企業(yè)想要滿足歐盟《通用數(shù)據(jù)保護(hù)法案》(GDPR)合規(guī)性的***方式，就是假設(shè)自身并不需要保留個人數(shù)據(jù)，而不是通過與之相反的方式。

[[258246]]

2018年5月，歐盟《通用數(shù)據(jù)保護(hù)法案》(GDPR)正式生效，對于GDPR合規(guī)性要求，一些盡職盡責(zé)地遵守該法規(guī)的企業(yè)也表現(xiàn)出了充分的自信心。但是，要知道，GDPR合規(guī)性規(guī)則并不像乍一看那么簡單，每個公司都應(yīng)該考慮其中的一些特殊用例。如果合規(guī)專員們只是對照表格打勾確認(rèn)，并沒有仔細(xì)評估GDPR的范圍以及其與公司數(shù)據(jù)收集實踐的關(guān)系，那么他們肯定會在合規(guī)計劃中出現(xiàn)紕漏。

以下是公司最容易忽略的3個GDPR合規(guī)性問題，其中任何一個問題都足以使公司陷入危險境地：

1. GDPR合規(guī)性不僅僅與消費者數(shù)據(jù)有關(guān)

GDPR旨在為消費者(其數(shù)據(jù)被各種不同的公司所收集)提供更多保護(hù)。但是，其監(jiān)管的范圍更為廣泛，并且可以以許多公司在其初始合規(guī)計劃中未曾考慮的方式進(jìn)行應(yīng)用。除了消費者個人數(shù)據(jù)外，公司還需要采用新的保護(hù)標(biāo)準(zhǔn)來處理員工、求職者以及非客戶(例如，填寫了個人信息但并未購買公司商品或服務(wù)的人)的個人數(shù)據(jù)。

法規(guī)規(guī)定所有數(shù)據(jù)處理活動都要有法律依據(jù)，因此***做法是僅收集消費者、求職者及其間所有人的基本數(shù)據(jù)處理活動所必需的數(shù)據(jù)。公司應(yīng)以數(shù)據(jù)最小化為目標(biāo)評估其數(shù)據(jù)處理實踐，以便確保GDPR下的合規(guī)性。

建議：

不要只審查數(shù)據(jù)獲取實踐，還要審查所有數(shù)據(jù)的數(shù)據(jù)保留實踐。確保您正確地處理了舊的求職簡歷、員工個人數(shù)據(jù)以及其他任何已經(jīng)過使用期限的記錄。

2. 政策vs.現(xiàn)實

任何旨在處理個人數(shù)據(jù)的公司都必須制定政策，來規(guī)范數(shù)據(jù)收集、存儲和處理的流程，以確保其與GDPR保持一致。雖然良好的數(shù)據(jù)治理是GDPR合規(guī)性的基石，但僅僅制定政策并不足以實現(xiàn)合規(guī)性。公司必須更進(jìn)一步，以確保員工履行GDPR規(guī)定的數(shù)據(jù)處理義務(wù)。本質(zhì)上來說，這就意味著公司有義務(wù)確保員工日常工作與GDPR政策保持一致。如果員工的行為不符合公司的標(biāo)準(zhǔn)，則必須采取糾正措施。

通常情況下，員工違反政策多屬無意——例如，如果客戶支持代理人與之在線通話，并將該客戶的個人信息保存在不屬于該客戶的系統(tǒng)中;或者，如果某個***進(jìn)取心的員工嘗試使用新軟件或建立免費軟件即服務(wù)賬戶，并忘記將其報告給公司的合規(guī)專員等等。雖然上述情況可能看起來無關(guān)緊要，但卻會為公司帶來很大的風(fēng)險，因為這兩個例子都屬于GDPR違規(guī)行為。

建議：

為了降低風(fēng)險，我們建議您經(jīng)常進(jìn)行“迷你”審核。我們的安全與合規(guī)團(tuán)隊已經(jīng)客觀切實地了解到：只有當(dāng)審核成為工作流程的一部分時，合規(guī)性才最容易納入日常工作流程之中。雖然大多數(shù)公司會進(jìn)行季度審核，再不濟(jì)也會進(jìn)行年度審核，但是我們提出的“迷你”審核概念將向各公司發(fā)出信號——即合規(guī)性并不是年度或季度事件，而是一種持續(xù)性的做法。更好的實踐方式是，使用工具自動化審核流程，這樣一來，當(dāng)政策與現(xiàn)實發(fā)生偏差時就能立即得到反饋。

3. 臨界情況

GDPR“個人信息”中所囊括的數(shù)據(jù)可不像基本的人口統(tǒng)計信息一樣簡單。例如，“職稱”就是一種意想不到的個人信息。大多數(shù)情況下，職稱并不被視為受GDPR保護(hù)的個人信息，但這也要視具體情況而定。例如，試想一下這個職稱：德國總理。毫無疑問，當(dāng)今世界上只有一個人擁有這樣一個職位，這也就意味著個人的身份可以通過這個特定的細(xì)節(jié)來揭示。因此，在這種情況下，職稱就必須被視為GDPR所提及的“個人信息”，自然也就屬于受保護(hù)的數(shù)據(jù)類別。問題在于，如果一個職位名稱被視為個人信息，那么所有的職稱都必須被視為潛在的個人信息，并得到同等的對待。

建議：

作為常規(guī)數(shù)據(jù)審核的一部分，請花一些時間查看您所收集的未標(biāo)記為個人信息的數(shù)據(jù)。試想一下，如果只使用“非個人”信息進(jìn)行標(biāo)注，您能夠分辨清楚該數(shù)據(jù)點是否屬于特定人員嗎?如果不能，您可能需要重新考慮一下究竟什么是個人信息，什么不是了。

滿足GDPR合規(guī)性要求要比我們所能想象的更為復(fù)雜和廣泛，但它也絕非一項不可能實現(xiàn)的標(biāo)準(zhǔn)。***的建議是，假設(shè)您不需要任何數(shù)據(jù)，而不是像您現(xiàn)在所實踐的這樣——收集、存儲盡可能多的數(shù)據(jù)。只有這樣本著GDPR保護(hù)客戶數(shù)據(jù)的本質(zhì)精神——公司才有可能為其用戶提供***水準(zhǔn)的個人數(shù)據(jù)保護(hù)，并確保在整個組織內(nèi)盡職盡責(zé)地完成個人數(shù)據(jù)處理任務(wù)。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文