GDPR 与内容供应链

GDPR 之旅及其对内容创建、翻译、数字体验和交付的影响

“欧洲的数字未来只能建立在信任的基础上。只有制定健全的数据保护通用标准,人们才能确信他们可以控制自己的个人信息。” Digital Single Market 副总裁 Andrus Ansip,2015 年 12 月

欧盟通用数据保护条例 (GDPR)

欧盟委员会提出了旨在让欧洲“适应数字化时代”的数据保护改革计划,随后建立了通用数据保护条例(GDPR)框架,该法案现已生效。

GDPR 是一部欧盟法律,旨在让个人对自己的个人数据有更多的控制权——个人数据是指与已识别或可识别自然人相关的数据,换句话说,使用该数据本身或在与其他数据结合使用时,可以识别出个人身份。

GDPR 提供了一套规则,规定了欧盟和欧洲经济区内外的组织应如何使用个人数据进行营销或销售商品或服务,提供安全保护、处理和存储个人信息的保证。  该项法律旨在强化和统一欧盟/欧洲经济区内所有居民以及在欧盟/欧洲经济区组织处理全世界任何人的个人数据时的数据隐私。 

尽管 GDPR 合规前景似乎令人生畏,但其实蕴含着真正的机会,能让您与客户和潜在客户建立信任,在您的数据策略中优先考虑到他们,从而让您的业务在新的数字时代蓬勃发展。

了解 GDPR 的复杂之处

在理解的时代,最好能够了解这四个关键的 GDPR 概念,以及个人数据和处理个人数据到底意味着什么:

个人数据

任何与已识别或可识别自然人相关的信息。

处理

对个人数据或一组个人数据执行的任何操作或一组操作。

数据控制方

确定处理个人数据的目的和方式的自然人或法人。

数据处理方

代表控制方处理个人数据的自然人或法人。

应对 GDPR 挑战

为了应对 GDPR 挑战并确保您采取了适当的合规措施,GDPR 第五条明确规定了有关所有个人数据以及您应该如何处理个人数据的六条原则。数据控制方负责遵守这些原则并且应该能够证明对这些原则的遵守,且必须采取适当的措施,在个人提出数据相关请求时加以回应。  然而,数据控制方可以根据 GDPR 规定来限制他们对此类请求的回应程度。

  • 合法、公平并以透明的方式处理数据主体的相关数据。
  • 为指定、明确而且合法的用途收集数据,不以不符合这些用途的方式进一步处理数据。
  • 确保数据用途有着充分、相关的理由并且仅限于必要范围内(“数据最小化”)。
  • 确保数据准确并在必要情况下保持最新。
  • 数据主体个人身份信息的保留期限不超过所处理个人详情具体用途的必要保留期限。
  • 以适当确保个人数据安全的方式处理数据。

隐私始于设计和默认

了解您要处理的个人数据、制定适当的规程并且确保与客户透明沟通,即可成功达成 GDPR 和内容供应链合规的目标。在您的内容之旅中,SDL 将伴您左右,指引您朝着正确的方向前行,支持您采取适当的措施,以遵守 GDPR。

GDPR 在法律上要求数据控制方实施“数据保护始于设计和默认”原则,这意味着在所有项目从数据获取到销毁的整个数据处理生命周期中,需要将个人数据隐私的管理作为一项基本的考虑因素。 

为了在开发软件时符合隐私始于设计原则,我们将匿名化设计融入到捕获数据的流程和系统中,遵守安全软件开发的原则。正是由于我们坚持执行的高标准,当今我们的软件用户包括全球一些非常重视隐私问题的组织,例如情报机构、银行和政府部门,而保护数据隐私是他们数据处理流程必不可缺的一部分。 

在使用 SDL 软件时,您的组织是通过我们软件(在本地或云上)处理的任何个人数据的数据控制方。如果您使用我们的软件即服务 (SaaS) 产品,SDL 将是存储或传输此类个人数据的数据处理方。为实现隐私始于设计原则,我们确保在安全的环境中进行 SaaS 部署,以实现适当的安全保护。

我们对您的承诺:开启 GDPR 内容之旅

SDL 致力于帮助客户遵守 GDPR,我们提供所需的功能,在从创建、翻译到交付的整个内容供应链为客户提供全程指导。  我们提供相关指引,告诉您如何以负责任的方式使用我们软件中的功能,以帮助您遵守 GDPR。

