介紹
2018 年 5 月 25 日,隨著 GDPR 在整個歐洲集團的強制執行,數字隱私鬥爭中具有重要意義。新的歐盟法規取代了現有的數據保護指令,該指令是在互聯網廣泛採用之前製定的,並且在保護歐洲公民的海量在線數據方面幾乎沒有採取任何措施。
作為一項指令,之前的框架是靈活的,並且可以接受區域解釋。與此形成鮮明對比的是,GDPR規定並提出了一系列明確的要求,以確保個人數據的保護。被發現不合規的公司將面臨巨額罰款的風險。對於最嚴重的違規行為,最高可處以全球年營業額 4% 的罰款或 2000 萬歐元(以較高者為準)。對於不太嚴重的違規行為,最高可處以全球年營業額 2% 的罰款。不管怎樣,如此巨額罰款的威脅已經給各種類型和規模的組織帶來了衝擊。
在 eeshanaviation.com,我們相信數字隱私是一項基本人權。隨著國家資助的大規模監控計劃和跨國公司收集和分析大量的個人數據,我們的隱私權受到直接威脅。任何保護隱私權的立法都必須被視為積極的一步。因此,我們全力支持 GDPR,並相信我們行業的每個人都應該這樣做。
eeshanaviation.com 製作這份 GDPR 報告的目的是提高透明度並促進全行業的積極變革。
方法論
為了全面了解 VPN 提供商如何應對立法變化,eeshanaviation.com 採用了兩階段的研究方法。首先,我們直接聯繫領先的提供商,詢問他們是否願意使用我們的第三方合規顧問提出的一系列問題來充分記錄其政策和流程。
然後,我們仔細審查了每個主要提供商的隱私政策和通知,將其與法規中規定的要求進行比較。
審核結果
eeshanaviation.com 聯繫了九家領先的提供商,並要求他們對其 GDPR 流程和政策進行自願審核。
單擊此處查看完整的審核問題
- 您是否安裝了數據保護管理系統,以確保並能夠證明您的處理符合 GDPR?
- 您能夠刪除所有不必要的用戶信息嗎? (地址、郵政編碼、郵政編碼等)
- 您是否能夠刪除您使用的任何第三方應用程序中所有不必要的用戶信息?
- 處理哪些個人數據? (例如姓名、地址、電話號碼等)
- 為什麼要處理這些個人數據?它們的用途是什麼?
- 您是否能夠刪除不再使用的每個第 3 方軟件中的所有用戶數據?
- 您能夠擺脫網站上的所有跟踪器軟件嗎? * 如果沒有,您目前正在使用哪些,為什麼?
- 用戶需要能夠下載所有數據。你能做到嗎?
- 更正權——如果信息錯誤或不完整,客戶可以要求更改。你有這個選擇嗎?
- 用戶需要能夠請求刪除其整個帳戶及其用戶數據。你的用戶能做到嗎?
- 用戶需要有權了解我們業務中可能影響他們及其數據的任何變化。你們有這方面的協議嗎?
- 公司的 GDPR 聲明需要在以下文件中呈現:
- 最終用戶許可協議
- 服務條款
- 隱私政策
- Cookie 政策
你能否確認情況確實如此?
- 貴公司如何對個人數據進行分類?
- 您能確認您有以下信息嗎?
- 數據流程圖
- 數據保護政策
- 信息安全政策
- 可接受的使用政策
- 保密數據政策
- 密碼政策
- 物理安全策略
- 誰有權訪問組織內部/組織外部的服務器信息?
- 誰授權此類訪問?
- 網絡安全政策
- 無線網絡和訪客訪問策略
- 遠程工作政策
- 電子郵件政策
- 事件響應政策
- 已簽署的合同,表明已閱讀並理解上述政策。
- 您目前有數據保護官嗎?
- 數據保護官向誰報告?
- 數據保護官有哪些職責?
- 您的組織和數據控制者之間是否簽訂了書面協議來概述應如何處理個人數據?
