前些日子，國(guó)外調(diào)查組織的一項(xiàng)調(diào)研發(fā)現(xiàn)，在所有受訪公司中，只有20%的企業(yè)完全符合GDPR標(biāo)準(zhǔn)，53%正處于實(shí)施階段，27%尚未開(kāi)始實(shí)施。雖然GDPR合規(guī)之路任重而道遠(yuǎn)，但相比于去年的調(diào)查結(jié)果，過(guò)去的十個(gè)月已取得了長(zhǎng)足的進(jìn)步。

近期沸沸揚(yáng)揚(yáng)的Google、Facebook等著名互聯(lián)網(wǎng)大廠被訴案，這些企業(yè)一旦因此新規(guī)被判輸，將面臨超過(guò)50億美金的罰款，在許多在歐盟成員國(guó)有業(yè)務(wù)的國(guó)內(nèi)企業(yè)也因?yàn)椴荒軡M(mǎn)足GDPR合規(guī)性而暫停業(yè)務(wù)，而這還只是剛剛開(kāi)始。不得不說(shuō)，如今人們對(duì)個(gè)人隱私數(shù)據(jù)保護(hù)的重視正在成為影響企業(yè)運(yùn)行發(fā)展的重要因素，筆者也相信，歐盟的GDPR將會(huì)成為世界各國(guó)互聯(lián)網(wǎng)安全立法學(xué)習(xí)的典范。就國(guó)內(nèi)而言，2017年6月1日正式頒布實(shí)施的《網(wǎng)絡(luò)安全法》，第四十至五十條闡述了做為數(shù)據(jù)處理者和管理者等角色的責(zé)任和義務(wù)。相信在不遠(yuǎn)的未來(lái)，國(guó)內(nèi)也會(huì)出臺(tái)更具體的細(xì)則條例來(lái)支撐網(wǎng)安法的落地，提升對(duì)數(shù)據(jù)主體的權(quán)益。

在今年的5月25日，GDPR在歐盟地區(qū)正式全面實(shí)施，盡管只是一部只在歐盟區(qū)域內(nèi)部實(shí)行的法律，卻也在國(guó)際范圍內(nèi)引起了廣泛的關(guān)注。國(guó)內(nèi)安全圈更不例外，一度興起了半個(gè)多月的討論熱潮。

在近兩個(gè)多月時(shí)間里，也偶爾在一些平臺(tái)看到幾篇關(guān)于GDPR的文章，但是絕大多數(shù)的內(nèi)容僅僅停留在討論這部法律的規(guī)定有多么嚴(yán)苛，對(duì)企業(yè)提出了哪些新的要求，極少有文章在實(shí)際性的探討企業(yè)通過(guò)哪些手段去滿(mǎn)足GDPR的合規(guī)性要求(也可能是因?yàn)閲?guó)內(nèi)在做歐洲做生意的企業(yè)不多，很多企業(yè)無(wú)需為了GDPR改造優(yōu)化自己的業(yè)務(wù)系統(tǒng)?)。

昨日看到Freebuf在推廣的一個(gè)關(guān)于GDPR的視頻，課程的開(kāi)始簡(jiǎn)要的介紹了GDPR的一些背景情況，如果你還不知道GDPR是什么，可以直接去看一看。

企業(yè)組織應(yīng)該為GDPR做哪些技術(shù)措施方面的準(zhǔn)備?

主講人結(jié)合GDPR的合規(guī)性要求，從數(shù)據(jù)流動(dòng)傳輸?shù)膸讉€(gè)主要過(guò)程一一闡述他以及IBM對(duì)此的認(rèn)知和建議。

對(duì)應(yīng)的五個(gè)關(guān)鍵技術(shù)措施場(chǎng)景：

場(chǎng)景一：發(fā)現(xiàn)和分類(lèi)個(gè)人數(shù)據(jù)

