《通用數(shù)據(jù)保護條例》把更好地管理個人數(shù)據(jù)的責(zé)任放到了企業(yè)身上。但他們知道GDPR定義的個人數(shù)據(jù)都在哪兒嗎?有些領(lǐng)域可是很容易被忽視掉的。

歐盟的GDPR將極大改變公司企業(yè)對待數(shù)據(jù)保護的態(tài)度與方法，安全團隊響應(yīng)度退居次席，{加粗}找出個人數(shù)據(jù)存放點的速度和準(zhǔn)確度被提上前臺。個人數(shù)據(jù)問題成為公司企業(yè)最擔(dān)心的問題。(編者注：這也是BigID之所以獲得RSA創(chuàng)新沙盒冠軍的關(guān)鍵原因)

5月25日正式生效的閘門即將落下，很多企業(yè)卻依然持有大量個人可識別信息(PII，從cookie數(shù)據(jù)到設(shè)備標(biāo)識符再到IP地址都屬于PII范疇)，這些信息廣泛分布在現(xiàn)場系統(tǒng)和云端。在你進入這個模糊的世界之前，你要確定你的業(yè)務(wù)是數(shù)據(jù)控制器還是處理器。

PII是什么?該如何使用?

GDPR之下，個人數(shù)據(jù)處理涵蓋范圍比之前的本地數(shù)據(jù)保護法規(guī)要廣。GDPR第2條即聲明，該條例適用于全部或部分通過自動化方式進行的個人數(shù)據(jù)處理，以及除自動化方式之外構(gòu)成或擬構(gòu)成歸檔系統(tǒng)一部分的個人數(shù)據(jù)處理。

于是，個人數(shù)據(jù)的定義到底是什么?

第4條中，個人數(shù)據(jù)指“與已識別或可識別自然人(數(shù)據(jù)主體)相關(guān)的任何信息;可識別自然人是可被直接或間接識別，特別是可被姓名、ID號、位置數(shù)據(jù)、在線ID或特定于該自然人的物理、生理、遺傳、心理、經(jīng)濟、文化或社會身份的多種因素參照的自然人。”

也就是說，個人數(shù)據(jù)包括了IP地址和cookie數(shù)據(jù)，GDPR又引入了諸如主體查閱請求(SAR)、被遺忘權(quán)/刪除權(quán)、數(shù)據(jù)可移植性等新概念。歐盟公民如今有權(quán)知道自己被收集了什么數(shù)據(jù)，而PII廣泛存在于從電子郵件和社交平臺到人力資源(HR)、人力資源管理(HCM)和顧客關(guān)系管理(CRM)系統(tǒng)的事實，也成為了公司企業(yè)的擔(dān)憂之源。

范圍界定是第一步

無論公司規(guī)模是大是小，弄不清數(shù)據(jù)存放位置都是個大麻煩。那英國酒吧連鎖店Wetherspoons做個例子，這家公司明顯刪除了其50萬+的電郵營銷數(shù)據(jù)庫并從頭再來，大概是覺得自己不會再得到許可，也無法恰當(dāng)?shù)毓芾聿⒈Ｗo好那些個人數(shù)據(jù)了。

當(dāng)時這家公司在發(fā)給媒體《連線》的聲明中稱：“權(quán)衡之下，我們甚至連客戶的電子郵件地址都不愿持有。我們持有的客戶信息越少，與這些數(shù)據(jù)相關(guān)的風(fēng)險就越小。”

公司企業(yè)需先認(rèn)清自己是數(shù)據(jù)處理者還是數(shù)據(jù)控制者，以及自己手中到底掌握著哪些數(shù)據(jù)。第一步就是識別出誰有權(quán)訪問PII數(shù)據(jù)，以及他們是控制者還是處理者。數(shù)據(jù)的位置也是需要掌握的，比如是不是基于云的郵件系統(tǒng)。接下來就是查清這些數(shù)據(jù)的風(fēng)險和安全狀況，確定自動化處理過程。理解那些影響公司的覆蓋GDPR的法律也是正確符合GDPR規(guī)定的重要一步。

找出非預(yù)期PII的步驟

GDPR列出了個人數(shù)據(jù)處理的6條法律原因：同意、合約、法律義務(wù)、切身利益、公共任務(wù)和合法權(quán)益。一旦識別出手中PII及其位置，公司就需要為持有這些PII或改變處理過程找到法律依據(jù)，以便及時停止引入不需要的PII。

首先，怎樣找出PII?核心運營系統(tǒng)之外，以下地方是PII最有可能藏身的：

• 云App，包括那些為經(jīng)公司允許的
• 在線文件共享服務(wù)
• 可移動載體
• 實體存儲(文件柜)
• 第三方/供應(yīng)鏈提供
• 臨時文件
• 沙箱/測試系統(tǒng)
• 備份系統(tǒng)
• 雇員設(shè)備

