数据隐私规则和条例已经够复杂了，可是欧盟又批准了新的法规：全球数据保护法规（GDPR），自2018年5月25日起生效 。预先警告，违反全球数据保护法规的罚款是巨大的，而且不能用对该法规的无知作为辩护 。任何公司，如果您的业务涉及欧盟任何人的个人身份信息（PII） - 理论上包括每一个物联网（IoT）市场参与者，都需要为全球数据保护法规做好准备。即使您不直接收集终端用户的数据，或者您不打算在欧盟做生意，也需要注意该法规，因为物联网技术的普遍性意味着个人信息可以在您不经意之间跨越国家地缘的边界。

我们正在做的工作，是确保我们的Ayla物联网平台是符合GDPR的。但有些事情也是Ayla的客户需要自行去做的。我们请到了Craig Payne,Ayla Networks安全隐私官 ，来阐述一些在2018 GDPR实施的年限前，您需要知道的东西。本文会由上下两部分组成。

问题：GDPR的目的是什么？

Craig Payne :GDPR的目的是：在当今快速的技术变化中，加强对欧盟所有人的隐私权保护，物联网的隐私权保护，并且简化数据保护的管理。GDPR替换了1995年的欧盟数据保护指令 - 这个指令只提供了指导而不是可执行的规定；各个欧盟成员国也用了不同的方式去执行这个指令。

GDPR的重点有以下几点：

· 加强个人权利，为个人提供更多的对自己信息的控制权

· 加强欧盟内部的隐私和安全法律

· 如果一个实体要向第三方传递个人身份信息，必须要提供对该信息的“充分保护”,至少要像该数据保留在欧盟境内一样强

问题：哪些公司会受新的欧盟数据隐私法规的管辖？

Payne :任何机构，如果收集、传输、保留或处理涉及到欧盟任何人的个人信息 - 其中可能包括姓名、电邮地址、计算机IP地址、照片、社交媒体帖子、医疗信息或财务信息 - 就必须遵守GDPR.该法规不会考虑机构的地理位置，或者个人身份信息是否关系到个人隐私、专业水平或公共生活。

GDPR涵盖了数据的任何“控制者”和“处理者”.Ayla是一个数据处理者。Ayla的客户 - 他们拥有着自己的物联网产品和终端用户产生的数据 - 被认为是数据控制者。

问题：如果企业不遵守GDPR,会发生什么？

Payne :不遵守新的数据隐私法规的后果就是严厉的制裁、巨额的罚款。GDPR规定了两层罚款：

· 高达两千万欧元，或全球年度全入的4%,两者中比较高的数额

· 高达一千万欧元，或全球年度收入的2%,两者中比较高的数额

制裁的严重程度是基于：

· 违规的性质、严重程度和违规的持续时间

· 违规是故意的还是因疏忽而造成的

· 对个人身份信息的责任心和控制程度

· 违规是单个事件还是重复事件

· 受到影响的个人资料的种类

· 个人遭遇损害的程度

· 为了减轻损害而采取的行动

· 由违规产生的财务预期或收益

不管您如何理解细节，主要的理念是：您是不会想要试探GDPR的容忍度的，因为一千万欧元的最低罚款可以使很多企业倒闭。

除了罚款，还得考虑到品牌的名誉 。在商场上建立客户信任是至关重要的，比如物联网制造商需要与客户间建立信任，非常透明地执行行业中的最佳做法，以及遵守数据隐私法规。从另一方面看，不遵守全球数据保护法规可能会破坏这种信任。

本文将继续发布第2章……欢迎关注Ayla Networks官方微信“艾拉物联”,获取最新动态。

如要获知更多信息：

“要寻找对数据隐私问题有经验的法律代表，请访问隐私权专家国际协会（IAPP）的网站

”要阅读有关Ayla物联网平台端到端的安全和数据隐私保护能力，请下载Ayla白皮书：如何减少物联网的安全风险

关于Craig Payne

担任Ayla Networks安全隐私官。

负责维护Ayla的ISO-27001认证、SOC2审计等项目；管理Ayla的信息安全管理体系（ISMS）；定义并发展Ayla的数据隐私项目，帮助客户理解如何使用Ayla的服务，以满足欧盟数据隐私指令和GDPR的要求。在硅谷拥有超过30年的软件开发与开发管理经验。

Ayla Networks艾拉物联

AylaNetworks是全球领先的企业级IoT云平台服务提供商，专注于智能家庭、智能楼宇、消费电子、零售和服务提供商等多领域的物联网解决方案研究，公司成立于2010年，总部位于美国加利福尼亚圣克拉拉，业务服务网点覆盖欧洲、中国台湾、日本等全球多个地区。中国大陆分公司坐落于新兴的中国硅谷“深圳”,公司于2016年6月正式完成安赐资本、三诺集团、赛富亚洲基金、思科、世界银行集团（World BankGroup）下属机构国际金融公司（IFC）、线性资本、日本三井财团、Acorn Pacific、Voyager Capital、SJF Ventures等知名投资机构3900万美元C轮融资。