本書是國(guó)際信息科學(xué)考試學(xué)會(huì)(EXIN)數(shù)據(jù)保護(hù)官(DPO)認(rèn)證之隱私和數(shù)據(jù)保護(hù)基礎(chǔ)(PDPF)認(rèn)證指定教材����,以中英文對(duì)照形式梳理PDPF認(rèn)證考試重點(diǎn)�。此外,本書以考點(diǎn)為脈絡(luò)��,對(duì)歐盟發(fā)布的《通用數(shù)據(jù)保護(hù)條例»(GDPR)進(jìn)行解讀�����,不僅可以幫助考生詳細(xì)了解GDPR��,更可以為數(shù)據(jù)管理人員在實(shí)際工作中提供參考。
適讀人群 :金融��、供應(yīng)鏈業(yè)務(wù)從業(yè)者���、監(jiān)管部門、企業(yè)財(cái)務(wù)管理人員 本書為國(guó)際信息考試科學(xué)考試學(xué)會(huì)(EXIN)指定教材��,第一部分EXIN隱私與數(shù)據(jù)保護(hù)白皮書(中�、英文)為本書主體,該部分內(nèi)容主要涵蓋針對(duì)《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)核心概念與規(guī)范的解讀����,以及對(duì)該法規(guī)下有關(guān)合規(guī)實(shí)踐的指引��。第二部分為針對(duì)EXIN隱私與數(shù)據(jù)保護(hù)基礎(chǔ)認(rèn)證考試的有關(guān)說(shuō)明及備考指南���,第三部分為針對(duì)該認(rèn)證的樣例試題�。
包含PDPF考試所需基本知識(shí)及材料,是DPO-PDPF考試必備教材�����。
寫在前面
歐洲聯(lián)盟(簡(jiǎn)稱“歐盟”)《通用數(shù)據(jù)保護(hù)條例》(GeneralDataProtec-tionRegulation����,GDPR)于2018年5月25日生效��,對(duì)企業(yè)收集��、控制和處理個(gè)人數(shù)據(jù)的方式產(chǎn)生了深遠(yuǎn)影響�。而且����,并非位于歐盟的企業(yè)才會(huì)受到影響,事實(shí)上����,任何與歐盟監(jiān)管下的客戶進(jìn)行的業(yè)務(wù)�,都需要遵守GDPR。如果違反GDPR企業(yè)將面臨可高達(dá)2千萬(wàn)歐元或全球年?duì)I業(yè)額的4%的巨額罰款�����。
伴隨著GDPR的實(shí)施���,組織內(nèi)應(yīng)該根據(jù)具體職能配備相應(yīng)的角色,包括數(shù)據(jù)控制者(DataController)���、數(shù)據(jù)處理者(DataProcessor)以及數(shù)據(jù)保護(hù)官(DataProtectionOfficer,DPO)�����。
其中數(shù)據(jù)控制者定義了個(gè)人數(shù)據(jù)的處理方式和目的,此外���,控制者還負(fù)責(zé)確保外部承包商能夠遵守相關(guān)規(guī)定。數(shù)據(jù)處理者(DataProcessor)可以是維護(hù)和處理個(gè)人數(shù)據(jù)記錄的內(nèi)部團(tuán)體(如業(yè)務(wù)分析師或開發(fā)商的直接雇員)�����,也可以是執(zhí)行全部或部分這些活動(dòng)的任何外部服務(wù)提供商(如信用評(píng)級(jí)機(jī)構(gòu)等)。
此外��,最重要的是GDPR還要求指定1名數(shù)據(jù)保護(hù)官(DPO)來(lái)監(jiān)管數(shù)據(jù)安全策略和GDPR合規(guī)性�。核心活動(dòng)涉及處理或存儲(chǔ)大量的歐盟公民數(shù)據(jù)���、處理或存儲(chǔ)特殊類別的個(gè)人數(shù)據(jù)(健康記錄�、犯罪記錄)的組織必須指定1名DPO��。DPO主要負(fù)責(zé)就GDPR規(guī)定提供咨詢意見���,向最高管理
層報(bào)告。
中國(guó)企業(yè)需要設(shè)置DPO嗎����?
