所有收集歐盟（EU）國家公民數據的企業(yè)，將必須在明年正式執(zhí)行有關用戶數據保護的嚴格新規(guī)——《通用數據保護規(guī)范》（GDPR）。GDPR的目標是保護歐盟公民免受隱私和數據泄露的影響，同時重塑歐盟的組織機構處理隱私和數據保護的方式。

2018年5月25日，GDPR將正式生效，并取代當前的數據保護指令（DPD）。該規(guī)范比指令更有力，因為它不需要由每個成員國單獨采用。相反，自生效之日起，所有成員國的法規(guī)將立即適用于法律。

新規(guī)的出現(xiàn)為企業(yè)安全團隊帶來了一些擔憂，同時也帶來了一些新的期待。例如，GDPR對個人信息的保護及其監(jiān)管達到了前所未有的高度，同時也擴大了對于用戶個人數據的定義，企業(yè)必須將用戶個人的IP地址或cookie數據等信息置于和其他用戶機密數據（姓名、地址以及社會安全號碼等）相同的保護等級。

不過，GDPR也留下了許多解釋空間。例如，它指出，公司必須為個人數據提供“合理”的保護等級，但是卻并未明確界定“合理”的標準。如此一來，在涉及評估數據違規(guī)和違規(guī)罰款的問題時，就為GDPR管理機構留出了很大的解釋余地。

目前，為了強化企業(yè)員工對GDPR新規(guī)的了解，許多企業(yè)的首席安全官（CSO）已經編寫了“企業(yè)需要了解的GDPR新規(guī)內容”以及關于如何滿足其要求的建議。雖然新規(guī)中的許多要求并不直接涉及信息安全，但是新規(guī)對于安全流程和系統(tǒng)的要求可能會對企業(yè)現(xiàn)有的安全系統(tǒng)和協(xié)議產生一定的影響。

什么是GDPR？

歐盟議會于2016年4月通過了GDPR新規(guī)，用于取代1995年發(fā)布的過時的數據保護指令（DPD）。新的指令完全更新了歐盟成員國以及任何與歐盟各國進行交易或持有公民（歐洲經濟區(qū)公民）數據的公司必須存儲安全和管理個人數據的方式。

此外，GDPR新規(guī)是在28個歐盟成員國統(tǒng)一實施生效的，這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現(xiàn)代性。但是，GDPR的合規(guī)要求是相當高的，需要大多數企業(yè)投入大量的人力、財力才能得以實現(xiàn)。

根據Ovum公司提供的調查報告顯示，52%的受訪IT決策者預計GDPR將會“導致他們公司受到罰款”；三分之二的受訪者認為這將“迫使他們改變歐洲業(yè)務戰(zhàn)略”；超過70%的受訪者預計會增加開支來滿足數據保護要求，同時，超過30%的受訪者預計在未來兩年預算將會增加超過10%；甚至有高達85%的受訪者認為GDPR將使其在與歐盟公司的競爭中處于劣勢。

GDPR新規(guī)將影響哪些企業(yè)？

任何存儲或處理歐盟國家內有關歐盟公民個人信息的公司，即使在歐盟境內沒有業(yè)務存在，也必須遵守GDPR。有關必須遵守GDPR新規(guī)的公司的具體標準如下所示：

在歐盟境內擁有業(yè)務；

在歐盟境內沒有業(yè)務，但是存儲或處理歐盟公民的個人信息；

超過250名員工；

少于250名員工，但是其數據處理方式影響數據主體的權利和隱私，或是包含某些類型的敏感個人數據。

這也就意味著，GDPR新規(guī)幾乎適用于所有的公司。普華永道提供的調查結果顯示，92％的美國公司認為GDPR將成為最重要的數據保護措施。

GDPR新規(guī)截止實施時間？

公司必須在2018年5月25日之前遵守GDPR新規(guī)要求。

組織是否必須指定數據保護人員遵守GDPR？

GDPR引入了具體術語來定義組織內的角色和責任，包括數據控制員（Data controller）、數據處理員（Data processor）以及數據保護員（Data Protection Officer，簡稱DPO）。其中數據控制員（Data controller）定義了個人數據的處理方式和目的，此外，控制員還負責確保外部承包商能夠遵守相關規(guī)定。

數據處理員(Data processor)可以是維護和處理個人數據記錄的內部團體（如業(yè)務分析師或開發(fā)商的直接雇員），也可以是執(zhí)行全部或部分這些活動的任何外部服務提供商（如信用評級機構等）。

GDPR新規(guī)要求數據處理員為違規(guī)和不遵守規(guī)定的行為負責。那么也就是說，即便事故責任完全在負責數據處理的合作伙伴一方（如云服務提供商），你的公司和該合作伙伴也可能會同時受到處罰。

