查看原文
其他

至今为止GDPR《通用数据保护规范》解释的最清楚的文章

Jasmine 安全牛 2018-12-18

所有收集欧盟(EU)国家公民数据的企业,将必须在明年正式执行有关用户数据保护的严格新规——《通用数据保护规范》(GDPR)。GDPR的目标是保护欧盟公民免受隐私和数据泄露的影响,同时重塑欧盟的组织机构处理隐私和数据保护的方式。



2018年5月25日,GDPR将正式生效,并取代当前的数据保护指令(DPD)。该规范比指令更有力,因为它不需要由每个成员国单独采用。相反,自生效之日起,所有成员国的法规将立即适用于法律。


新规的出现为企业安全团队带来了一些担忧,同时也带来了一些新的期待。例如,GDPR对个人信息的保护及其监管达到了前所未有的高度,同时也扩大了对于用户个人数据的定义,企业必须将用户个人的IP地址或cookie数据等信息置于和其他用户机密数据(姓名、地址以及社会安全号码等)相同的保护等级。


不过,GDPR也留下了许多解释空间。例如,它指出,公司必须为个人数据提供“合理”的保护等级,但是却并未明确界定“合理”的标准。如此一来,在涉及评估数据违规和违规罚款的问题时,就为GDPR管理机构留出了很大的解释余地。


目前,为了强化企业员工对GDPR新规的了解,许多企业的首席安全官(CSO)已经编写了“企业需要了解的GDPR新规内容”以及关于如何满足其要求的建议。虽然新规中的许多要求并不直接涉及信息安全,但是新规对于安全流程和系统的要求可能会对企业现有的安全系统和协议产生一定的影响。


什么是GDPR?


欧盟议会于2016年4月通过了GDPR新规,用于取代1995年发布的过时的数据保护指令(DPD)。新的指令完全更新了欧盟成员国以及任何与欧盟各国进行交易或持有公民(欧洲经济区公民)数据的公司必须存储安全和管理个人数据的方式。


此外,GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。但是,GDPR的合规要求是相当高的,需要大多数企业投入大量的人力、财力才能得以实现。


根据Ovum公司提供的调查报告显示,52%的受访IT决策者预计GDPR将会“导致他们公司受到罚款”;三分之二的受访者认为这将“迫使他们改变欧洲业务战略”;超过70%的受访者预计会增加开支来满足数据保护要求,同时,超过30%的受访者预计在未来两年预算将会增加超过10%;甚至有高达85%的受访者认为GDPR将使其在与欧盟公司的竞争中处于劣势。


GDPR新规将影响哪些企业?


任何存储或处理欧盟国家内有关欧盟公民个人信息的公司,即使在欧盟境内没有业务存在,也必须遵守GDPR。有关必须遵守GDPR新规的公司的具体标准如下所示:


  • 在欧盟境内拥有业务;

  • 在欧盟境内没有业务,但是存储或处理欧盟公民的个人信息;

  • 超过250名员工;

  • 少于250名员工,但是其数据处理方式影响数据主体的权利和隐私,或是包含某些类型的敏感个人数据。


这也就意味着,GDPR新规几乎适用于所有的公司。普华永道提供的调查结果显示,92%的美国公司认为GDPR将成为最重要的数据保护措施。


GDPR新规截止实施时间?


公司必须在2018年5月25日之前遵守GDPR新规要求。


组织是否必须指定数据保护人员遵守GDPR?


GDPR引入了具体术语来定义组织内的角色和责任,包括数据控制员(Data controller)、数据处理员(Data processor)以及数据保护员(Data Protection Officer,简称DPO)。其中数据控制员(Data controller)定义了个人数据的处理方式和目的,此外,控制员还负责确保外部承包商能够遵守相关规定。


数据处理员(Data processor)可以是维护和处理个人数据记录的内部团体(如业务分析师或开发商的直接雇员),也可以是执行全部或部分这些活动的任何外部服务提供商(如信用评级机构等)。


GDPR新规要求数据处理员为违规和不遵守规定的行为负责。那么也就是说,即便事故责任完全在负责数据处理的合作伙伴一方(如云服务提供商),你的公司和该合作伙伴也可能会同时受到处罚。


此外,GDPR还要求控制员和处理员指定一个数据保护员(DPO)来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定名DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理层报告。


完成GDPR合规要求所需成本?