2018年5月25日正式實(shí)施的歐盟GDPR法案,提出了設(shè)置DPO的要求����。
我們不要認(rèn)為歐盟GDPR和中國(guó)企業(yè)沒(méi)有什么關(guān)系,即使企業(yè)不在歐盟內(nèi)�,但如果在向歐盟內(nèi)的個(gè)人提供商品和服務(wù)的過(guò)程中處理了歐盟居民的個(gè)人數(shù)據(jù)����,或監(jiān)測(cè)了在歐盟實(shí)施的個(gè)人行為,企業(yè)就會(huì)受GDPR約束���。盡管中國(guó)有關(guān)個(gè)人信息保護(hù)方面的專門立法暫未生效����,但已經(jīng)公布實(shí)施的《網(wǎng)絡(luò)安全法》和2018年5月1日正式實(shí)施的國(guó)家標(biāo)準(zhǔn)GB/T35273—2017«信息安全技術(shù)個(gè)人信息安全規(guī)范»(簡(jiǎn)稱«個(gè)人信息安全規(guī)范»)���,分別提出了設(shè)置“網(wǎng)絡(luò)安全負(fù)責(zé)人”“個(gè)人信息保護(hù)負(fù)責(zé)人”的要求。
DPO的職責(zé)
根據(jù)歐盟GDPR數(shù)據(jù)保護(hù)工作組2016年12月發(fā)布的《數(shù)據(jù)保護(hù)官指弓I》(簡(jiǎn)稱《指引》)�����,DPO的任務(wù)和職責(zé)包括:向數(shù)據(jù)控制者�、處理者及負(fù)責(zé)數(shù)據(jù)處理的員工做出有關(guān)通知和建議;確保���、監(jiān)控企業(yè)活動(dòng)的合規(guī)性;提出建議并監(jiān)控?cái)?shù)據(jù)保護(hù)影響評(píng)估�����;協(xié)助監(jiān)管機(jī)構(gòu)的工作�,并擔(dān)任指定聯(lián)絡(luò)人�;負(fù)責(zé)風(fēng)險(xiǎn)管控工作等����。DPO需要具備專業(yè)知識(shí)和技能。DPO必須有理解數(shù)據(jù)保護(hù)和信息安全方面的法律知識(shí)�����,且有能力指導(dǎo)企業(yè)在整個(gè)信息生命周期處理包括收集�����、使用��、存儲(chǔ)��、清理等方面的具體問(wèn)題����。GD¬PR第37條明確要求DPO需要“有數(shù)據(jù)保護(hù)法律與實(shí)踐的專業(yè)知識(shí)���,且有能力完成第39條項(xiàng)下的職責(zé)”。
國(guó)際信息科學(xué)考試學(xué)會(huì)(EXIN)
Exam Institute for Information Science
1984年����,荷蘭經(jīng)濟(jì)事務(wù)部創(chuàng)辦EXN�。作為信息技術(shù)架構(gòu)庫(kù)(ITIL)全球認(rèn)證體系的創(chuàng)始認(rèn)證機(jī)構(gòu),EXN在全球范圍內(nèi)推廣數(shù)字化服務(wù)管理����、信息安全和數(shù)據(jù)隱私保護(hù)的行業(yè)實(shí)踐和標(biāo)準(zhǔn)��。包括:數(shù)字化轉(zhuǎn)型與創(chuàng)新管理(Ver-iSM)�����、服務(wù)集成管理(SIAM)、開發(fā)運(yùn)維一體化(DevOps)�、精益IT(Lean IT)和敏捷轉(zhuǎn)型(Agile Scrum)��、區(qū)塊鏈�、人工智能和云計(jì)算等。
2016年����,EXIN在全球率先發(fā)布數(shù)據(jù)保護(hù)和隱私基礎(chǔ)認(rèn)證(PDPF)���,2017年�,發(fā)布隱私和數(shù)據(jù)保護(hù)基礎(chǔ)(PDPP)����。伴隨2018年5月歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效���,EXIN在首發(fā)基于GDPR的數(shù)據(jù)保護(hù)官(DPO)職業(yè)資格認(rèn)證。
