所有收集歐盟(EU)國家公民數(shù)據(jù)的企業(yè)，將必須在明年正式執(zhí)行有關(guān)用戶數(shù)據(jù)保護(hù)的嚴(yán)格新規(guī)——《通用數(shù)據(jù)保護(hù)規(guī)范》(GDPR)。GDPR的目標(biāo)是保護(hù)歐盟公民免受隱私和數(shù)據(jù)泄露的影響，同時重塑歐盟的組織機(jī)構(gòu)處理隱私和數(shù)據(jù)保護(hù)的方式。

[[216683]]

2018年5月25日，GDPR將正式生效，并取代當(dāng)前的數(shù)據(jù)保護(hù)指令(DPD)。該規(guī)范比指令更有力，因為它不需要由每個成員國單獨采用。相反，自生效之日起，所有成員國的法規(guī)將立即適用于法律。

新規(guī)的出現(xiàn)為企業(yè)安全團(tuán)隊帶來了一些擔(dān)憂，同時也帶來了一些新的期待。例如，GDPR對個人信息的保護(hù)及其監(jiān)管達(dá)到了前所未有的高度，同時也擴(kuò)大了對于用戶個人數(shù)據(jù)的定義，企業(yè)必須將用戶個人的IP地址或cookie數(shù)據(jù)等信息置于和其他用戶機(jī)密數(shù)據(jù)(姓名、地址以及社會安全號碼等)相同的保護(hù)等級。

不過，GDPR也留下了許多解釋空間。例如，它指出，公司必須為個人數(shù)據(jù)提供“合理”的保護(hù)等級，但是卻并未明確界定“合理”的標(biāo)準(zhǔn)。如此一來，在涉及評估數(shù)據(jù)違規(guī)和違規(guī)罰款的問題時，就為GDPR管理機(jī)構(gòu)留出了很大的解釋余地。

目前，為了強(qiáng)化企業(yè)員工對GDPR新規(guī)的了解，許多企業(yè)的首席安全官(CSO)已經(jīng)編寫了“企業(yè)需要了解的GDPR新規(guī)內(nèi)容”以及關(guān)于如何滿足其要求的建議。雖然新規(guī)中的許多要求并不直接涉及信息安全，但是新規(guī)對于安全流程和系統(tǒng)的要求可能會對企業(yè)現(xiàn)有的安全系統(tǒng)和協(xié)議產(chǎn)生一定的影響。

什么是GDPR?

歐盟議會于2016年4月通過了GDPR新規(guī)，用于取代1995年發(fā)布的過時的數(shù)據(jù)保護(hù)指令(DPD)。新的指令完全更新了歐盟成員國以及任何與歐盟各國進(jìn)行交易或持有公民(歐洲經(jīng)濟(jì)區(qū)公民)數(shù)據(jù)的公司必須存儲安全和管理個人數(shù)據(jù)的方式。

此外，GDPR新規(guī)是在28個歐盟成員國統(tǒng)一實施生效的，這將使28個歐盟及歐洲經(jīng)濟(jì)共同體成員國的隱私保護(hù)法更具有一致性和現(xiàn)代性。但是，GDPR的合規(guī)要求是相當(dāng)高的，需要大多數(shù)企業(yè)投入大量的人力、財力才能得以實現(xiàn)。

根據(jù)Ovum公司提供的調(diào)查報告顯示，52%的受訪IT決策者預(yù)計GDPR將會“導(dǎo)致他們公司受到罰款”;三分之二的受訪者認(rèn)為這將“迫使他們改變歐洲業(yè)務(wù)戰(zhàn)略”;超過70%的受訪者預(yù)計會增加開支來滿足數(shù)據(jù)保護(hù)要求，同時，超過30%的受訪者預(yù)計在未來兩年預(yù)算將會增加超過10%;甚至有高達(dá)85%的受訪者認(rèn)為GDPR將使其在與歐盟公司的競爭中處于劣勢。

GDPR新規(guī)將影響哪些企業(yè)?