- 如何檢查個人數據是否存在內部未經授權的訪問?有哪些數據審計設施/機制?
- 個人信息如何終止?
- 誰授權終止?由誰執行終止?
- 外部承包商和第三方的參與:
- 您是否聘請第三方(處理者)來執行您的活動?
- 合同中是否有明確的說明,詳細說明合同期結束時數據會發生什麼情況?
- 根據與數據控制者的合同,您是否負責數據的銷毀?
- 與提供粉碎設施/服務的承包商簽訂了哪些協議?
- 您的組織使用的子處理者是否使用任何其他組織代表他們執行該服務?如果是,請列出該組織以及與這些分包商提供的服務相關的任何書面安排。
- 你們多久進行一次安全審核?
- 您有 GDPR 教材嗎?
- 您有團隊的教育材料嗎?
- 此外,您是否為客戶支持團隊準備了單獨的教育材料,其中包含客戶的相關信息?
審核參與者
受邀審核:
| 提供者 | 受邀? |
|---|---|
| PIA | 是的 |
| 網絡幽靈 | 是的 |
| ExpressVPN | 是的 |
| 質子 VPN | 是的 |
| 熱點盾 | 是的 |
| 隧道熊 | 是的 |
| 私人VPN | 是的 |
| 緩衝的 | 是的 |
| 北VPN | 是的 |
能夠證明合規嗎?
| 提供者 | 合規嗎? |
|---|---|
| PIA | 是的 |
| 網絡幽靈 | 是的 |
| ExpressVPN | 不 |
| 質子 VPN | 不 |
| 熱點盾 | 不 |
| 隧道熊 | 是的 |
| 私人VPN | 不 |
| 緩衝的 | 是的 |
| 北VPN | 不 |
隱私政策分析
GDPR 不僅僅在於合規,還在於向監管機構和數據主體證明合規性。因此,服務條款和隱私政策現在比以往任何時候都更加重要。他們是第一道也是最後一道防線。如果不向客戶傳達政策,組織就無法滿足立法的要求,無論其數據處理政策是否合規。文章。 GDPR 第 13 條規定,數據控制者應提供以下信息:
- 數據控制者的身份和聯繫方式
- 您的數據保護官的詳細信息(如果需要的話)
- 數據處理的目的和法律依據
- 如果處理的法律依據是合法利益,該利益是什麼
- 如果法律依據是同意,則有權隨時撤回同意
- 個人權利的存在(稱為數據主體權利)
- 您將與誰共享個人數據(指定方或接收者類別)
- 您是否計劃將數據傳輸到第三國以及存在哪些保障措施
- 他們將保留個人數據多長時間(或您的保留標準的詳細信息)
- 提出投訴的權利
- 是否有法律或合同要求數據主體提供個人數據,如果有,未提供數據的後果
此外,文章。第 12 號規定,這些信息應以“簡潔、透明、易懂且易於理解的形式,使用清晰、平實的語言”進行傳達。
eeshanaviation.com 以第 12 條和第 13 條為模板,仔細審查了業內排名前 14 的提供商的隱私政策,尋找以下指標:
- 政策中是否明確提及了 GDPR?
- 政策是否規定:
- 誰在收集數據?
- 正在收集什麼數據?
- 處理數據的法律依據是什麼?
- 這些信息將如何使用?
- 數據將保存多長時間?
- 數據主體有哪些權利?
- 數據主體如何提出投訴?
- 政策容易找到嗎?
- 政策容易理解嗎?
- 是否有與 GDPR 相矛盾的條款?