此外，GDPR還要求控制員和處理員指定一個數據保護員(DPO)來監(jiān)管數據安全策略和GDPR合規(guī)性。核心活動涉及處理或存儲大量的歐盟公民數據、處理或存儲特殊類別的個人數據（健康記錄、犯罪記錄）的組織必須指定名DPO。DPO主要負責就GDPR規(guī)定提供咨詢意見，向最高管理層報告。

完成GDPR合規(guī)要求所需成本？

根據普華永道的調查數據顯示，68%的美國公司預計將花費100萬到1000萬美元的投入來滿足GDPR的合規(guī)性要求；另有9%的企業(yè)預計將花費超過1000萬美元。

如果企業(yè)沒有滿足GDPR的合規(guī)性要求將導致什么后果？

每一單GDPR違規(guī)行為將受到高達2000萬歐元的嚴重處罰，或者上一年全球年營業(yè)額的4％，以較高者為準。根據Ovum公司提供的調查報告顯示，52%的受訪IT決策者預計他們會因為違規(guī)行為而面臨罰款。管理咨詢公司奧利弗·懷曼（Oliver Wyman）預測，歐盟在第一年可能會收到高達60億美元的罰款金額。

目前，一個懸而未決的問題是如何對懲罰進行評估。例如，一個對個人影響最小的違規(guī)行為，和一個因暴露個人識別信息（PII）而對個人造成實際損失的違規(guī)行為之間的懲罰力度是否存在區(qū)別？目前，普遍認知的見解是，監(jiān)管部門將迅速對一些早期發(fā)現(xiàn)不合規(guī)的企業(yè)采取行動發(fā)出一份不合規(guī)信息通知。然后，組織就能夠更好地評估一旦發(fā)生不合規(guī)的情況會產生什么后果。

哪些類型的隱私數據將受到GDPR保護？

基本的身份信息，如姓名、地址和身份證號碼等；

網絡數據，如位置、IP地址、Cookie數據和RFID標簽等；

醫(yī)療保健和遺傳數據；

生物識別數據，如指紋、虹膜等；

種族或民族數據；

政治觀點；

性取向。

GDPR的哪些合規(guī)要求將影響你的公司？

GDPR的合規(guī)要求將迫使美國企業(yè)改變他們處理、存儲和保護用戶個人數據的方式。例如，根據GDPR的要求，組織在要求個人資料時將被要求使用“簡明語言”，并且必須提供有關它們如何處理的信息。他們必須說出他們是誰，他們?yōu)槭裁匆幚頂祿?，誰接收到它，以及它將被存儲多長時間。他們必須讓個人明確，并肯定地同意處理數據。

此外，GDPR還要求數據管理員采取合理步驟，確保參與數據共享的第三方刪除，擴大了被刪除的權利。這一項也被稱為“被遺忘的權利”。

有幾項合規(guī)要求還將對企業(yè)的安全團隊產生直接影響。其一就是公司必須能夠為歐盟公民提供“合理的”數據安全和隱私保護，但是對于“合理的”具體標準，GDPR并沒有進行明確規(guī)定。

而對于企業(yè)來說，其中最具挑戰(zhàn)性的合規(guī)要求應該是，公司必須在發(fā)現(xiàn)違規(guī)事件的72小時內，向監(jiān)管當局和受到違規(guī)事件影響的個人通報數據違規(guī)行為。執(zhí)行影響評估的另一個要求是，通過識別漏洞以及制定漏洞解決方案來幫助減輕漏洞導致的安全風險。

一個成功的GDPR項目是什么樣的？

提到GDPR新規(guī)對企業(yè)的影響，沒有比ADP（美國自動數據處理公司）更有發(fā)言權的公司存在了！該公司為全球超過65萬家公司提供基于云計算的人力資本管理（HCM）和業(yè)務外包服務，ADP持有全球數百萬用戶的個人身份信息（PII），所以其用戶非常期待ADP公司能夠符合GDPR的合規(guī)要求。如果發(fā)現(xiàn)ADP沒有符合GDPR標準，那么該公司損失的不僅是高達2000萬歐元，或上年度全球年營業(yè)額4％的高額罰款，還將承擔失去客戶信任的風險。

ADP在全球的業(yè)務重點和規(guī)模一定程序上也成為其更快、更好的適應GDPR新規(guī)的優(yōu)勢。它很好地遵守并實踐了現(xiàn)有的隱私和安全規(guī)定，所以適應GDPR的合規(guī)要求并不是難事。ADP首席隱私官Cecile Georges表示，“我們非常熟悉歐洲現(xiàn)行的隱私法，所以對于GDPR新規(guī)我們也不會無所適從。GDPR新規(guī)觸發(fā)了我們作為一家企業(yè)，同時作為一個服務提供商的使命感，我們需要遵守GDPR新規(guī)來為我們的客戶提供更好地服務支持和保護。”

