艾森智能— senzFlow、青莲云—物联网安全云平合用过很多家物联网云平台,但是觉得比较好的是机智云,当初还在读大学的时候申请到机智云的gokit2开发套件做了毕业设计,根据机智云提供的文档做了智能农业种植机,参加了他们的征文大赛得到了个智能插排。
后来他们推出了APP自动生成和代码自动生成,让产品开发更容易了,最近我们公司在做净水器商用,现在等着他们出Gokit4的NB-IOT板子开发,希望能赶快推出。比较大的有中兴、华为、阿里、腾讯、百度、京东、移动、联通、电信……现在大公司基本都会做一些和物联网有关的产品。其实现在物联网覆盖范围很广,好多产品只要能和网络扯上关系,就能和物联网扯上关系,所以现在很难说到底有哪些公司搞物联网,因为太多了。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)