介绍
2018 年 5 月 25 日,随着 GDPR 在整个欧洲集团的强制执行,数字隐私斗争中具有重要意义。新的欧盟法规取代了现有的数据保护指令,该指令是在互联网广泛采用之前制定的,并且在保护欧洲公民的海量在线数据方面几乎没有采取任何措施。
作为一项指令,之前的框架是灵活的,并且可以接受区域解释。与此形成鲜明对比的是,GDPR规定并提出了一系列明确的要求,以确保个人数据的保护。被发现不合规的公司将面临巨额罚款的风险。对于最严重的违规行为,最高可处以全球年营业额 4% 的罚款或 2000 万欧元(以较高者为准)。对于不太严重的违规行为,最高可处以全球年营业额 2% 的罚款。不管怎样,如此巨额罚款的威胁已经给各种类型和规模的组织带来了冲击。
在 eeshanaviation.com,我们相信数字隐私是一项基本人权。随着国家资助的大规模监控计划和跨国公司收集和分析大量的个人数据,我们的隐私权受到直接威胁。任何保护隐私权的立法都必须被视为积极的一步。因此,我们全力支持 GDPR,并相信我们行业的每个人都应该这样做。
eeshanaviation.com 制作这份 GDPR 报告的目的是提高透明度并促进全行业的积极变革。
方法论
为了全面了解 VPN 提供商如何应对立法变化,eeshanaviation.com 采用了两阶段的研究方法。首先,我们直接联系领先的提供商,询问他们是否愿意使用我们的第三方合规顾问提出的一系列问题来充分记录其政策和流程。
然后,我们仔细审查了每个主要提供商的隐私政策和通知,将其与法规中规定的要求进行比较。
审核结果
eeshanaviation.com 联系了九家领先的提供商,并要求他们对其 GDPR 流程和政策进行自愿审核。
单击此处查看完整的审核问题
- 您是否安装了数据保护管理系统,以确保并能够证明您的处理符合 GDPR?
- 您能够删除所有不必要的用户信息吗? (地址、邮政编码、邮政编码等)
- 您是否能够删除您使用的任何第三方应用程序中所有不必要的用户信息?
- 处理哪些个人数据? (例如姓名、地址、电话号码等)
- 为什么要处理这些个人数据?它们的用途是什么?
- 您是否能够删除不再使用的每个第 3 方软件中的所有用户数据?
- 您能够摆脱网站上的所有跟踪器软件吗? * 如果没有,您目前正在使用哪些,为什么?
- 用户需要能够下载所有数据。你能做到吗?
- 更正权——如果信息错误或不完整,客户可以要求更改。你有这个选择吗?
- 用户需要能够请求删除其整个帐户及其用户数据。你的用户能做到吗?
- 用户需要有权了解我们业务中可能影响他们及其数据的任何变化。你们有这方面的协议吗?
- 公司的 GDPR 声明需要在以下文件中呈现:
- 最终用户许可协议
- 服务条款
- 隐私政策
- Cookie 政策
你能否确认情况确实如此?
- 贵公司如何对个人数据进行分类?
- 您能确认您有以下信息吗?
- 数据流程图
- 数据保护政策
- 信息安全政策
- 可接受的使用政策
- 保密数据政策
- 密码政策
- 物理安全策略
- 谁有权访问组织内部/组织外部的服务器信息?
- 谁授权此类访问?
- 网络安全政策
- 无线网络和访客访问策略
- 远程工作政策
- 电子邮件政策
- 事件响应政策
- 已签署的合同,表明已阅读并理解上述政策。
- 您目前有数据保护官吗?
- 数据保护官向谁报告?
- 数据保护官有哪些职责?
- 您的组织和数据控制者之间是否签订了书面协议来概述应如何处理个人数据?
- 如何检查个人数据是否存在内部未经授权的访问?有哪些数据审计设施/机制?
- 个人信息如何终止?
- 谁授权终止?由谁执行终止?
- 外部承包商和第三方的参与:
- 您是否聘请第三方(处理者)来执行您的活动?
- 合同中是否有明确的说明,详细说明合同期结束时数据会发生什么情况?
- 根据与数据控制者的合同,您是否负责数据的销毁?
- 与提供粉碎设施/服务的承包商签订了哪些协议?
- 您的组织使用的子处理者是否使用任何其他组织代表他们执行该服务?如果是,请列出该组织以及与这些分包商提供的服务相关的任何书面安排。
- 你们多久进行一次安全审核?
- 您有 GDPR 教材吗?
- 您有团队的教育材料吗?
- 此外,您是否为客户支持团队准备了单独的教育材料,其中包含客户的相关信息?