雖然，ADP公司為GDPR新規(guī)的實施付出了比其他很多公司更多的準備，但是不得不承認，GDPR項目是一項巨大的、全球性的工程，它大約開始于一年前（2016年通過），但是它是基于早期安全隱私指令基礎上的項目。Georges表示，“其實我們甚至早在GDPR新規(guī)討論之前就已經開始實踐其中的一些規(guī)定了，我們早在幾年前就開始對新產品進行了數據流映射和隱私評估工作。”

Georges認為，早期階段進行的數據流映射工作是非常關鍵的。她說，“如果很久以前我們沒有啟動數據流映射，那么我現(xiàn)在就不會如此自信了，數據流映射需要做產品清單，而處理PII對于數據保護影響評估而言是第一步。此外，我們還通過為開發(fā)人員提供培訓來實現(xiàn)新產品的‘隱私設計’要求。”

ADP公司在GDPR項目上取得的成功吸引了全球各地眾多企業(yè)的關注。Georges表示，“GDPR不僅僅是一個純粹的隱私或合規(guī)項目，它實際上是涉及整個組織的一個事情，我們正在與整個公司的項目經理進行協(xié)調，以確保正確的流程能夠在我們整個組織內部實現(xiàn)完美運作。”

目前，ADP公司已經實施了保護個人身份信息(PII)的機制，如加密。Georges說：“從安全角度來看，我們得出的結論是，需要更多的是與客戶溝通，確保他們正確地了解我們正在做的事情。”

由于ADP是其他公司的“數據處理器(data processor)”，所以它已經采取了一個可選步驟來定義關于保護PII的結合公司規(guī)則(binding corporate rules)。

Georges表示，“像其他合規(guī)項目一樣，我們將按時完成并遵守GDPR的各項要求。對于這一點，我們的客戶也應該有一個清楚的認知。事實上，我們已經申請了具有約束力的結合公司規(guī)則，雖然這一點并不在GDPR的要求之內，但是我們希望我們的客戶明白，我們想要讓他們的生活更加輕松安全，我們希望能夠保護他們的個人數據，以達到歐盟監(jiān)管機構所期待的標準。”

Georges表示，她聽到有些企業(yè)還沒有按照GDPR合規(guī)要求做好準備。

時鐘已經滴滴作響了，如果一家企業(yè)到現(xiàn)在還沒有開始研究他們需要做什么準備，我想他們還是先去了解這對于他們的企業(yè)將意味著什么吧！他們需要先了解自身受到新監(jiān)管法規(guī)的影響程度，然后進行缺口分析(gap analysis)，這是進行任何評估項目都必須首先實現(xiàn)的兩點。

此外，她還鼓勵公司采取一個適合自己的操作方式。

根據企業(yè)自身的業(yè)務和擁有的工具不同，可以采取不同的GDPR應用方式，對此需要業(yè)務人員進行評估。評估完成后就可以決定接下來要做什么，然后對正在做的事情進行記錄，這就是GDPR所說的“責任原則”，要求企業(yè)記錄他們實現(xiàn)合規(guī)的過程。這些記錄文件將非常關鍵，因為如果監(jiān)管機構要求提供合規(guī)證明，公司必須能夠提供。

為實現(xiàn)GDPR合規(guī)要求，企業(yè)需要怎么做？

1. 樹立來自最高管理層的緊迫感

風險管理公司Marsh強調了執(zhí)行領導層重視網絡準備的重要性，遵守全球數據衛(wèi)生標準是準備工作的一部分。

2. 號召所有的利益相關者

僅靠IT人員是無法實現(xiàn)GDPR合規(guī)要求的。公司可以啟動一個工作小組，號召市場營銷、財務、銷售、運營以及企業(yè)內所有涉及收集、分析和以其他方式利用客戶個人身份信息（PII）的人員參與其中。通過成立GDPR工作小組，他們可以更好地為那些實施技術和程序變革的人員提供所需的信息，同時也可以更好地處理任何會對其團隊產生影響的事件。

3. 進行風險評估

你需要了解自己公司存儲和處理的歐盟公民數據，以及圍繞其的安全風險。但記住，除此以外，風險評估還必須囊括為減輕風險所采取的措施。該評估過程的一個關鍵任務就是揭開可能收集和存儲個人識別信息（PII）的所有影子IT（shadow IT，即在企業(yè)IT部門以外所發(fā)生的技術投入和部署，包括個別員工、團隊和業(yè)務部門所采用的云應用程序），因為影子IT可能是造成違規(guī)行為的最大風險。

