GDPR（General Data Protection Regulation，通用數(shù)據(jù)保護(hù)條例）是歐盟針對(duì)隱私保護(hù)實(shí)施的一項(xiàng)新立法，是20年來最重要的數(shù)據(jù)隱私保護(hù)變化，也是有史以來規(guī)模最大、最具懲罰性的隱私保護(hù)法。該法于今日即2018年5月25日在歐盟正式實(shí)施，并取代1995數(shù)據(jù)保護(hù)指令，為歐盟各成員國(guó)提供統(tǒng)一的數(shù)據(jù)保護(hù)規(guī)則。任何違反GDPR的行為，會(huì)產(chǎn)生1000萬到2000萬歐元的罰款，或企業(yè)全球年?duì)I業(yè)額的2%到4%，以數(shù)額最大的為準(zhǔn)。

GDPR的適用范圍

GDPR適用于歐盟境內(nèi)設(shè)立的實(shí)體（公司、組織等）處理個(gè)人數(shù)據(jù)的行為，同時(shí)也約束了非歐盟實(shí)體處理歐盟境內(nèi)數(shù)據(jù)主體的個(gè)人數(shù)據(jù)的活動(dòng)，只要該活動(dòng)與向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)（無論是否收費(fèi)），或與監(jiān)控該數(shù)據(jù)主體在歐盟的活動(dòng)有關(guān)。歐盟發(fā)布這個(gè)新規(guī)定的主要原因：

(1)為歐盟公民提供更多使用自身資料的權(quán)力；

(2)加強(qiáng)數(shù)字服務(wù)提供者與他們所服務(wù)的人之間的信任；

(3)為企業(yè)提供明確的法律框架，通過在歐盟單一市場(chǎng)上制定統(tǒng)一的法律來消除任何區(qū)域差異。

GDPR的核心要求

Ø  數(shù)據(jù)安全要求：GDPR規(guī)定下，企業(yè)應(yīng)采取技術(shù)和管理措施，保障數(shù)據(jù)安全，包括但不限于對(duì)個(gè)人數(shù)據(jù)加密處理、實(shí)施數(shù)據(jù)安全評(píng)估、隱私保護(hù)設(shè)計(jì)等；

Ø  強(qiáng)制的數(shù)據(jù)泄露通知：發(fā)生數(shù)據(jù)泄漏事件，數(shù)據(jù)控制者應(yīng)當(dāng)在72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告，可能對(duì)數(shù)據(jù)主體產(chǎn)生高風(fēng)險(xiǎn)的，還需告知數(shù)據(jù)主體；

Ø  數(shù)據(jù)主體權(quán)利：GDPR項(xiàng)下，數(shù)據(jù)主體享有對(duì)自己數(shù)據(jù)更廣泛的權(quán)利，包括增刪改查、數(shù)據(jù)刪除權(quán)、數(shù)據(jù)可攜帶權(quán)和拒絕數(shù)據(jù)畫像的權(quán)利等；

Ø  數(shù)據(jù)主體的同意：對(duì)個(gè)人數(shù)據(jù)的處理普遍須取得數(shù)據(jù)主體的明確同意，該同意必須是自由做出的、特定的、明確的和知情的；

Ø  數(shù)據(jù)處理記錄：數(shù)據(jù)控制者和數(shù)據(jù)處理者均需保存數(shù)據(jù)處理記錄。

對(duì)于GDPR，華為云已應(yīng)對(duì)就緒

華為云堅(jiān)持“三不”，即“上不碰應(yīng)用、下不碰數(shù)據(jù)，不做股權(quán)投資。”高度重視用戶隱私保護(hù)，切實(shí)貫徹適用法律法規(guī)的要求。為此，華為云開展了一系列的工作以落實(shí)GDPR的要求，包括但不限于：