隱私政策分析:結果
ExpressVPN
- 隱私政策中是否提及了 GDPR?不
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?不
- 隱私政策是否規定:
- 誰在收集數據?是的
- 正在收集什麼數據?是的
- 處理數據的法律依據?不
- 如何使用這些信息?是的
- 數據保存多長時間?不
- 個人有什麼權利?不
- 個人如何提出投訴?是的
總分:7/11, 64%
北VPN
- 隱私政策中是否提及了 GDPR?不
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?不
- 隱私政策是否規定:
- 誰在收集數據?不
- 正在收集什麼數據?是的
- 處理數據的法律依據?不
- 如何使用這些信息?不
- 數據保存多長時間?不
- 個人有什麼權利?不
- 個人如何提出投訴?是的
總分:5/11,45%
網絡幽靈
- 隱私政策中是否提及了 GDPR?不
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?不
- 隱私政策是否規定:
- 誰在收集數據?是的
- 正在收集什麼數據?是的
- 處理數據的法律依據?極簡
- 如何使用這些信息?是的
- 數據保存多長時間?是的
- 個人有什麼權利?是的
- 個人如何提出投訴?是的
總分:9/11,82%
IP消失
- 隱私政策中是否提及了 GDPR?是的
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?是的
- 隱私政策是否規定:
- 誰在收集數據?是的
- 正在收集什麼數據?是的
- 處理數據的法律依據?不
- 如何使用這些信息?是的
- 數據保存多長時間?不
- 個人有什麼權利?有問題的
- 個人如何提出投訴?是的
總分:7/11, 64%
空中VPN
- 隱私政策中是否提及了 GDPR?是的
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?不
- 隱私政策是否規定:
- 誰在收集數據?是的
- 正在收集什麼數據?是的
- 處理數據的法律依據?不
- 如何使用這些信息?是的
- 數據保存多長時間?不
- 個人有什麼權利?是的
- 個人如何提出投訴?是的
總分:10/11,90%
私人VPN
- 隱私政策中是否提及了 GDPR?不
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?是的
- 隱私政策是否規定:
- 誰在收集數據?不
- 正在收集什麼數據?是的
- 處理數據的法律依據?不
- 如何使用這些信息?是的
- 數據保存多長時間?不
- 個人有什麼權利?不
- 個人如何提出投訴?是的
總分:5/11,45%
緩衝的
- 隱私政策中是否提及了 GDPR?是的
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?不
- 隱私政策是否規定:
- 誰在收集數據?是的
- 正在收集什麼數據?是的
- 處理數據的法律依據?是的
- 如何使用這些信息?是的
- 數據保存多長時間?是的
- 個人有什麼權利?是的
- 個人如何提出投訴?是的
總分:11/11,100%
熱點盾
- 隱私政策中是否提及了 GDPR?不
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?是的
- 隱私政策是否規定:
- 誰在收集數據?不
- 正在收集什麼數據?是的
- 處理數據的法律依據?不
- 如何使用這些信息?是的
- 數據保存多長時間?不
- 個人有什麼權利?不
- 個人如何提出投訴?不
總分:4/11,37%
關閉VPN
- 隱私政策中是否提及了 GDPR?不
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?不
- 隱私政策是否規定:
- 誰在收集數據?是的