任何存儲或處理歐盟國家內(nèi)有關(guān)歐盟公民個人信息的公司，即使在歐盟境內(nèi)沒有業(yè)務(wù)存在，也必須遵守GDPR。有關(guān)必須遵守GDPR新規(guī)的公司的具體標(biāo)準(zhǔn)如下所示：

• 在歐盟境內(nèi)擁有業(yè)務(wù);
• 在歐盟境內(nèi)沒有業(yè)務(wù)，但是存儲或處理歐盟公民的個人信息;
• 超過250名員工;
• 少于250名員工，但是其數(shù)據(jù)處理方式影響數(shù)據(jù)主體的權(quán)利和隱私，或是包含某些類型的敏感個人數(shù)據(jù)。

這也就意味著，GDPR新規(guī)幾乎適用于所有的公司。普華永道提供的調(diào)查結(jié)果顯示，92%的美國公司認(rèn)為GDPR將成為最重要的數(shù)據(jù)保護(hù)措施。

GDPR新規(guī)截止實施時間?

公司必須在2018年5月25日之前遵守GDPR新規(guī)要求。

組織是否必須指定數(shù)據(jù)保護(hù)人員遵守GDPR?

GDPR引入了具體術(shù)語來定義組織內(nèi)的角色和責(zé)任，包括數(shù)據(jù)控制員(Data controller)、數(shù)據(jù)處理員(Data processor)以及數(shù)據(jù)保護(hù)員(Data Protection Officer，簡稱DPO)。其中數(shù)據(jù)控制員(Data controller)定義了個人數(shù)據(jù)的處理方式和目的，此外，控制員還負(fù)責(zé)確保外部承包商能夠遵守相關(guān)規(guī)定。

數(shù)據(jù)處理員(Data processor)可以是維護(hù)和處理個人數(shù)據(jù)記錄的內(nèi)部團(tuán)體(如業(yè)務(wù)分析師或開發(fā)商的直接雇員)，也可以是執(zhí)行全部或部分這些活動的任何外部服務(wù)提供商(如信用評級機(jī)構(gòu)等)。

GDPR新規(guī)要求數(shù)據(jù)處理員為違規(guī)和不遵守規(guī)定的行為負(fù)責(zé)。那么也就是說，即便事故責(zé)任完全在負(fù)責(zé)數(shù)據(jù)處理的合作伙伴一方(如云服務(wù)提供商)，你的公司和該合作伙伴也可能會同時受到處罰。

此外，GDPR還要求控制員和處理員指定一個數(shù)據(jù)保護(hù)員(DPO)來監(jiān)管數(shù)據(jù)安全策略和GDPR合規(guī)性。核心活動涉及處理或存儲大量的歐盟公民數(shù)據(jù)、處理或存儲特殊類別的個人數(shù)據(jù)(健康記錄、犯罪記錄)的組織必須指定名DPO。DPO主要負(fù)責(zé)就GDPR規(guī)定提供咨詢意見，向最高管理層報告。

完成GDPR合規(guī)要求所需成本?

根據(jù)普華永道的調(diào)查數(shù)據(jù)顯示，68%的美國公司預(yù)計將花費100萬到1000萬美元的投入來滿足GDPR的合規(guī)性要求;另有9%的企業(yè)預(yù)計將花費超過1000萬美元。

如果企業(yè)沒有滿足GDPR的合規(guī)性要求將導(dǎo)致什么后果?

每一單GDPR違規(guī)行為將受到高達(dá)2000萬歐元的嚴(yán)重處罰，或者上一年全球年營業(yè)額的4%，以較高者為準(zhǔn)。根據(jù)Ovum公司提供的調(diào)查報告顯示，52%的受訪IT決策者預(yù)計他們會因為違規(guī)行為而面臨罰款。管理咨詢公司奧利弗·懷曼(Oliver Wyman)預(yù)測，歐盟在第一年可能會收到高達(dá)60億美元的罰款金額。

目前，一個懸而未決的問題是如何對懲罰進(jìn)行評估。例如，一個對個人影響最小的違規(guī)行為，和一個因暴露個人識別信息(PII)而對個人造成實際損失的違規(guī)行為之間的懲罰力度是否存在區(qū)別?目前，普遍認(rèn)知的見解是，監(jiān)管部門將迅速對一些早期發(fā)現(xiàn)不合規(guī)的企業(yè)采取行動發(fā)出一份不合規(guī)信息通知。然后，組織就能夠更好地評估一旦發(fā)生不合規(guī)的情況會產(chǎn)生什么后果。

哪些類型的隱私數(shù)據(jù)將受到GDPR保護(hù)?