目前�����,持有EXIN認(rèn)證的數(shù)字化管理和數(shù)據(jù)隱私保護(hù)人才遍布世界500強(qiáng)企業(yè)����。來(lái)自全球165多個(gè)國(guó)家和地區(qū),累計(jì)近300萬(wàn)的信息與通信技術(shù)職業(yè)人士已經(jīng)獲得了EXIN頒發(fā)的資格證書�。
作者:【荷】里奧??比斯摩爾( Leo Besemer)曾在EXIN和ECDL任職,并擔(dān)任荷蘭區(qū)副總裁���。在項(xiàng)目管理�、質(zhì)量保障����、安全管理和隱私認(rèn)證考試開發(fā)與設(shè)計(jì)方面具備豐富經(jīng)驗(yàn)�。在CT管理領(lǐng)域具有30年以上的跨國(guó)項(xiàng)目經(jīng)驗(yàn)。對(duì)《通用數(shù)據(jù)保護(hù)條例》具有深入研究��。
譯者:劉合翔:就職于杭州電子科技大學(xué)����,北達(dá)軟數(shù)據(jù)治理專家�、EXIN隱私與數(shù)據(jù)保護(hù)系列認(rèn)證授權(quán)講師���。
王彥博:現(xiàn)任職于龍盈智達(dá)(北京)科技有限公司,擔(dān)任首席數(shù)據(jù)科學(xué)家(副總裁級(jí))���。同時(shí)擔(dān)任《銀行家》期刊金融科技欄目主持人��、中關(guān)村大數(shù)據(jù)產(chǎn)業(yè)聯(lián)盟專家����、對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)統(tǒng)計(jì)學(xué)院碩士研究生導(dǎo)師���。曾任曼徹斯特大學(xué)計(jì)算機(jī)科學(xué)院博士后副研究員����。
寫在前面
譯者序一
譯者序二
第一部分
白皮書:EXIN隱私和數(shù)據(jù)保護(hù)基礎(chǔ)與要點(diǎn)/1
引言/3
第一篇隱私基礎(chǔ)/4
1.定義與歷史背景/4
1.1數(shù)據(jù)保護(hù)條例的發(fā)展史/4
1.2GDPR的適用范圍與適用區(qū)域/7
1.3定義/9
1.4角色����、責(zé)任、利益相關(guān)者/13
2.處理個(gè)人數(shù)據(jù)/17
3.合法依據(jù)與目的限制/19
3.1合法依據(jù)/19
3.2目的限制和用途說(shuō)明/20
3.3輔助性和相稱性/22
4.數(shù)據(jù)主體的權(quán)利/24
4.1信息透明及溝通/24
4.2有關(guān)個(gè)人數(shù)據(jù)的信息及個(gè)人數(shù)據(jù)查閱/26
4.3數(shù)據(jù)主體的查閱(檢查)權(quán)/28
4.4糾正與刪除/28
4.5反對(duì)權(quán)和自動(dòng)化的個(gè)體決策/31
4.6向監(jiān)管機(jī)構(gòu)提出申訴的權(quán)利/32
5.個(gè)人數(shù)據(jù)泄漏及相關(guān)程序/32
5.1個(gè)人數(shù)據(jù)泄漏的概念/32
5.2個(gè)人數(shù)據(jù)泄漏發(fā)生時(shí)的處置程序/34
5.3個(gè)人數(shù)據(jù)泄漏的類別/36
第2篇 數(shù)據(jù)保護(hù)的組織化/37
6.數(shù)據(jù)保護(hù)對(duì)組織的重要性/37
6.1GDPR的合規(guī)要求/37
6.2所需的管理活動(dòng)/39
7.監(jiān)管機(jī)構(gòu)/42
7.1監(jiān)管機(jī)構(gòu)的一般責(zé)任/43
7.2與數(shù)據(jù)泄露有關(guān)的角色和責(zé)任/46
7.3監(jiān)管機(jī)構(gòu)在執(zhí)行GDPR方面的權(quán)力/47
7.4跨境數(shù)據(jù)傳輸/50
7.5適用于EEA之內(nèi)數(shù)據(jù)傳輸?shù)臈l例/52
7.6適用于EEA之外數(shù)據(jù)傳輸?shù)臈l例/53
......
書單推薦
