阿里云優(yōu)惠券 先領券再下單

從2018年5月25日起，《歐盟通用數據保護規(guī)范(GDPR)》將開始正式生效實施，該規(guī)范加強了對數據隱私、數據處理以及數據安全性的相關規(guī)定。新修訂的法規(guī)適用于在歐盟內經營的所有企業(yè)以及收集或處理源自歐盟的(居民或游客)個人數據的企業(yè)。

本年初，我曾參加了一場關于GDPR實施日期即將到來的網絡研討會，主要是關于全球企業(yè)如何完成自己的合規(guī)項目問題。作為Imperva的高級數據隱私顧問，我了解與時俱進的滿足歐盟新法規(guī)要求的重要性并為之努力。

該會議的參會人員有Workday的首席隱私官Barbara Cosgrove、Trust Arc and Sue Habas的高級隱私顧問Naheed Bleecker以及ASC Technologies的策略技術副總裁。這場會議由MUFG Union Bank的總監(jiān)及網絡安全高級事總裁Branden Williams博士主持。會上我們對到2018年5月前所需實施的數據隱私、安全與合規(guī)項目所需的關鍵措施進行了深度探討。

總的來說，需要采取四類措施，具體是：

1) 嵌入隱私保護設計

2) 了解數據的存儲位置

3) 建立數據庫并分類

4) 實施適當的安全控制措施

嵌入隱私保護設計

Barbara Cosgrove稱“實際上，我們需要看到的是在整個開發(fā)過程中(使用個人數據的產品、過程、服務等)嵌入了適當隱私保護措施”。

根據GDPR規(guī)定，首先要確定企業(yè)是否更新了產品設計過程并調整了管理政策，包括項目初始階段的數據隱私輸入。此外，她還說道“需進行相關隱私影響評估，識別出任何風險，并確保你真正的了解個人數據的處理方法是否會導致數據主體暴露在高風險環(huán)境中”。

了解數據的存儲位置

Naheed Bleecker稱密切關注企業(yè)內部數據的整個生命周期流向是保持良好數據監(jiān)管的最簡單方法。“了解數據相關的所有控制措施是非常關鍵的，數據存在哪里?什么樣的人可以獲取該數據?數據流向哪兒了?哪些人會接觸到該數據?哪些具體的數據元會被收集?是否獲取了相關許可?實施了哪些數據存儲與保留標準?這些都是企業(yè)需要了解的自身情況。”

關于數據監(jiān)管的另一主要內容是了解第三方是如何與數據信息互動的。因此，GDPR不僅創(chuàng)造了使利益相關方接受相關培訓的機會，還可幫助構建與客戶及合作方間的穩(wěn)固關系。

建立數據庫并分類

Sue Habas稱“企業(yè)經營者最希望能自動處理業(yè)務與數據存儲事宜。此外還希望能夠實現集中處理數據庫元數據與分類，使所有人都能訪問數據。”

除此之外，你可能還需要分類信息，并使企業(yè)的內部終端用戶(業(yè)務端及技術端)能夠訪問這些信息。Habas說道“收集隱私數據并解決與管理此類問題是業(yè)務過程的基本內容”。

必需與產品及業(yè)務團隊合作，使企業(yè)相關人員了解并管理數據。因此需要以透明且負責任的方式(無論其使用的技術、用途或管轄范圍如何)處理數據。也就是說需要對整個數據豎井進行監(jiān)督。

實施“適當的”安全控制措施

同意進行數據庫與資產追蹤是各項綜合隱私項目的基礎。但并不是首要問題。首要任務是需要為所收集、處理與存儲的員工、客戶以及終端用戶的個人數據部署適當的安全控制措施。

GDPR 不僅明確要求數據脫敏與適當加密來保護數據處理安全性，對于沒有采取“適當”安全措施的企業(yè)，還提高了其違規(guī)罰金，即將罰金提高了相當于企業(yè)全球總收入2%或1000萬美元的罰款。

那么所謂的“適當”到底指的是什么?該如何開始了解數據隱私、風險或合規(guī)項目呢?首先，建議從企業(yè)資產管理著手，即：盤點各種數據存儲點、數據庫及各類職能部門的資產管理情況。例如：是否公司內的每個人是否有安全知識盲點?

還需要在數據傳輸及各類本地存儲過程中對數據進行加密，并建立與維護事件與數據違規(guī)響應項目。我強烈建議每個人都為其在企業(yè)內部的數據流向與處理情況繪制流向圖并記錄在相關文件中。一旦數據違規(guī)發(fā)生，即可在違規(guī)發(fā)生后的首個24與72小時內了解到具體發(fā)生了什么情況。

最佳實踐方法

GDPR 的出臺代表著全球企業(yè)處理與保護個人數據領域的劃時代轉折。使企業(yè)以及內部的隱私職能與GDPR的最佳實踐趨勢保持一致雖然并不是件簡單的事，但是每個企業(yè)都需要為之努力的事業(yè)。專業(yè)領先的數據隱私或安全項目都將在2018年5月25日前或其左右基本完成GDPR的最低合規(guī)準備工作。但在五一后，我建議您再考慮并檢查一下自己的數據隱私項目是否有疏漏。項目實施期間，主要需要將四類基礎問題以最佳實踐標準實施，且企業(yè)還需準備應對目前正在提高的全球隱私標準，這既是GDPR之類的規(guī)范所要求的，也是隨著當前社會對數據隱私問題的日益關注為企業(yè)所帶來的具有競爭性的業(yè)務特點。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！