高爽老師講到，在GDPR出臺(tái)前，很多企業(yè)對(duì)這些數(shù)據(jù)的梳理已經(jīng)有了一些實(shí)踐，但這些實(shí)踐大都是一次性的，沒(méi)有一個(gè)長(zhǎng)效的機(jī)制。個(gè)人數(shù)據(jù)被采集后，在企業(yè)內(nèi)部的流動(dòng)性很強(qiáng)，很多的業(yè)務(wù)環(huán)節(jié)都需要這些數(shù)據(jù)的支撐，僅通過(guò)梳理記錄文檔的形式不持久，并且沒(méi)有辦法動(dòng)態(tài)的發(fā)現(xiàn)個(gè)人數(shù)據(jù)中存在的風(fēng)險(xiǎn)。企業(yè)需要一套方案或技術(shù)手段，對(duì)數(shù)據(jù)進(jìn)行分類(lèi)(屬性、標(biāo)簽等)處理，并且應(yīng)用到后續(xù)的各種安全策略中。

場(chǎng)景二：識(shí)別、修復(fù)數(shù)據(jù)系統(tǒng)安全風(fēng)險(xiǎn)

也即數(shù)據(jù)的周邊環(huán)境安全問(wèn)題。首先是數(shù)據(jù)所依存的環(huán)境，數(shù)據(jù)庫(kù)、大數(shù)據(jù)系統(tǒng)等，企業(yè)需要持續(xù)動(dòng)態(tài)的發(fā)現(xiàn)這些基礎(chǔ)設(shè)施中的安全漏洞問(wèn)題。除了胸痛設(shè)施以外，還要對(duì)能夠接觸使用到這些數(shù)據(jù)用戶(hù)(相關(guān)數(shù)據(jù)庫(kù)、應(yīng)用賬戶(hù))的權(quán)限進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)越權(quán)賬戶(hù)并進(jìn)行規(guī)避處理。

場(chǎng)景三：追蹤數(shù)據(jù)是如何處理的

也即要監(jiān)控?cái)?shù)據(jù)在內(nèi)部各個(gè)環(huán)節(jié)流轉(zhuǎn)過(guò)程，發(fā)現(xiàn)違規(guī)訪問(wèn)行為并發(fā)出警報(bào)并采取隔離措施。用戶(hù)變更、完全刪除個(gè)人數(shù)據(jù)滿(mǎn)足與證實(shí)。不僅要對(duì)主動(dòng)采集的用戶(hù)信息進(jìn)行保護(hù)，對(duì)從其他數(shù)據(jù)源中搜集到的數(shù)據(jù)也要進(jìn)行同樣的保護(hù)跟蹤措施。

場(chǎng)景四：追蹤數(shù)據(jù)主體的訪問(wèn)權(quán)，更正權(quán)，刪除權(quán)等權(quán)利

及時(shí)響應(yīng)數(shù)據(jù)主體(個(gè)人)的要求(更正、刪除等)。這需要一套標(biāo)準(zhǔn)化的合規(guī)的流程，將需要的信息和流程環(huán)節(jié)整合。

場(chǎng)景五：組織需要具備安全問(wèn)題管理和通知的能力(包括事件調(diào)查)

即：應(yīng)急響應(yīng)，每家企業(yè)對(duì)數(shù)據(jù)泄露后的應(yīng)急處理也是GDPR所關(guān)注的重點(diǎn)，在條文中規(guī)定企業(yè)須在72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)匯報(bào)。

通過(guò)這個(gè)視頻，筆者對(duì)從技術(shù)場(chǎng)景角度滿(mǎn)足GDPR合規(guī)性要求有了一定的了解(稍稍吐槽下，硬廣略多，期待大廠專(zhuān)家能多分享干貨，少賣(mài)廣告)，對(duì)于不“出海”的企業(yè)而言似乎用什么實(shí)際意義，畢竟國(guó)內(nèi)企業(yè)對(duì)公眾個(gè)人數(shù)據(jù)的處理……當(dāng)然，作為一個(gè)大數(shù)據(jù)多年的從業(yè)者，筆者對(duì)如何幫助企業(yè)滿(mǎn)足國(guó)內(nèi)法律要求也有了大致的技術(shù)思路，能滿(mǎn)足GDPR合規(guī)性要求的一定可以滿(mǎn)足國(guó)內(nèi)法律要求，你說(shuō)呢?