根据普华永道的调查数据显示,68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规性要求;另有9%的企业预计将花费超过1000万美元。


如果企业没有满足GDPR的合规性要求将导致什么后果?


每一单GDPR违规行为将受到高达2000万欧元的严重处罚,或者上一年全球年营业额的4%,以较高者为准。根据Ovum公司提供的调查报告显示,52%的受访IT决策者预计他们会因为违规行为而面临罚款。管理咨询公司奥利弗·怀曼(Oliver Wyman)预测,欧盟在第一年可能会收到高达60亿美元的罚款金额。


目前,一个悬而未决的问题是如何对惩罚进行评估。例如,一个对个人影响最小的违规行为,和一个因暴露个人识别信息(PII)而对个人造成实际损失的违规行为之间的惩罚力度是否存在区别?目前,普遍认知的见解是,监管部门将迅速对一些早期发现不合规的企业采取行动发出一份不合规信息通知。然后,组织就能够更好地评估一旦发生不合规的情况会产生什么后果。


哪些类型的隐私数据将受到GDPR保护?


  • 基本的身份信息,如姓名、地址和身份证号码等;

  • 网络数据,如位置、IP地址、Cookie数据和RFID标签等;

  • 医疗保健和遗传数据;

  • 生物识别数据,如指纹、虹膜等;

  • 种族或民族数据;

  • 政治观点;

  • 性取向。


GDPR的哪些合规要求将影响你的公司?


GDPR的合规要求将迫使美国企业改变他们处理、存储和保护用户个人数据的方式。例如,根据GDPR的要求,组织在要求个人资料时将被要求使用“简明语言”,并且必须提供有关它们如何处理的信息。他们必须说出他们是谁,他们为什么要处理数据,谁接收到它,以及它将被存储多长时间。他们必须让个人明确,并肯定地同意处理数据。


此外,GDPR还要求数据管理员采取合理步骤,确保参与数据共享的第三方删除,扩大了被删除的权利。这一项也被称为“被遗忘的权利”。


有几项合规要求还将对企业的安全团队产生直接影响。其一就是公司必须能够为欧盟公民提供“合理的”数据安全和隐私保护,但是对于“合理的”具体标准,GDPR并没有进行明确规定。


而对于企业来说,其中最具挑战性的合规要求应该是,公司必须在发现违规事件的72小时内,向监管当局和受到违规事件影响的个人通报数据违规行为。执行影响评估的另一个要求是,通过识别漏洞以及制定漏洞解决方案来帮助减轻漏洞导致的安全风险。


一个成功的GDPR项目是什么样的?


提到GDPR新规对企业的影响,没有比ADP(美国自动数据处理公司)更有发言权的公司存在了!该公司为全球超过65万家公司提供基于云计算的人力资本管理(HCM)和业务外包服务,ADP持有全球数百万用户的个人身份信息(PII),所以其用户非常期待ADP公司能够符合GDPR的合规要求。如果发现ADP没有符合GDPR标准,那么该公司损失的不仅是高达2000万欧元,或上年度全球年营业额4%的高额罚款,还将承担失去客户信任的风险。


ADP在全球的业务重点和规模一定程序上也成为其更快、更好的适应GDPR新规的优势。它很好地遵守并实践了现有的隐私和安全规定,所以适应GDPR的合规要求并不是难事。ADP首席隐私官Cecile Georges表示,“我们非常熟悉欧洲现行的隐私法,所以对于GDPR新规我们也不会无所适从。GDPR新规触发了我们作为一家企业,同时作为一个服务提供商的使命感,我们需要遵守GDPR新规来为我们的客户提供更好地服务支持和保护。”


虽然,ADP公司为GDPR新规的实施付出了比其他很多公司更多的准备,但是不得不承认,GDPR项目是一项巨大的、全球性的工程,它大约开始于一年前(2016年通过),但是它是基于早期安全隐私指令基础上的项目。Georges表示,“其实我们甚至早在GDPR新规讨论之前就已经开始实践其中的一些规定了,我们早在几年前就开始对新产品进行了数据流映射和隐私评估工作。”