除此之外，不容忽視的風險還有很多。根據Snow Software的IT思想領袖兼高級副總裁Matt Fisher的說法，已經有超過39,000個應用程序被用來存儲個人數據。他表示，“冰山效應會對組織的GDPR合規(guī)性造成嚴重的風險，因為很多人只會將注意力集中在冰面以上那10%掌握個人數據的應用程序上。由于企業(yè)IT團隊對整個企業(yè)使用的應用程序情況疏于了解，所以他們缺乏對可能威脅到GDPR合規(guī)性的應用程序的總體認知。”

Fisher繼續(xù)補充道，“開始（風險評估）往往是最難的。第一步，組織必須全面了解其整個IT基礎設施，并請點所有的應用程序。清點的同時需要了解哪些應用程序能夠處理個人數據，這樣能夠大大縮小評估項目的范圍，以及在項目上花費的時間成本。如此才能使不可能成為可能。”

4. 雇用或任命一個數據保護官(DPO)

GDPR規(guī)定擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定DPO。這根據他們是否處理敏感數據的情況而定，擁有少于250名員工的組織可能也需要指定DPO。那么，如果你的公司內已經存在了一個發(fā)揮類似作用的人員，能夠確保PII安全是最好的。否則，你將需要重新聘請一名DPO。根據企業(yè)自身的情況，DPO可以不要求一定是全職，在這種情況下，企業(yè)就可以選擇一名兼職DPO人員。加上GDPR新規(guī)允許一名DPO同時為多個企業(yè)工作，所以聘請一名兼職DPO人員將是一個很好的選擇。

5. 制定數據保護計劃

大多數公司已經制定了相關計劃，但還是需要對計劃進行審查和更新，以確保其符合GDPR要求。

6. 不要忘記移動設備

根據Lookout公司對IT和安全管理人員的調查數據顯示，64%的員工會使用移動設備訪問客戶、合作伙伴以及員工的個人識別信息（PII）。這種行為為GDPR合規(guī)性造成了另一種威脅。例如，81%的受訪者表示，大多數員工都被允許在辦公設備（可能是員工自己的設備）上安裝個人應用程序。如果這些應用程序需要訪問和存儲個人識別信息（PII），則必須按照GDPR合規(guī)要求進行操作。這一過程是很難控制的，尤其是你需要將員工使用的所有未經授權的應用程序都考慮在內。

7. 制定一個匯報GDPR合規(guī)進度的計劃

Fisher表示，“距離GDPR新規(guī)實施的日子屈指可數，組織必須證明它們正在完成‘處理活動記錄’(Record of Processing Activities，簡稱RoPA)——根據GDPR新規(guī)第30條規(guī)定，組織必須清點存在風險的應用程序，避免其成為監(jiān)管機構的目標。建立‘處理活動記錄’是現(xiàn)階段企業(yè)需要關注的重點，因為它可以幫助企業(yè)識別處理個人數據的具體位置、以及哪些人或程序正在處理這些數據，或這些數據是如何被處理的。”

8. 實施降低風險的措施

一旦確定了風險并想要減輕風險，就必須實施這些安全措施。對于大多數公司來說，這意味著需要修改現(xiàn)有的風險緩解措施。Fisher表示，“在清點應用程序和完成‘處理活動記錄’之后，GDPR團隊就能夠發(fā)現(xiàn)和調查與數據相關的任何風險，并確定保護這些數據所需的適當安全級別。”

9. 如果你的企業(yè)很小，請在需要的時候尋求幫助

規(guī)模較小的公司也將會受到GDPR新規(guī)的影響，而且其中一些可能會表現(xiàn)得更為顯著。這種情況下，他們可能沒有所需的資源來滿足GDPR合規(guī)要求。這時候，他們就可以尋求外部資源來為他們提供建議，或提供技術專家來幫助他們完成整個過程，并最大限度地避免內部中斷。

10. 測試事件響應計劃

GDPR要求公司在72小時內報告違規(guī)行為。響應團隊如何將損害降至最低，將直接影響公司違約罰款的風險。所以，請確保您能夠在這段時間內完成違規(guī)報告和響應。

11. 建立持續(xù)的評估流程

您想要確保自身保持合規(guī)，就需要進行持續(xù)地監(jiān)控和改進操作。一些公司正在考慮通過獎懲制度來確保其員工遵守新的政策。根據Veritas Technologies的一項調查顯示，47%的受訪企業(yè)表示可能會將強制性GDPR政策加到員工合同中；25%的受訪者表示，如果發(fā)生GDPR違規(guī)行為可能會扣除員工的獎金和福利；34%的受訪者表示會通過獎勵政策鼓勵員工遵守GDPR新規(guī)。

12. 著眼改善自身業(yè)務

根據Varonis Systems的調查結果顯示，74％的受訪者認為符合GDPR合規(guī)要求將成為一項潛在的競爭優(yōu)勢。合規(guī)將提高消費者對企業(yè)的信心。更重要的是，滿足GDPR合規(guī)要求所需的技術和流程改進應該能夠提高組織管理和保護數據的效率。