- 正在收集什麼數據?是的
- 處理數據的法律依據?不
- 如何使用這些信息?是的
- 數據保存多長時間?僅適用於原木
- 個人有什麼權利?是的
- 個人如何提出投訴?不
總分:8/11, 73%
隧道熊
- 隱私政策中是否提及了 GDPR?不
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?不
- 隱私政策是否規定:
- 誰在收集數據?是的
- 正在收集什麼數據?是的
- 處理數據的法律依據?是的
- 如何使用這些信息?是的
- 數據保存多長時間?是的
- 個人有什麼權利?是的
- 個人如何提出投訴?是的
總分:10/11,90%
私人互聯網接入
- 隱私政策中是否提及了 GDPR?是的
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?不
- 隱私政策是否規定:
- 誰在收集數據?是的
- 正在收集什麼數據?是的
- 處理數據的法律依據?是的
- 如何使用這些信息?是的
- 數據保存多長時間?是的
- 個人有什麼權利?是的
- 個人如何提出投訴?是的
總分:11/11,100%
質子 VPN
- 隱私政策中是否提及了 GDPR?是的
- 隱私政策容易找到嗎?是的
- 隱私政策容易理解嗎?是的
- 是否有任何條款與 GDPR 法律相抵觸?不
- 隱私政策是否規定:
- 誰在收集數據?是的
- 正在收集什麼數據?是的
- 處理數據的法律依據?不
- 如何使用這些信息?是的
- 數據保存多長時間?是的
- 個人有什麼權利?有問題的
- 個人如何提出投訴?是的
總分:9/11,82%
結論:ProPrivacy 分析
儘管我們已經為 GDPR 做好了兩年多的準備,但我們的研究表明,VPN 行業在聲稱遵守新法規之前仍有很長的路要走。有許多傑出的提供商已經實施了確保合規所需的政策和流程。
Private Internet Access、Buffered、Tunnelbear 和 Cyberghost 因積極主動地遵守 GDPR 而值得讚揚。他們願意完整記錄其流程和政策,這清楚地表明他們了解新立法的重要性,並公開選擇準確傳達這些變化對其客戶群意味著什麼。
不幸的是,我們的研究表明,許多公司未能採取必要措施來確保合規性。
應該指出的是,我們對隱私政策和通知的分析只是對已公開的隱私政策的分析。僅僅因為提供商沒有明確聲明政策並不意味著沒有製定政策。
也就是說,GDPR 指南明確指出,這些政策必須明確傳達給數據主體。因此,無論是否制定了任何特定政策,如果不在網站條款內傳達該政策,許多提供商都無法履行其對用戶的義務。
這是一個不穩定的情況,許多公司仍在努力確保合規性。我們將與提供商合作並定期更新此頁面,以便 eeshanaviation.com 讀者獲得最新的可用信息。
更新:業界評論
私人互聯網接入
GDPR 不僅是保護歐洲公民基本隱私權的重要一步,而且還提高了行業數據保護、安全性和合規性的標準。我們很自豪能為客戶提供最高級別的隱私。
隧道熊
GDPR 是 VPN 領域重要的隱私保護舉措。它將幫助客戶對其提供商的日誌聲明更有信心。在 TunnelBear,我們的客戶可以使用數據主體訪問請求來下載、更新和刪除其任何個人數據。我們還向所有客戶提供了此功能,無論他們身在何處。
質子 VPN
用戶同意通過註冊我們的服務,即表示他們同意我們的隱私政策和服務條款。我們有單獨的複選框來同意隱私政策和服務條款。請務必注意,我們在帳戶創建期間僅收集有限數量的數據。我們不會詢問姓名、地址和任何其他敏感個人信息。用戶有權選擇退出我們的郵件列表並刪除帳戶 - 所有這些都是通過他們的儀表板完成的。我們非常重視 GDPR,因為在線隱私是我們的使命。所有用戶都可以刪除其帳戶以及與其關聯的數據。登錄後,用戶可以輕鬆訪問其帳戶管理頁面中的“刪除”按鈕。
知情權
GDPR 第一個重要部分是知情權。該法規的這一部分規定公司和組織必須提前告知您正在處理您的哪些個人數據以及原因。 GDPR 意味著以後不會出現令人討厭的意外:所有個人數據都必須在您完全預先知情的情況下獲取。
