GDPR - 随笔分类 - Momoko-X

安全工程师视角的GDPR

摘要：1、思维上的根本差异以PIPL（个人信息保护法）为代表的国内法规，是以“数据”、“资产”为主体、符合监管的要求，评估「资产」风险，是否合规，【风险 × 资产 × 影响】；而GDPR（通用数据保护条例）是围绕以“数据主体”为保护对象，评估如果数据泄露对他们权利的影响，评估「权益」风险，是否合理，【阅读全文

posted @ 2026-01-19 20:16 Momoko-X 阅读(18) 评论(0) 推荐(0)

DPIA评估开源自动化工具

摘要：GDPR我们并不陌生，其中的第35条提到了DPIA （Data Protection Impact Assessment，数据保护影响评估），btw 对应《个人信息保护法》也有PIA（隐私影响评估）。今天介绍的这个执行DPIA的开源工具来自于CNIL（GDPR法国监管机构）：https://git 阅读全文

posted @ 2025-05-25 18:47 Momoko-X 阅读(227) 评论(0) 推荐(0)

GDPR——DPIA

摘要：GDPR发布以后，DPIA（Data Protection Impact Assessment）是数据控制者Data Controller 必须履行的一项安全职责（详见GDPR第35条）。一、触发的时机： DPIA应当前置评估，在如下这些场景实施前：使用新技术：If you’re using n 阅读全文

posted @ 2025-01-16 15:11 Momoko-X 阅读(314) 评论(0) 推荐(0)

GDPR——关于DPO

摘要：GDPR第四部分着重讲述了DPO (Data Protection Officer）这个角色，本文记录下学习过程中遇到的一些问题。一、DPO是一个人来担任吗？数据保护官可以是一个单独的人、也可以是一个团队（需要有个总的负责人），只要能履行GDPR 中对DPO的职责要求就行；数据保护官可以是内部阅读全文

posted @ 2025-01-16 11:11 Momoko-X 阅读(172) 评论(0) 推荐(0)

GDPR——数据控制者/处理者的职责

摘要：合法合规前提/原则（PbD）Privacy by design DPIA 数据出境数据共享/委托 DPO（必须设立的三个场景、工作职责内容等）数据保护措施（加密、匿名化、去标识化等）履行数据主体的权利事件披露：数据泄漏上报72H内。流程？哪个机构？入口？文档模板？合作和监管 1）组织建设阅读全文

posted @ 2025-01-04 19:40 Momoko-X 阅读(482) 评论(0) 推荐(0)

GDPR——如何理解和履行数据主体的权利

摘要：GDPR中第三章介绍了数据主体的9项权益，企业应该如何落实以满足用户权益的行使呢？知情权访问权反对权可携带权：数据主体将自己的数据从一家服务商转移到另一家服务商；更正权删除权/被遗忘权/擦除权（不同的叫法）：数据主体要求对个人数据的删除限制处理权不受自动化决策影响的权利可携带、遗忘阅读全文

posted @ 2025-01-04 19:36 Momoko-X 阅读(593) 评论(0) 推荐(0)

GDPR——管辖权和域外效力

摘要：判定企业是否需要遵循GDPR的要求，第一步需要判断是否属于GDPR的管辖范围。粗略讲分为两类： 1、营业地在欧盟（域内）：注册地、在欧盟区域设有办事处等分支机构 2、营业地不在欧盟（域外）：但针对欧盟公民处理数据（提供服务、监控等）进一步的判定如下： “营业活动”：指通过稳定的安排而实施地有效实际阅读全文

posted @ 2025-01-04 19:35 Momoko-X 阅读(125) 评论(0) 推荐(0)

GDPR——监管体系

摘要：欧盟各国家内有独立的监管机构，在面对跨境问题、跨国公司问题时，通过一致性机制来协调、共同决策。 1、监管机构类比于国内网信办、工信部、四部委等监管机构，欧盟的机关单位有哪些呢？ 1）欧盟数据保护委员会（European Data Protection Board，EDPB）：“最高委员会” 是欧盟阅读全文

posted @ 2025-01-04 19:35 Momoko-X 阅读(399) 评论(0) 推荐(0)

随笔分类 - 安全合规 / GDPR