关于GDPR:你应该知道的那些事儿
GDPR是什么?什么时候施行?应该采取什么措施来遵从?
距离“通用数据保护规范”(GDPR)正式实施,还有不到18个月的时间,但如果要具体实现这些要求,这个时间就不算长了。而且你如果觉得自己没在欧盟范围内,不用遵从GDPR,那你最好还是花点时间看完这篇文章吧。
究其本质,该条例制定的目的,是想借赋予欧盟公民个人信息保护的基本权利,来增加消费者对在线服务和电子商务的信心。GDPR的核心,是对个人数据的收集和之后的存储使用,规定更高的透明度与管控。对GDPR的正面阐释,是公司企业可通过给消费者一种自身数据被合理存储和保护的安全感,来赢得消费者的信任。GDPR不是一个负担,相反,它可被视为在世界第二大贸易集团(欧盟)增加业务的好机会。
尽管GDPR背后的原则前景光明,但该新规定无疑也将给在欧盟做生意或收集欧盟公民数据的任何公司带来负担。如果你觉得该规定仅仅针对位于欧盟的公司,那就大错特错了。
GDPR全球适用
事实上,无论公司总部在哪儿,无论数据存储和处理地点在哪儿,只要与身处欧盟的人做生意,或者监视欧盟公民的行为,就必须遵从GDPR。再进一步解释:如果你收集欧盟公民的数据,你就受到GDPR的管辖。除非你的公司非常严格地排除了欧盟,否则你还是得处理GDPR合规问题。这一宽泛的适用范围,其出发点是好的。要知道,GDPR其实就是《欧盟数据保护指南》的继任者,所以,某种程度上,它将怎样改进现有标准,也是众所瞩目的。
BH咨询公司的布莱恩·霍楠如是说道:
合规更简单,而且理论上开销更少。因为该法律适用整个欧洲,公司企业可以任意挑选喜欢的机构进行报告。
GDPR不仅仅是《欧盟数据保护指南》的范围扩大版,它还是总体上更为严苛的法规,包含更严厉的违规处罚。违规最高罚金可达公司全球总收益的4%或2000万欧元中的高者。说白了,这些后果本就是相当严重的。除了高额罚金,GDPR还加入了以下条款:
引入强制数据泄露通告。遭受安全事件并导致个人身份信息泄露的公司,需要在事件发现后72小时内,将事件报告给他们指定的数据保护机构;
引入具备数据保护法令专业知识的指定数据保护官员。该角色必须是独立的、自治的,并直接向高层管理汇报。
GDPR提出的要求显然不止这些,仅靠这篇文章也解释不完。这里只是想要说服各位读者尽快去了解更多。如果你脑中有这样的想法:“我得买什么产品才能合规?”赶紧扔掉。购买部署一堆安全产品不能让你达到合规的目的。
该规定特意编写得无关技术,且面向未来——数据和数据安全瞬时万变的情况下这一点尤其恰当。不过,出于信息安全合规角度,对公司企业必须做些什么,建立起初始有效的解读,还是可以的。数据安全的关键,在于“足够的措施”这句。数据控制者必须实现“足够的措施”,来确保其处理系统和所掌握信息的机密性和完整性。这包括:
应用关键安全控制来恰当地检测、管理和缓解数据处理环境中的任何漏洞;
根据企业策略配置系统,并维护该配置;
主动识别偏离该策略的系统;
持续监视日志文件,警惕任何潜在数据泄露或漏洞;
维持有效检测、响应和缓解任何安全事件的能力;
以安全的方式使用云服务。
关于这些措施,及其对希望达到并维持合规的公司的影响,布莱恩·霍楠说道:
虽然规则没有明确,我的解读是:GDPR实际上要求公司企业拥有定义好的安全策略。你用来监视数据资产的系统、控制和过程,应该与公认的安全标准和框架相一致,比如ISO/IEC 27001/27002、NIST网络安全框架,或者CIS关机控制。
GDPR设定的标准其实就是业界已经建立的那种,或许这并不令人意外,但这也并不是说实现这些标准就是很简单或者开销少的事。竖起的标志明显指向了这些最佳实践的方向。
对此,问题又转回到公司企业最关心的方面:罚金。很明显,避免数据泄露和实现要求的过程及控制,就是规避罚款的关键。但提出并非所有的数据泄露都能避免的质疑也是很合理的。霍楠在这方面有他自己的箴言:
“对规则的初步阅读揭示:能够在事件发生前展示出恰当的安全措施,可能会减少事件的财务影响。这是你可以直接带到董事会上讨论的安全投资企划。”