• 基本的身份信息，如姓名、地址和身份證號碼等;
• 網(wǎng)絡(luò)數(shù)據(jù)，如位置、IP地址、Cookie數(shù)據(jù)和RFID標(biāo)簽等;
• 醫(yī)療保健和遺傳數(shù)據(jù);
• 生物識別數(shù)據(jù)，如指紋、虹膜等;
• 種族或民族數(shù)據(jù);
• 政治觀點;
• 性取向。

GDPR的哪些合規(guī)要求將影響你的公司?

GDPR的合規(guī)要求將迫使美國企業(yè)改變他們處理、存儲和保護(hù)用戶個人數(shù)據(jù)的方式。例如，根據(jù)GDPR的要求，組織在要求個人資料時將被要求使用“簡明語言”，并且必須提供有關(guān)它們?nèi)绾翁幚淼男畔?。他們必須說出他們是誰，他們?yōu)槭裁匆幚頂?shù)據(jù)，誰接收到它，以及它將被存儲多長時間。他們必須讓個人明確，并肯定地同意處理數(shù)據(jù)。

此外，GDPR還要求數(shù)據(jù)管理員采取合理步驟，確保參與數(shù)據(jù)共享的第三方刪除，擴(kuò)大了被刪除的權(quán)利。這一項也被稱為“被遺忘的權(quán)利”。

有幾項合規(guī)要求還將對企業(yè)的安全團(tuán)隊產(chǎn)生直接影響。其一就是公司必須能夠為歐盟公民提供“合理的”數(shù)據(jù)安全和隱私保護(hù)，但是對于“合理的”具體標(biāo)準(zhǔn)，GDPR并沒有進(jìn)行明確規(guī)定。

而對于企業(yè)來說，其中最具挑戰(zhàn)性的合規(guī)要求應(yīng)該是，公司必須在發(fā)現(xiàn)違規(guī)事件的72小時內(nèi)，向監(jiān)管當(dāng)局和受到違規(guī)事件影響的個人通報數(shù)據(jù)違規(guī)行為。執(zhí)行影響評估的另一個要求是，通過識別漏洞以及制定漏洞解決方案來幫助減輕漏洞導(dǎo)致的安全風(fēng)險。

一個成功的GDPR項目是什么樣的?

提到GDPR新規(guī)對企業(yè)的影響，沒有比ADP(美國自動數(shù)據(jù)處理公司)更有發(fā)言權(quán)的公司存在了!該公司為全球超過65萬家公司提供基于云計算的人力資本管理(HCM)和業(yè)務(wù)外包服務(wù)，ADP持有全球數(shù)百萬用戶的個人身份信息(PII)，所以其用戶非常期待ADP公司能夠符合GDPR的合規(guī)要求。如果發(fā)現(xiàn)ADP沒有符合GDPR標(biāo)準(zhǔn)，那么該公司損失的不僅是高達(dá)2000萬歐元，或上年度全球年營業(yè)額4%的高額罰款，還將承擔(dān)失去客戶信任的風(fēng)險。

ADP在全球的業(yè)務(wù)重點和規(guī)模一定程序上也成為其更快、更好的適應(yīng)GDPR新規(guī)的優(yōu)勢。它很好地遵守并實踐了現(xiàn)有的隱私和安全規(guī)定，所以適應(yīng)GDPR的合規(guī)要求并不是難事。ADP首席隱私官Cecile Georges表示，“我們非常熟悉歐洲現(xiàn)行的隱私法，所以對于GDPR新規(guī)我們也不會無所適從。GDPR新規(guī)觸發(fā)了我們作為一家企業(yè)，同時作為一個服務(wù)提供商的使命感，我們需要遵守GDPR新規(guī)來為我們的客戶提供更好地服務(wù)支持和保護(hù)。”

雖然，ADP公司為GDPR新規(guī)的實施付出了比其他很多公司更多的準(zhǔn)備，但是不得不承認(rèn)，GDPR項目是一項巨大的、全球性的工程，它大約開始于一年前(2016年通過)，但是它是基于早期安全隱私指令基礎(chǔ)上的項目。Georges表示，“其實我們甚至早在GDPR新規(guī)討論之前就已經(jīng)開始實踐其中的一些規(guī)定了，我們早在幾年前就開始對新產(chǎn)品進(jìn)行了數(shù)據(jù)流映射和隱私評估工作。”