审核参与者
受邀审核:
| 提供者 | 受邀? |
|---|---|
| PIA | 是的 |
| 网络幽灵 | 是的 |
| ExpressVPN | 是的 |
| 质子 VPN | 是的 |
| 热点盾 | 是的 |
| 隧道熊 | 是的 |
| 私人VPN | 是的 |
| 缓冲的 | 是的 |
| 北方VPN | 是的 |
能够证明合规吗?
| 提供者 | 合规吗? |
|---|---|
| PIA | 是的 |
| 网络幽灵 | 是的 |
| ExpressVPN | 不 |
| 质子 VPN | 不 |
| 热点盾 | 不 |
| 隧道熊 | 是的 |
| 私人VPN | 不 |
| 缓冲的 | 是的 |
| 北方VPN | 不 |
隐私政策分析
GDPR 不仅仅在于合规,还在于向监管机构和数据主体证明合规性。因此,服务条款和隐私政策现在比以往任何时候都更加重要。他们是第一道也是最后一道防线。如果不向客户传达政策,组织就无法满足立法的要求,无论其数据处理政策是否合规。文章。 GDPR 第 13 条规定,数据控制者应提供以下信息:
- 数据控制者的身份和联系方式
- 您的数据保护官的详细信息(如果需要的话)
- 数据处理的目的和法律依据
- 如果处理的法律依据是合法利益,该利益是什么
- 如果法律依据是同意,则有权随时撤回同意
- 个人权利的存在(称为数据主体权利)
- 您将与谁共享个人数据(指定方或接收者类别)
- 您是否计划将数据传输到第三国以及存在哪些保障措施
- 他们将保留个人数据多长时间(或您的保留标准的详细信息)
- 提出投诉的权利
- 是否有法律或合同要求数据主体提供个人数据,如果有,未提供数据的后果
此外,文章。第 12 号规定,这些信息应以“简洁、透明、易懂且易于理解的形式,使用清晰、平实的语言”进行传达。
eeshanaviation.com 以第 12 条和第 13 条为模板,仔细审查了业内排名前 14 的提供商的隐私政策,寻找以下指标:
- 政策中是否明确提及了 GDPR?
- 政策是否规定:
- 谁在收集数据?
- 正在收集什么数据?
- 处理数据的法律依据是什么?
- 这些信息将如何使用?
- 数据将保存多长时间?
- 数据主体有哪些权利?
- 数据主体如何提出投诉?
- 政策容易找到吗?
- 政策容易理解吗?
- 是否有与 GDPR 相矛盾的条款?
隐私政策分析:结果
ExpressVPN
- 隐私政策中是否提及了 GDPR?不
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?不
- 隐私政策是否规定:
- 谁在收集数据?是的
- 正在收集什么数据?是的
- 处理数据的法律依据?不
- 如何使用这些信息?是的
- 数据保存多长时间?不
- 个人有什么权利?不
- 个人如何提出投诉?是的
总分:7/11, 64%
北方VPN
- 隐私政策中是否提及了 GDPR?不
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?不
- 隐私政策是否规定:
- 谁在收集数据?不
- 正在收集什么数据?是的
- 处理数据的法律依据?不
- 如何使用这些信息?不
- 数据保存多长时间?不
- 个人有什么权利?不
- 个人如何提出投诉?是的
总分:5/11,45%
网络幽灵
- 隐私政策中是否提及了 GDPR?不
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?不
- 隐私政策是否规定:
- 谁在收集数据?是的
- 正在收集什么数据?是的
- 处理数据的法律依据?极简
- 如何使用这些信息?是的
- 数据保存多长时间?是的
- 个人有什么权利?是的
- 个人如何提出投诉?是的
总分:9/11,82%
IP消失
- 隐私政策中是否提及了 GDPR?是的
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?是的
- 隐私政策是否规定:
- 谁在收集数据?是的
- 正在收集什么数据?是的
- 处理数据的法律依据?不
- 如何使用这些信息?是的
- 数据保存多长时间?不
- 个人有什么权利?有问题的
- 个人如何提出投诉?是的
总分:7/11, 64%
空中VPN
- 隐私政策中是否提及了 GDPR?是的
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?不
- 隐私政策是否规定:
- 谁在收集数据?是的
- 正在收集什么数据?是的
- 处理数据的法律依据?不
- 如何使用这些信息?是的
- 数据保存多长时间?不
- 个人有什么权利?是的
- 个人如何提出投诉?是的
总分:10/11,90%
私人VPN
- 隐私政策中是否提及了 GDPR?不