请点击以下主题,深入了解我们的软件如何为您提供支持。

SDL 翻译软件和服务

首先要考虑到我们软件用户的隐私问题。 

根据隐私始于设计原则,我们的翻译软件会尽量减少持有的用户数据量并让用户可以控制我们持有哪些数据,例如,让他们自主选择用户名(本质上是一个假名),在只有该用户名但没有参照别处持有的信息的情况下,无法识别其个人身份。 

有关如何翻译材料中可能存在的个人数据,这种较为复杂的问题处理方法如下。 

如果存在个人数据,最直接、最可靠的方法是应用隐私始于设计原则,具体如下所述:

  1. 在文件准备过程中进行内容假名化:换句话说,就是让项目经理(或同等角色)先用假名化字符串替换源内容文件中的个人数据,再将文件传送给译员、服务提供商或任何其他用户。
  2. 在逆转假名化后删除密钥:在使用假名的已翻译内容最终定稿和批准之后,项目经理可以逆转该过程,使得最终交付文件根据需要包括一些个人数据。然后,项目经理可以安全地删除假名化秘钥。

最后,请注意是由数据控制方(即让我们的软件处理内容或让译员接触到内容的个人)对内容中的数据和 GDPR 合规负责。   这已经超出了我们的软件或数据处理方的监管能力之外,但我们可以帮助您遵守 GDPR,只需采取几个简单的做法。 


如何进行内容假名化?

目前还没有能够自动识别个人数据进行假名化、无需人工干预且准确度达到 100% 的方法,但还是能采取些帮助措施。我们开发了一款应用程序(可从 SDL AppStore 免费下载),您可以利用该应用程序: 

  • 使用正则表达式 (regex) 对源内容进行复杂的搜索,这可能表明个人数据的存在。 
  • 用随机令牌替换特定的标识符。 
  • 随后对目标文件运行应用程序逆转假名化。 

要使用该应用程序,可能需要首先导出文件并转换为 XLIFF 格式(取决于您用于准备待翻译文件的软件)。为保护通过 SDL 软件处理的个人数据,以及您的知识产权和其他敏感信息,您需要采取多层安全保护和控制措施。 

如需评估您的翻译供应链是否遵守 GDPR,请参加 SDL 评估。该评估旨在通过确定可在翻译和本地化流程中实施的技术与措施,来协助组织简化 GDPR 合规工作。


机器翻译和个人数据

SDL 的软件即服务机器翻译 (MT) 产品不会永久存储客户提交翻译的内容。内容在这些服务上驻留的时间仅限于提供翻译所需的时间。 

如果您购买了 SDL 机器翻译并且采用您的已翻译内容来训练语言对,请确保在训练内容中没有个人数据。您可能需要对训练数据进行“假名化”,以确保不包含个人数据。

SDL Tridion DX(SDL Tridion Sites 和 SDL Tridion Docs)和隐私始于设计

SDL Tridion Sites 或 SDL Tridion Docs(皆属于 SDL Tridion DX 套件)的客户应审查他们的 GDPR 合规执行情况,确保采用最佳的隐私、安全和加密实践。就文档和内容而言,您的网站应包括最新的隐私声明,同时告知访客何时会收集个人数据并在必要时获得明确许可。此外,还请考虑网站上的互动情况,让网站访客能够:


  • 通过明确的选择加入或注册流程同意处理个人数据。
  • 通过自助服务偏好中心管理个人偏好。
  • 提供取消订阅、撤销、同意数据处理或以其他方式反对数据处理的能力。

添加免责声明有助于为访客设定整个网站的基调和预期,而如果您准备构建一个利用新技术的新网站,会影响到访客的隐私或要监督个人数据相关的实际活动,请确保完成数据保护影响评估,以帮助您采取适当的隐私措施。此外还需要透明沟通安全措施、行为准则和证书,以及通过安全备份和对主要相关方进行隐私培训,最大程度降低风险。

具体就 SDL Tridion Sites 而言,在处理个人数据时,您依然可以使用所有的功能。但是,应该更加谨慎地处理与访客情境、体验优化或合理化相关的功能。其中包括:

  • 环境数据框架
  • Context Cartridge
  • Audience Manager
  • CRM 加速器和连接器
  • 由用户生成的内容
  • BluePrinting
  • 情境化模板
  • 内容交付 API
  • 体验优化