個人資料
作為個人,GDPR 為您提供了一個機會,要求了解任何企業、非政府組織 (NGO) 或政府機構(這些被稱為處理器和控制器GDPR 立法中)。這被稱為訪問權。
所以,什麼構成個人數據? GDPR 將個人數據分類為允許您“直接或間接識別”的有關您的任何信息。個人數據的示例包括您的姓名、地址、身份證號碼、位置數據或 IP 地址等在線標識符。
新規則意味著公司和組織只能“出於指定、明確和合法的目的”持有您的這些個人信息。更重要的是,他們只能在其獲取數據的目的直接需要時保存您的數據。無論出於何種次要原因,他們都無法處理它。
這些規則很嚴格,例如,如果您將簡歷交給一家公司來申請工作,該公司不能將該簡歷存檔,以防將來出現另一份工作。這是因為這需要出於次要原因存儲數據,這是非法的。
化名的個人數據
GDPR 與英國等現行隱私法不同1998 年數據保護法因為它包含個人數據定義參數範圍內的假名數據。如果假名數據在任何情況下都可以用來識別個人身份,那麼它就符合個人數據的資格。
特殊類別數據
這是 GDPR 對敏感個人信息的稱呼。它是個人數據的高風險子類別。它包括遺傳數據和生物識別信息、有關宗教和政治觀點、性取向、健康、種族和其他敏感細節的信息。此類數據受到更嚴格的控制。
訪問權
從 5 月 25 日起,公司不應再存儲您的任何個人數據,除非您同意的持續流程“有必要”。這就是您的訪問權發揮作用的地方。
GDPR 生效後,您可以要求任何組織準確地告訴您他們擁有您的哪些個人數據。公司有 30 天的時間來滿足您的要求。
整改權
調用您的訪問權後,您將看到一份關於您存檔的個人數據的詳細說明。更正權允許您要求該公司更新有關您的任何不正確的個人數據。如果不完整,您可以要求更新。您可以口頭或書面提出整改請求,並且必須在 30 天內得到處理。
刪除權
GDPR 賦予您要求公司或組織刪除您的個人數據的權利。 GDPR 的這一部分還規定了“被遺忘權”,確認了個人可以要求 Google 等搜索引擎刪除對個人不利的搜索結果的法律依據。
值得注意的是,刪除權並不是絕對的,因此在某些情況下,即使您要求刪除,公司或組織也能夠保留您的數據。
例如,有了被遺忘權,如果能夠繼續訪問搜索結果符合公眾的最佳利益,那麼搜索結果可能仍然可供公眾使用。在這種情況下,過去的信念可能會合理地影響公民現在或將來的決策過程。
然而,根據知情權,無論誰持有您的個人數據,都需要準確解釋為什麼它擁有繼續處理該數據的令人信服的合法權利。
限制處理的權利
除了要求刪除數據之外,公民還可以限制對其數據的處理。有時,例如,由於持續的法律糾紛,人們可能希望將某些記錄存檔。在這些情況下,個人可以要求公司保留這些數據以供將來使用,但同時禁止他們處理這些數據。
可攜帶權
這使您可以輕鬆地將個人數據從一個位置移動到另一個位置,或者在一家公司和另一家公司之間移動。這使任何個人都可以完全控制自己的數據,從而可以輕鬆訪問自己的數據,而無需不斷提供和復制數據。
反對權
這與刪除權和糾正權密切相關。然而,它本身很有用,因為它賦予個人“停止將其數據用於直接營銷”的特定權利。
與刪除權一樣,這項權利也不是絕對的,數據控制者或處理者可能能夠證明他們在某些情況下擁有繼續處理您的個人數據的合法權利。
與自動化處理和分析相關的權利
最後,GDPR 賦予人們質疑處理其個人數據的自動化系統的使用的權利。消費者必須同意進行自動處理,除非這是“簽訂或履行合同所必需的”或已“獲得適用於控制者的聯盟或成員國法律的授權”。
GDPR 允許任何人請求人為乾預或質疑自動化系統做出的決策。這確保了任何任意的偏見或成見都不會受到挑戰。
個人的 GDPR 權利 - 您應該援引它們嗎?
GDPR 是一項出色的隱私立法,極大地增加了個人權利。上述權利允許任何人直接控制公司持有的有關自身的數據。如果您有任何理由質疑您的數據的控制者或處理者,或者對您的數據的處理方式有疑問,您完全有權索取信息。
如果您無法從公司獲得所需的數據,則應向英國信息專員辦公室和歐盟境內的歐盟委員會提出投訴。這些機構負責執行新立法。