Schrems II：识别 GDPR 中的漏洞

满足合规性要求的建议

Schrems II 裁决强调，在个人数据和敏感数据与欧盟和其他非欧盟国家之间传输时，必须确保这些数据受到 GDPR 的保护。根据该裁决，欧洲数据保护委员会 (EDPB) 建议制定一项六步计划，以根据欧盟数据隐私法规持续评估和保护全球数据流。

步骤 1：了解您的数据传输

第一步是确保您拥有与欧盟以外其他国家/地区的所有数据传输记录，记录处理器和子处理器的序列。您必须验证您传输的数据是否充分、相关且仅限于在第三国处理所需的数据。

步骤 2：确定您所依赖的传输工具

第二步是从 GDPR 第五章列出的工具中确定您所依赖的数据传输工具，并对您要向其传输数据的部分或全部第三国做出决定，确保它们提供足够的个人数据保护级别。

步骤 3：评估转移工具是否足以满足 GDPR（第 46 条）的要求

传输工具必须确保欧盟国家/地区内 GDPR 所保证的保护水平与欧盟以外的第三国一样好。您的评估应考虑参与数据传输的所有参与者（例如控制者、处理者和子处理者），这些参与者在第三国处理数据。

步骤 4：采取补充措施

如果步骤 3 中的评估表明传输工具无效，那么您将需要考虑补充措施，这些措施添加到保障措施中后，可以确保在外部数据传输中实施与欧盟内保证的相同级别的保障措施。

步骤 5：如果您已确定补充措施，则程序步骤

如果数据传输工具使用的主要措施不足以保护数据，您可能必须采取这些补充措施。

步骤 6：以适当的时间间隔重新评估

您必须持续进行监控，并在适当的情况下与您已将数据转移到的第三国的数据进口商合作，建立足够的机制，如果数据进口商违反合同，则立即暂停数据传输。

合规性遵守方法

Thales帮助组织保持符合 GDPR 规定，并遵守欧洲数据保护委员会 (EDPB) 的建议，采用六步计划采用 Schrems II 裁决来持续评估和保护全球数据流。

CipherTrust 数据安全平台将数据发现、分类、数据保护和前所未有的精细访问控制与集中密钥管理统一起来，一切尽在您的掌控之中 - 全部集中在一个平台上。它使组织能够部署自带加密 (BYOE) 和令牌化策略，以保护欧盟（数据出口国）和非欧盟国家（数据处理国）的静态敏感数据。

• 发现：在将数据传输出欧盟之前，数据出口商必须能够发现敏感数据记录（无论它们位于何处）并根据 GDPR 合规性要求对其进行分类。CipherTrust数据发现和分类使组织能够完全了解本地和云中的敏感数据，然后应用 GDPR 概述的适当数据保护措施。

• 保护：一旦数据出口商知道敏感数据的所在位置，他们就可以使用CipherTrust 透明加密和CipherTrust Tokenization提供的加密和令牌化解决方案来保护数据，然后再将其转移到其他非欧盟国家的下游数据进口商，并在这些国家提供相同级别的数据保护。

• 控制：包括 GDPR 在内的每项数据安全法规都要求组织控制数据访问、集中密钥管理服务并监控对数据和加密密钥的授权和未授权访问。CipherTrust Manager和CipherTrust Cloud Key Manager使欧盟的数据出口商和进口商能够在本地和多云环境中保持对密钥和安全策略的控制。

作为Thales的合作伙伴，揽阁信息与您一同解决合规性要求的各类问题，欢迎联系揽阁信息获取更多信息。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 2026年密钥安全的新挑战和应对
• 泰国：在金融服务业合规方面应对前所未有的数字化增长
• 哪些国家和地区的合规性可以使用Luna HSM进行满足？
• 2025年的全球合规趋势
• Thales Luna HSM v7.8.5 获得 eIDAS合规通用标准 EAL4+ 认证
• 遵守澳大利亚 SOCI 法案 - 合规性满足