如需详细了解如何以符合 GDPR 的方式使用这些功能,请观看我们的网络研讨会或联系您的本地 Tridion 支持人员。   您还可以点击此处阅读我们的社区博客系列,详细了解 GDPR 和 SDL Tridion DX。

确保数据保护安全

确保基础架构安全 

SDL 提供适当的安全措施,以确保数据的机密性、完整性和安全性。我们采用了最为严格的安全流程,确保您的数据安全无虞。

如果您是在内部部署 SDL 软件,则需要负责基础架构的安全性。您的 IT 部门应确保对托管 SDL 软件的服务器和计算机加以保护,足以应对相关风险(根据数据控制方的评估)。 

对于由 SDL 托管的(基于云的)软件和服务,SDL 是数据处理方,并致力于实现最高标准的基础架构安全。所有 SDL 管理产品都部署在根据 ISO27001、ISO9001、ISO27018 等标准维护合规基础架构和服务的云服务提供商处;所有 SDL 网站的管理方式都符合 ISO 27002 最佳实践准则,其中一些通过了 ISO 27001 认证,而且我们还在积极争取 ISO 27001 认证。 

我们提供高度灵活性以满足客户的安全要求。欢迎联系我们,讨论您在安全方面的需求。除了我们与您达成一致的基准安全控制措施外,我们还通过托管安全服务提供可选的高级安全功能。

如果发生数据泄露问题 

对于我们基于云的软件,如果您想让我们主动检测并告知您 GDPR 要求通知的数据泄露问题,请与我们咨询 SDL 的安全事件管理流程,该流程是按照 ISO 27035 标准设计的。 

安全的软件开发 

我们的软件开发流程始终优先考虑安全性,避免亡羊补牢。我们从一开始就让安全工程师和架构师参与进来,并遵循一个涵盖基础架构、应用程序和数据库层的计划,其中包括特定的风险评估、安全控制开发和安全测试,确保在软件中加入适当而可靠的安全性。

如何看待云环境

SDL 的云运营团队与我们的开发团队和架构师密切合作,秉持隐私始于设计原则,部署缜密考虑到数据隐私和数据安全的解决方案。对于由 SDL 托管的(基于云的)软件和服务,SDL 是数据处理方,致力于实现最高标准的基础架构安全。虽然所有 SDL 托管产品都部署在维护 SOC(1、2 和 3)和 ISO(27001、9001、27018 等)合规基础架构和服务的云服务提供商处,但所有 SDL 站点的管理都符合 ISO-27002 最佳实践,部分目前已获得 ISO-27001 认证。SDL 正积极扩展其 ISO-27001 认证。

为了在您的云数据隐私和安全方面掌握主动权,SDL 建议: 

  • 建立 ISO 认证;掌控内容生命周期的每一个阶段,保护数据、提供审计跟踪并制定出现安全事件时的响应流程。 
  • 建立适当的配置管理和数据可追溯性:对于您监管的每个服务器,全面掌握该服务器的相关客户/数据。 
  • 制定全面的安全政策、工具集和路线图:
        - 最少权限用户访问
        - 全面的身份和访问管理 (IAM) 政策
        - 适当时采用多因素和多级别身份验证
        - 强密码政策 - 定期审计所有访问日志和不活跃帐户
        - 定期与数据隐私官和安全委员会审查政策和工具,以定义持续的路线图 
  • 适用时建立入侵检测/预防。 
  • 尽可能确保数据在传输和静态时加密。 
  • 所有相关云员工应参加数据隐私和保护方面的强制性培训。 
  • 确保所有数据中心和托管提供商拥有所有相关认证并提供所有必要的安全功能。 
  • 了解并阐明您的数据保留政策,并提供控制以管理因备份存储的数据。
        - 制定安全而完善的删除程序 
  • 确保能够跟踪、冻结、下载、修改和/或删除活跃数据。
网络研讨会和演示文稿
信息图
博客

SDL 在我们所做的一切中都优先考虑到数据隐私和 GDPR

作为数据体验的实现者,打造出色客户旅程的倡导者,SDL 在我们所做的一切中都优先考虑到数据隐私和 GDPR,确保我们能够:

  • 公平合法地处理个人数据
  • 安全存储数据
  • 报告任何数据泄露
  • 只在必要时间范围内保留信息
  • 保留数据访问者的记录
  • 在需要时提供数据