Georges认为,早期阶段进行的数据流映射工作是非常关键的。她说,“如果很久以前我们没有启动数据流映射,那么我现在就不会如此自信了,数据流映射需要做产品清单,而处理PII对于数据保护影响评估而言是第一步。此外,我们还通过为开发人员提供培训来实现新产品的‘隐私设计’要求。”


ADP公司在GDPR项目上取得的成功吸引了全球各地众多企业的关注。Georges表示,“GDPR不仅仅是一个纯粹的隐私或合规项目,它实际上是涉及整个组织的一个事情,我们正在与整个公司的项目经理进行协调,以确保正确的流程能够在我们整个组织内部实现完美运作。”


目前,ADP公司已经实施了保护个人身份信息(PII)的机制,如加密。Georges说:“从安全角度来看,我们得出的结论是,需要更多的是与客户沟通,确保他们正确地了解我们正在做的事情。”


由于ADP是其他公司的“数据处理器(data processor)”,所以它已经采取了一个可选步骤来定义关于保护PII的结合公司规则(binding corporate rules)。


Georges表示,“像其他合规项目一样,我们将按时完成并遵守GDPR的各项要求。对于这一点,我们的客户也应该有一个清楚的认知。事实上,我们已经申请了具有约束力的结合公司规则,虽然这一点并不在GDPR的要求之内,但是我们希望我们的客户明白,我们想要让他们的生活更加轻松安全,我们希望能够保护他们的个人数据,以达到欧盟监管机构所期待的标准。”


Georges表示,她听到有些企业还没有按照GDPR合规要求做好准备。


时钟已经滴滴作响了,如果一家企业到现在还没有开始研究他们需要做什么准备,我想他们还是先去了解这对于他们的企业将意味着什么吧!他们需要先了解自身受到新监管法规的影响程度,然后进行缺口分析(gap analysis),这是进行任何评估项目都必须首先实现的两点。


此外,她还鼓励公司采取一个适合自己的操作方式。


根据企业自身的业务和拥有的工具不同,可以采取不同的GDPR应用方式,对此需要业务人员进行评估。评估完成后就可以决定接下来要做什么,然后对正在做的事情进行记录,这就是GDPR所说的“责任原则”,要求企业记录他们实现合规的过程。这些记录文件将非常关键,因为如果监管机构要求提供合规证明,公司必须能够提供。


为实现GDPR合规要求,企业需要怎么做?


1. 树立来自最高管理层的紧迫感


风险管理公司Marsh强调了执行领导层重视网络准备的重要性,遵守全球数据卫生标准是准备工作的一部分。


2. 号召所有的利益相关者


仅靠IT人员是无法实现GDPR合规要求的。公司可以启动一个工作小组,号召市场营销、财务、销售、运营以及企业内所有涉及收集、分析和以其他方式利用客户个人身份信息(PII)的人员参与其中。通过成立GDPR工作小组,他们可以更好地为那些实施技术和程序变革的人员提供所需的信息,同时也可以更好地处理任何会对其团队产生影响的事件。


3. 进行风险评估


你需要了解自己公司存储和处理的欧盟公民数据,以及围绕其的安全风险。但记住,除此以外,风险评估还必须囊括为减轻风险所采取的措施。该评估过程的一个关键任务就是揭开可能收集和存储个人识别信息(PII)的所有影子IT(shadow IT,即在企业IT部门以外所发生的技术投入和部署,包括个别员工、团队和业务部门所采用的云应用程序),因为影子IT可能是造成违规行为的最大风险。


除此之外,不容忽视的风险还有很多。根据Snow Software的IT思想领袖兼高级副总裁Matt Fisher的说法,已经有超过39,000个应用程序被用来存储个人数据。他表示,“冰山效应会对组织的GDPR合规性造成严重的风险,因为很多人只会将注意力集中在冰面以上那10%掌握个人数据的应用程序上。由于企业IT团队对整个企业使用的应用程序情况疏于了解,所以他们缺乏对可能威胁到GDPR合规性的应用程序的总体认知。”