Georges認(rèn)為，早期階段進(jìn)行的數(shù)據(jù)流映射工作是非常關(guān)鍵的。她說，“如果很久以前我們沒有啟動數(shù)據(jù)流映射，那么我現(xiàn)在就不會如此自信了，數(shù)據(jù)流映射需要做產(chǎn)品清單，而處理PII對于數(shù)據(jù)保護(hù)影響評估而言是第一步。此外，我們還通過為開發(fā)人員提供培訓(xùn)來實現(xiàn)新產(chǎn)品的‘隱私設(shè)計’要求。”

ADP公司在GDPR項目上取得的成功吸引了全球各地眾多企業(yè)的關(guān)注。Georges表示，“GDPR不僅僅是一個純粹的隱私或合規(guī)項目，它實際上是涉及整個組織的一個事情，我們正在與整個公司的項目經(jīng)理進(jìn)行協(xié)調(diào)，以確保正確的流程能夠在我們整個組織內(nèi)部實現(xiàn)完美運作。”

目前，ADP公司已經(jīng)實施了保護(hù)個人身份信息(PII)的機(jī)制，如加密。Georges說：“從安全角度來看，我們得出的結(jié)論是，需要更多的是與客戶溝通，確保他們正確地了解我們正在做的事情。”

由于ADP是其他公司的“數(shù)據(jù)處理器(data processor)”，所以它已經(jīng)采取了一個可選步驟來定義關(guān)于保護(hù)PII的結(jié)合公司規(guī)則(binding corporate rules)。

Georges表示，“像其他合規(guī)項目一樣，我們將按時完成并遵守GDPR的各項要求。對于這一點，我們的客戶也應(yīng)該有一個清楚的認(rèn)知。事實上，我們已經(jīng)申請了具有約束力的結(jié)合公司規(guī)則，雖然這一點并不在GDPR的要求之內(nèi)，但是我們希望我們的客戶明白，我們想要讓他們的生活更加輕松安全，我們希望能夠保護(hù)他們的個人數(shù)據(jù)，以達(dá)到歐盟監(jiān)管機(jī)構(gòu)所期待的標(biāo)準(zhǔn)。”

Georges表示，她聽到有些企業(yè)還沒有按照GDPR合規(guī)要求做好準(zhǔn)備。

此外，她還鼓勵公司采取一個適合自己的操作方式。

為實現(xiàn)GDPR合規(guī)要求，企業(yè)需要怎么做?

1. 樹立來自最高管理層的緊迫感

風(fēng)險管理公司Marsh強(qiáng)調(diào)了執(zhí)行領(lǐng)導(dǎo)層重視網(wǎng)絡(luò)準(zhǔn)備的重要性，遵守全球數(shù)據(jù)衛(wèi)生標(biāo)準(zhǔn)是準(zhǔn)備工作的一部分。

2. 號召所有的利益相關(guān)者

僅靠IT人員是無法實現(xiàn)GDPR合規(guī)要求的。公司可以啟動一個工作小組，號召市場營銷、財務(wù)、銷售、運營以及企業(yè)內(nèi)所有涉及收集、分析和以其他方式利用客戶個人身份信息(PII)的人員參與其中。通過成立GDPR工作小組，他們可以更好地為那些實施技術(shù)和程序變革的人員提供所需的信息，同時也可以更好地處理任何會對其團(tuán)隊產(chǎn)生影響的事件。

3. 進(jìn)行風(fēng)險評估

你需要了解自己公司存儲和處理的歐盟公民數(shù)據(jù)，以及圍繞其的安全風(fēng)險。但記住，除此以外，風(fēng)險評估還必須囊括為減輕風(fēng)險所采取的措施。該評估過程的一個關(guān)鍵任務(wù)就是揭開可能收集和存儲個人識別信息(PII)的所有影子IT(shadow IT，即在企業(yè)IT部門以外所發(fā)生的技術(shù)投入和部署，包括個別員工、團(tuán)隊和業(yè)務(wù)部門所采用的云應(yīng)用程序)，因為影子IT可能是造成違規(guī)行為的最大風(fēng)險。

