你在飞机上对小桌板做过什么、睡相如何、看了多久的电影，可能都被航空公司一一记录了下来。

” 近日，外媒就国泰航空于2019年7月底发布的最新隐私政策展开热议（CNN报道），该政策显示，国泰航空正在通过飞机上的摄像头收集乘客图像，监控他们对机上娱乐系统的使用情况，以及如何在飞行中消磨时间。在其隐私政策中，数据收集将用于改善乘客的飞行体验，且出于营销目的，可以与第三方合作伙伴共享数据。这不是国泰航空第一次陷入相关争议，在去年10月，其也曾爆出可能影响约900万乘客的数据泄露事件。

” 上个月，英国航空因50万客户资料外泄事件，被英国资讯专员办公室开出1.83亿英镑（约合人民币15.8亿元）罚款，若判决正式生效，将创英国境内因个人资料外泄的史上最高罚款纪录。调查认为，英国航空的个资系统缺乏严谨的安全防护，包含顾客登入资讯、信用卡支付资讯、顾客机票资讯等都不够安全。（上观报道）

自从2018年5月25日，由欧盟起草实施的《通用数据保护法案》（General Data Protection Regulation，GDPR）正式生效并强制执行，企业的数据处理方式和隐私保护机制受到了空前严格的审视，大额罚单层出不穷。

GDPR是否适用于中国企业？

答案是肯定的。GDPR是针对欧盟公民个人隐私数据的保护法案，但执行范围并不限于欧盟境内。即使是中国企业，且在欧盟没有任何正式机构，只要在用户数据处理方面涉及：1、向欧盟的数据主体提供商品或服务，无论是否需要付款；2、监控欧盟自然人的行为动作，该公司就受到GDPR的制约。换言之，GDPR对全球企业在IT合规方面作出了”史上最严”的约束。

总体来说，GDPR加强了数据主体的权利，用户具有知情服务权，数据的修改、移动和删除权等。企业需要从技术和流程上对数据持续进行保护，在设计和出厂设置中就保护用户的个人隐私。国内的《网络安全法》也有针对网络信息安全的规定。例如其第四十一条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。GDPR则更进一步明确：必须以清晰的方式询问用户，而非类似默认勾选的同意方式。

在国内外数据安全法规日益严苛的背景下，越来越多的中国企业开始重视对企业IT合规制度的完善。尤其随着”出海”业务、跨境业务需求的增长，企业更需要避免因违规而导致的巨额罚款、信誉受损、影响上市或股价暴跌。

TÜV莱茵 –企业信息安全与合规专家

作为全球知名的第三方检测、检验和认证机构，TÜV莱茵在其近150年的历史中，与时俱进地保护人类免受工业、科技和社会发展所带来的负面影响。早在1999年，TÜV莱茵就组建了信息安全团队，经过20年的发展，目前在全球已拥有超过600名专家，能够为各行各业提供专业而全面的信息安全和数字化服务解决方案。成功服务包括沃达丰、Salesforce、德国中央合作银行、博世、50Hertz、PlusCard、朗盛等知名客户。

服务场景包括但不限于：

渗透测试

采用先进的技术手段，通过模拟黑客攻击来发现物联网产品（智能摄像头、智能电视、手机APP等）、Web网站和云架构（公有云、私有云、混合云）存在的安全漏洞，帮助企业改善产品安全指数并提高防御能力。

数据隐私保护业务–GDPR合规

通过对法案的准确认知与技术手段，帮助企业建立物联网云平台的信息安全与隐私保护体系、进行大数据分析平台的GDPR差异分析、针对GDPR法案提供外部数据保护官（DPO）服务等。

汽车行业TISAX认证

是基于ISO27001管理体系，实现汽车行业信息安全的相互认可，并提供通用的评估和交换机制。TÜV莱茵可提供相关咨询与认证服务。

相关业务咨询与认证，敬请联系：

陈文卿 Lexie Chen

电话：0755-82681123

邮箱：lexie.chen@tuv.com

扩展阅读：

” 除了GDPR，这些网络安全趋势也将对你的业务产生重大影响！（白皮书下载）