GDPR是真正的數(shù)據(jù)保護條例，無論是模擬數(shù)據(jù)還是數(shù)字?jǐn)?shù)據(jù);所以我們該做的第一件事就是后撤一步，環(huán)顧所有可以寫下、打印、掃描或創(chuàng)建資料，并將資料存儲為數(shù)字內(nèi)容的地方。影子IT會含有很多本不應(yīng)出現(xiàn)在那兒的個人數(shù)據(jù)，還有可移動USB記憶棒和備份系統(tǒng)也是藏匿個人數(shù)據(jù)的潛在地方。

真的是必須各個地方都翻找一遍，字面意義上的“各處”，包括文件柜、第三方存儲、文件服務(wù)器等等。弄清個人數(shù)據(jù)都是些什么是第一步，所以信息分類是前置條件，只有分類了才會在看到數(shù)據(jù)時知道是不是個人數(shù)據(jù)。有些公司企業(yè)不得不二次返工個人數(shù)據(jù)查找過程就是因為沒在一開始就規(guī)范化自己查找的東西。

或許，Cambridge Analytica 丑聞之后，供應(yīng)鏈也將很快感受到GDPR的效力：供應(yīng)鏈絕對是個需要重點翻找的地方。備份和檔案柜也應(yīng)該找找。同時，應(yīng)謹(jǐn)記：GDPR正好降臨在人類知識大遷移進程的中間。

所謂的大遷移，指的是從現(xiàn)場存儲轉(zhuǎn)移到云存儲。遷移本身不是什么壞事，通常都能降低存儲開支或者避免硬盤存儲空間告急。因此，大多數(shù)企業(yè)都是一股腦整體遷移，連所遷內(nèi)容里都有些什么都不完全了解。肯定會有各種各樣的敏感個人數(shù)據(jù)在無意間被搬到了云端。

測試系統(tǒng)中也會用到太多真實數(shù)據(jù)。對很多企業(yè)而言，非結(jié)構(gòu)化數(shù)據(jù)會是個盲點。共享文件夾、臨時硬盤等等都是盲點，沒什么簡單的辦法可以搜索個人數(shù)據(jù)，個人數(shù)據(jù)是比更好理解的PII寬泛得多的一張網(wǎng)。

很多公司都會用第三方服務(wù)實現(xiàn)員工服務(wù)、工資發(fā)放、養(yǎng)老金、保險等等。所有此類第三方公司都會持有客戶公司員工的大量敏感數(shù)據(jù)。不用戴著盡職審查的濾鏡看待這些公司，只需想想這些信息是怎么共享的就夠了。如果裝在加密附件里用電子郵件來回傳輸，那就不僅是坐等發(fā)往錯誤地址的事故發(fā)生，還會導(dǎo)致更大的問題——該數(shù)據(jù)在內(nèi)部經(jīng)由電子郵件歸檔等途徑迅速增殖。

公司企業(yè)當(dāng)如何邁進?

過程很重要!GDPR要求實現(xiàn)“恰當(dāng)?shù)募夹g(shù)性和組織性方法以維持適合風(fēng)險的安全水平”。所以，想要證明公司具備恰當(dāng)?shù)姆椒?，IT基礎(chǔ)設(shè)施和過程就需要被記錄在案，風(fēng)險也需要作出評估。影子IT、滯留、權(quán)限、共享及訪問控制需要留心監(jiān)視，每個業(yè)務(wù)過程和GDPR對這些過程造成影響的方面都需要納入考慮范疇。

有兩個關(guān)鍵動作應(yīng)優(yōu)先處理。第一個，設(shè)置管理項目風(fēng)險和實現(xiàn)“初始安全”的過程。第二個，定義個人數(shù)據(jù)，執(zhí)行發(fā)現(xiàn)過程以找出BAU中的個人數(shù)據(jù)，然后以采用大量關(guān)鍵控制的分流過程執(zhí)行高層級的風(fēng)險評估，實現(xiàn)個人數(shù)據(jù)所需80%的安全。比如說，訪問控制審查、日志和監(jiān)視、漏洞管理等等就可以入選十大關(guān)鍵控制技術(shù)。

雖然加密和偽匿名技術(shù)很棒，但它們其實相當(dāng)不容易實現(xiàn)。這些技術(shù)用來保護數(shù)據(jù)很好，但如果使用不當(dāng)，也會給公司留下一種數(shù)據(jù)受到保護的錯覺，而實際上數(shù)據(jù)早已流失。

太多公司企業(yè)其實連基礎(chǔ)工作都沒做好，比如某家跨國銀行就壓根不知道自己到底有多少臺服務(wù)器，這些服務(wù)器都是用來干什么的。這種企業(yè)恐怕談不上什么GDPR合規(guī)。最好把個人數(shù)據(jù)篩查和風(fēng)險評估的優(yōu)先級置于任何特定技術(shù)性控制之上。ICO已經(jīng)充分提示了基于風(fēng)險的方法。而要切實做到基于風(fēng)險，查清風(fēng)險概況是基礎(chǔ)。

公司企業(yè)還應(yīng)避免被供應(yīng)商牽著鼻子走，號稱提供“GDPR合規(guī)”的產(chǎn)品僅僅是給你針對某些特定問題的解決方案罷了。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文