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?是的
- 隐私政策是否规定:
- 谁在收集数据?不
- 正在收集哪些数据?是的
- 处理数据的法律依据?不
- 如何使用这些信息?是的
- 数据保存多长时间?不
- 个人有什么权利?不
- 个人如何提出投诉?是的
总分:5/11,45%
缓冲的
- 隐私政策中是否提及了 GDPR?是的
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?不
- 隐私政策是否规定:
- 谁在收集数据?是的
- 正在收集哪些数据?是的
- 处理数据的法律依据?是的
- 如何使用这些信息?是的
- 数据保存多长时间?是的
- 个人有什么权利?是的
- 个人如何提出投诉?是的
总分:11/11,100%
热点盾
- 隐私政策中是否提及了 GDPR?不
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?是的
- 隐私政策是否规定:
- 谁在收集数据?不
- 正在收集什么数据?是的
- 处理数据的法律依据?不
- 如何使用这些信息?是的
- 数据保存多长时间?不
- 个人有什么权利?不
- 个人如何提出投诉?不
总分:4/11,37%
关闭VPN
- 隐私政策中是否提及了 GDPR?不
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?不
- 隐私政策是否规定:
- 谁在收集数据?是的
- 正在收集哪些数据?是的
- 处理数据的法律依据?不
- 如何使用这些信息?是的
- 数据保存多长时间?仅适用于原木
- 个人有什么权利?是的
- 个人如何提出投诉?不
总分:8/11, 73%
隧道熊
- 隐私政策中是否提及了 GDPR?不
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?不
- 隐私政策是否规定:
- 谁在收集数据?是的
- 正在收集哪些数据?是的
- 处理数据的法律依据?是的
- 如何使用这些信息?是的
- 数据保存多长时间?是的
- 个人有什么权利?是的
- 个人如何提出投诉?是的
总分:10/11,90%
私人互联网接入
- 隐私政策中是否提及了 GDPR?是的
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?不
- 隐私政策是否规定:
- 谁在收集数据?是的
- 正在收集哪些数据?是的
- 处理数据的法律依据?是的
- 如何使用这些信息?是的
- 数据保存多长时间?是的
- 个人有什么权利?是的
- 个人如何提出投诉?是的
总分:11/11,100%
质子 VPN
- 隐私政策中是否提及了 GDPR?是的
- 隐私政策容易找到吗?是的
- 隐私政策容易理解吗?是的
- 是否有任何条款与 GDPR 法律相抵触?不
- 隐私政策是否规定:
- 谁在收集数据?是的
- 正在收集哪些数据?是的
- 处理数据的法律依据?不
- 如何使用这些信息?是的
- 数据保存多长时间?是的
- 个人有什么权利?有问题的
- 个人如何提出投诉?是的
总分:9/11,82%
结论:ProPrivacy 分析
尽管我们已经为 GDPR 做好了两年多的准备,但我们的研究表明,VPN 行业在声称遵守新法规之前仍有很长的路要走。有许多杰出的提供商已经实施了确保合规所需的政策和流程。
Private Internet Access、Buffered、Tunnelbear 和 Cyberghost 因积极主动地遵守 GDPR 而值得赞扬。他们愿意完整记录其流程和政策,这清楚地表明他们了解新立法的重要性,并公开选择准确传达这些变化对其客户群意味着什么。
不幸的是,我们的研究表明,许多公司未能采取必要措施来确保合规性。
应该指出的是,我们对隐私政策和通知的分析只是对已公开的隐私政策的分析。仅仅因为提供商没有明确声明政策并不意味着没有制定政策。
也就是说,GDPR 指南明确指出,这些政策必须明确传达给数据主体。因此,无论是否制定了任何特定政策,如果不在网站条款内传达该政策,许多提供商都无法履行其对用户的义务。
这是一个不稳定的情况,许多公司仍在努力确保合规性。我们将与提供商合作并定期更新此页面,以便 eeshanaviation.com 读者获得最新的可用信息。
更新:业界评论
私人互联网接入
GDPR 不仅是保护欧洲公民基本隐私权的重要一步,而且还提高了行业数据保护、安全性和合规性的标准。我们很自豪能为客户提供最高级别的隐私。
隧道熊
GDPR 是 VPN 领域重要的隐私保护举措。它将帮助客户对其提供商的日志声明更有信心。在 TunnelBear,我们的客户可以使用数据主体访问请求来下载、更新和删除其任何个人数据。我们还向所有客户提供了此功能,无论他们身在何处。