除此之外，不容忽視的風(fēng)險還有很多。根據(jù)Snow Software的IT思想領(lǐng)袖兼高級副總裁Matt Fisher的說法，已經(jīng)有超過39,000個應(yīng)用程序被用來存儲個人數(shù)據(jù)。他表示，“冰山效應(yīng)會對組織的GDPR合規(guī)性造成嚴(yán)重的風(fēng)險，因為很多人只會將注意力集中在冰面以上那10%掌握個人數(shù)據(jù)的應(yīng)用程序上。由于企業(yè)IT團(tuán)隊對整個企業(yè)使用的應(yīng)用程序情況疏于了解，所以他們?nèi)狈赡芡{到GDPR合規(guī)性的應(yīng)用程序的總體認(rèn)知。”

Fisher繼續(xù)補(bǔ)充道，“開始(風(fēng)險評估)往往是最難的。第一步，組織必須全面了解其整個IT基礎(chǔ)設(shè)施，并請點所有的應(yīng)用程序。清點的同時需要了解哪些應(yīng)用程序能夠處理個人數(shù)據(jù)，這樣能夠大大縮小評估項目的范圍，以及在項目上花費的時間成本。如此才能使不可能成為可能。”

4. 雇用或任命一個數(shù)據(jù)保護(hù)官(DPO)

GDPR規(guī)定擁有250名或以上員工處理敏感數(shù)據(jù)或犯罪記錄的組織必須指定DPO。這根據(jù)他們是否處理敏感數(shù)據(jù)的情況而定，擁有少于250名員工的組織可能也需要指定DPO。那么，如果你的公司內(nèi)已經(jīng)存在了一個發(fā)揮類似作用的人員，能夠確保PII安全是最好的。否則，你將需要重新聘請一名DPO。根據(jù)企業(yè)自身的情況，DPO可以不要求一定是全職，在這種情況下，企業(yè)就可以選擇一名兼職DPO人員。加上GDPR新規(guī)允許一名DPO同時為多個企業(yè)工作，所以聘請一名兼職DPO人員將是一個很好的選擇。

5. 制定數(shù)據(jù)保護(hù)計劃

大多數(shù)公司已經(jīng)制定了相關(guān)計劃，但還是需要對計劃進(jìn)行審查和更新，以確保其符合GDPR要求。

6. 不要忘記移動設(shè)備

根據(jù)Lookout公司對IT和安全管理人員的調(diào)查數(shù)據(jù)顯示，64%的員工會使用移動設(shè)備訪問客戶、合作伙伴以及員工的個人識別信息(PII)。這種行為為GDPR合規(guī)性造成了另一種威脅。例如，81%的受訪者表示，大多數(shù)員工都被允許在辦公設(shè)備(可能是員工自己的設(shè)備)上安裝個人應(yīng)用程序。如果這些應(yīng)用程序需要訪問和存儲個人識別信息(PII)，則必須按照GDPR合規(guī)要求進(jìn)行操作。這一過程是很難控制的，尤其是你需要將員工使用的所有未經(jīng)授權(quán)的應(yīng)用程序都考慮在內(nèi)。

7. 制定一個匯報GDPR合規(guī)進(jìn)度的計劃

Fisher表示，“距離GDPR新規(guī)實施的日子屈指可數(shù)，組織必須證明它們正在完成‘處理活動記錄’(Record of Processing Activities，簡稱RoPA)——根據(jù)GDPR新規(guī)第30條規(guī)定，組織必須清點存在風(fēng)險的應(yīng)用程序，避免其成為監(jiān)管機(jī)構(gòu)的目標(biāo)。建立‘處理活動記錄’是現(xiàn)階段企業(yè)需要關(guān)注的重點，因為它可以幫助企業(yè)識別處理個人數(shù)據(jù)的具體位置、以及哪些人或程序正在處理這些數(shù)據(jù)，或這些數(shù)據(jù)是如何被處理的。”

8. 實施降低風(fēng)險的措施

一旦確定了風(fēng)險并想要減輕風(fēng)險，就必須實施這些安全措施。對于大多數(shù)公司來說，這意味著需要修改現(xiàn)有的風(fēng)險緩解措施。Fisher表示，“在清點應(yīng)用程序和完成‘處理活動記錄’之后，GDPR團(tuán)隊就能夠發(fā)現(xiàn)和調(diào)查與數(shù)據(jù)相關(guān)的任何風(fēng)險，并確定保護(hù)這些數(shù)據(jù)所需的適當(dāng)安全級別。”

9. 如果你的企業(yè)很小，請在需要的時候?qū)で髱椭?/strong>