Ø  隱私設(shè)計(jì):開展隱私保護(hù)分析和設(shè)計(jì)，將隱私保護(hù)的要求貫穿流程予以落實(shí)執(zhí)行；

Ø  產(chǎn)品與服務(wù)：將隱私保護(hù)要求落入產(chǎn)品研發(fā)管理體系，從產(chǎn)品與服務(wù)的研發(fā)及功能設(shè)計(jì)過程中即滿足數(shù)據(jù)安全與隱私保護(hù)的相關(guān)要求，同時(shí)提供多種安全服務(wù)與功能進(jìn)一步加強(qiáng)數(shù)據(jù)安全與隱私保護(hù)；

Ø  隱私測(cè)試：所有產(chǎn)品和服務(wù)發(fā)布前，需通過華為內(nèi)部網(wǎng)絡(luò)安全實(shí)驗(yàn)室隱私保護(hù)測(cè)試;

Ø  隱私認(rèn)證：通過第三方認(rèn)證證明符合嚴(yán)格的國(guó)際隱私標(biāo)準(zhǔn)，包括但不限于： ISO 27018、PCI DSS；

Ø  培訓(xùn)和教育：對(duì)全員開展GDPR合規(guī)培訓(xùn)考試，并在相關(guān)部門進(jìn)一步開展對(duì)GDPR的深入解讀與規(guī)范培訓(xùn)。

華為云全棧安全服務(wù)，幫您順利滿足GDPR要求

除了上面的措施，華為云提供了系列全棧安全服務(wù)及自檢措施，助力用戶和伙伴滿足GDPR的合規(guī)要求。

Ø  網(wǎng)絡(luò)層：

DDoS流量清洗服務(wù)

采用專業(yè)的防DDoS設(shè)備來為用戶互聯(lián)網(wǎng)應(yīng)用提供精細(xì)化的抵御DDoS攻擊能力，包括CC、SYN Flood、UDP Flood等常見DDoS攻擊方式，并提供攻擊攔截實(shí)時(shí)告警，有效提升用戶帶寬利用率，保障業(yè)務(wù)穩(wěn)定可靠。

DDoS高防服務(wù)

基于Anti-DDoS清洗中心和大數(shù)據(jù)運(yùn)營(yíng)平臺(tái)構(gòu)建的DDoS高防服務(wù)，可以通過配置高防IP，將攻擊流量引流到高防IP，對(duì)用戶源站進(jìn)行隱藏保護(hù)，確保源站穩(wěn)定可靠。

Ø  應(yīng)用層

Web應(yīng)用防火墻，針對(duì)HTTP(s)請(qǐng)求進(jìn)行異常檢測(cè)，對(duì)攻擊者的惡意攻擊進(jìn)行防護(hù)，精準(zhǔn)過濾海量攻擊流量，保障客戶網(wǎng)站安全穩(wěn)定運(yùn)行，避免數(shù)據(jù)泄露。

漏洞掃描服務(wù)，提前檢測(cè)出網(wǎng)站的漏洞并且提供修復(fù)建議，提升網(wǎng)站安全性，提前防范黑客利用漏洞進(jìn)行攻擊，防止利益損失和數(shù)據(jù)泄露。

Ø   主機(jī)層

企業(yè)主機(jī)安全提供資產(chǎn)管理、漏洞管理、入侵檢測(cè)、基線檢查等功能，幫助企業(yè)降低主機(jī)安全風(fēng)險(xiǎn)。

Ø  數(shù)據(jù)層

數(shù)據(jù)庫(kù)安全服務(wù)，適用于客戶希望使用一站式預(yù)集成服務(wù)，快速實(shí)現(xiàn)多種設(shè)備集成，能夠平滑擴(kuò)展支持上億連接，實(shí)現(xiàn)平臺(tái)免運(yùn)維的場(chǎng)景。該服務(wù)還可自動(dòng)檢查數(shù)據(jù)庫(kù)是否滿足GDPR要求，出具報(bào)告和解決方案，幫助用戶快速整改，滿足GDPR合規(guī)性。

密鑰管理服務(wù)，為租戶應(yīng)用提供等高可靠硬件加密，集成到對(duì)象存儲(chǔ)(OBS)、云硬盤(EVS)、云鏡像(IMS)等多個(gè)基礎(chǔ)云服務(wù)。