质子 VPN
用户同意通过注册我们的服务,即表示他们同意我们的隐私政策和服务条款。我们有单独的复选框来同意隐私政策和服务条款。请务必注意,我们在帐户创建期间仅收集有限数量的数据。我们不会询问姓名、地址和任何其他敏感个人信息。用户有权选择退出我们的邮件列表并删除帐户 - 所有这些都是通过他们的仪表板完成的。我们非常重视 GDPR,因为在线隐私是我们的使命。所有用户都可以删除其帐户以及与其关联的数据。登录后,用户可以轻松访问其帐户管理页面中的“删除”按钮。
知情权
GDPR 第一个重要部分是知情权。该法规的这一部分规定公司和组织必须提前告知您正在处理您的哪些个人数据以及原因。 GDPR 意味着以后不会出现令人讨厌的意外:所有个人数据都必须在您完全预先知情的情况下获取。
个人资料
作为个人,GDPR 为您提供了一个机会,要求了解任何企业、非政府组织 (NGO) 或政府机构(这些被称为处理器和控制器GDPR 立法中)。这被称为访问权。
所以,什么构成个人数据? GDPR 将个人数据分类为允许您“直接或间接识别”的有关您的任何信息。个人数据的示例包括您的姓名、地址、身份证号码、位置数据或 IP 地址等在线标识符。
新规则意味着公司和组织只能“出于指定、明确和合法的目的”持有您的这些个人信息。更重要的是,他们只能在其获取数据的目的直接需要时保存您的数据。无论出于何种次要原因,他们都无法处理它。
这些规则很严格,例如,如果您将简历交给一家公司来申请工作,该公司不能将该简历存档,以防将来出现另一份工作。这是因为这需要出于次要原因存储数据,这是非法的。
化名的个人数据
GDPR 与英国等现行隐私法不同1998 年数据保护法因为它包含个人数据定义参数内的假名数据。如果假名数据在任何情况下都可以用来识别个人身份,那么它就符合个人数据的资格。
特殊类别数据
这是 GDPR 对敏感个人信息的称呼。它是个人数据的高风险子类别。它包括遗传数据和生物识别信息、有关宗教和政治观点、性取向、健康、种族和其他敏感细节的信息。此类数据受到更严格的控制。
访问权
从 5 月 25 日起,公司不应再存储您的任何个人数据,除非您同意的持续流程“有必要”。这就是您的访问权发挥作用的地方。
GDPR 生效后,您可以要求任何组织准确地告诉您他们拥有您的哪些个人数据。公司有 30 天的时间来满足您的要求。
整改权
调用您的访问权后,您将看到一份关于您存档的个人数据的详细说明。更正权允许您要求该公司更新有关您的任何不正确的个人数据。如果不完整,您可以要求更新。您可以口头或书面提出整改请求,并且必须在 30 天内得到处理。
删除权
GDPR 赋予您要求公司或组织删除您的个人数据的权利。 GDPR 的这一部分还规定了“被遗忘权”,确认了个人可以要求 Google 等搜索引擎删除对个人不利的搜索结果的法律依据。
值得注意的是,删除权并不是绝对的,因此在某些情况下,即使您要求删除,公司或组织也能够保留您的数据。
例如,有了被遗忘权,如果能够继续访问搜索结果符合公众的最佳利益,那么搜索结果可能仍然可供公众使用。在这种情况下,过去的信念可能会合理地影响公民现在或将来的决策过程。
然而,根据知情权,无论谁持有您的个人数据,都需要准确解释为什么它拥有继续处理该数据的令人信服的合法权利。
限制处理的权利
除了要求删除数据之外,公民还可以限制对其数据的处理。有时,例如,由于持续的法律纠纷,人们可能希望将某些记录存档。在这些情况下,个人可以要求公司保留这些数据以供将来使用,但同时禁止他们处理这些数据。
可携带权
这使您可以轻松地将个人数据从一个位置移动到另一个位置,或者在一家公司和另一家公司之间移动。这使任何个人都可以完全控制自己的数据,从而可以轻松访问自己的数据,而无需不断提供和复制数据。
反对权
这与删除权和纠正权密切相关。然而,它本身很有用,因为它赋予个人“停止将其数据用于直接营销”的特定权利。
与删除权一样,这项权利也不是绝对的,数据控制者或处理者可能能够证明他们在某些情况下拥有继续处理您的个人数据的合法权利。
与自动化处理和分析相关的权利
最后,GDPR 赋予人们质疑处理其个人数据的自动化系统的使用的权利。消费者必须同意进行自动处理,除非这是“签订或履行合同所必需的”或已“获得适用于控制者的联盟或成员国法律的授权”。
GDPR 允许任何人请求人为干预或质疑自动化系统做出的决策。这确保了任何任意的偏见或成见都不会受到挑战。
个人的 GDPR 权利 - 您应该援引它们吗?
GDPR 是一项出色的隐私立法,极大地增加了个人权利。上述权利允许任何人直接控制公司持有的有关自身的数据。如果您有任何理由质疑您的数据的控制者或处理者,或者对您的数据的处理方式有疑问,您完全有权索取信息。
如果您无法从公司获得所需的数据,则应向英国信息专员办公室和欧盟境内的欧盟委员会提出投诉。这些机构负责执行新立法。