Fisher继续补充道,“开始(风险评估)往往是最难的。第一步,组织必须全面了解其整个IT基础设施,并请点所有的应用程序。清点的同时需要了解哪些应用程序能够处理个人数据,这样能够大大缩小评估项目的范围,以及在项目上花费的时间成本。如此才能使不可能成为可能。”


4. 雇用或任命一个数据保护官(DPO)


GDPR规定拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们是否处理敏感数据的情况而定,拥有少于250名员工的组织可能也需要指定DPO。那么,如果你的公司内已经存在了一个发挥类似作用的人员,能够确保PII安全是最好的。否则,你将需要重新聘请一名DPO。根据企业自身的情况,DPO可以不要求一定是全职,在这种情况下,企业就可以选择一名兼职DPO人员。加上GDPR新规允许一名DPO同时为多个企业工作,所以聘请一名兼职DPO人员将是一个很好的选择。


5. 制定数据保护计划


大多数公司已经制定了相关计划,但还是需要对计划进行审查和更新,以确保其符合GDPR要求。


6. 不要忘记移动设备


根据Lookout公司对IT和安全管理人员的调查数据显示,64%的员工会使用移动设备访问客户、合作伙伴以及员工的个人识别信息(PII)。这种行为为GDPR合规性造成了另一种威胁。例如,81%的受访者表示,大多数员工都被允许在办公设备(可能是员工自己的设备)上安装个人应用程序。如果这些应用程序需要访问和存储个人识别信息(PII),则必须按照GDPR合规要求进行操作。这一过程是很难控制的,尤其是你需要将员工使用的所有未经授权的应用程序都考虑在内。


7. 制定一个汇报GDPR合规进度的计划


Fisher表示,“距离GDPR新规实施的日子屈指可数,组织必须证明它们正在完成‘处理活动记录’(Record of Processing Activities,简称RoPA)——根据GDPR新规第30条规定,组织必须清点存在风险的应用程序,避免其成为监管机构的目标。建立‘处理活动记录’是现阶段企业需要关注的重点,因为它可以帮助企业识别处理个人数据的具体位置、以及哪些人或程序正在处理这些数据,或这些数据是如何被处理的。”


8. 实施降低风险的措施


一旦确定了风险并想要减轻风险,就必须实施这些安全措施。对于大多数公司来说,这意味着需要修改现有的风险缓解措施。Fisher表示,“在清点应用程序和完成‘处理活动记录’之后,GDPR团队就能够发现和调查与数据相关的任何风险,并确定保护这些数据所需的适当安全级别。”


9. 如果你的企业很小,请在需要的时候寻求帮助


规模较小的公司也将会受到GDPR新规的影响,而且其中一些可能会表现得更为显著。这种情况下,他们可能没有所需的资源来满足GDPR合规要求。这时候,他们就可以寻求外部资源来为他们提供建议,或提供技术专家来帮助他们完成整个过程,并最大限度地避免内部中断。


10. 测试事件响应计划


GDPR要求公司在72小时内报告违规行为。响应团队如何将损害降至最低,将直接影响公司违约罚款的风险。所以,请确保您能够在这段时间内完成违规报告和响应。


11. 建立持续的评估流程


您想要确保自身保持合规,就需要进行持续地监控和改进操作。一些公司正在考虑通过奖惩制度来确保其员工遵守新的政策。根据Veritas Technologies的一项调查显示,47%的受访企业表示可能会将强制性GDPR政策加到员工合同中;25%的受访者表示,如果发生GDPR违规行为可能会扣除员工的奖金和福利;34%的受访者表示会通过奖励政策鼓励员工遵守GDPR新规。


12. 着眼改善自身业务


根据Varonis Systems的调查结果显示,74%的受访者认为符合GDPR合规要求将成为一项潜在的竞争优势。合规将提高消费者对企业的信心。更重要的是,满足GDPR合规要求所需的技术和流程改进应该能够提高组织管理和保护数据的效率。


相关阅读

关于GDPR:你应该知道的那些事儿

GDPR有多狠?如果施行ICO去年罚金将达到6亿人民币

欧盟给谷歌开出27.3亿美元罚单 GDPR合规重要性凸显


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存