域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

從2018年5月25日起，《歐盟通用數(shù)據(jù)保護(hù)規(guī)范(GDPR)》將開始正式生效實(shí)施，該規(guī)范加強(qiáng)了對(duì)數(shù)據(jù)隱私、數(shù)據(jù)處理以及數(shù)據(jù)安全性的相關(guān)規(guī)定。新修訂的法規(guī)適用于在歐盟內(nèi)經(jīng)營(yíng)的所有企業(yè)以及收集或處理源自歐盟的(居民或游客)個(gè)人數(shù)據(jù)的企業(yè)。

本年初，我曾參加了一場(chǎng)關(guān)于GDPR實(shí)施日期即將到來(lái)的網(wǎng)絡(luò)研討會(huì)，主要是關(guān)于全球企業(yè)如何完成自己的合規(guī)項(xiàng)目問(wèn)題。作為Imperva的高級(jí)數(shù)據(jù)隱私顧問(wèn)，我了解與時(shí)俱進(jìn)的滿足歐盟新法規(guī)要求的重要性并為之努力。

該會(huì)議的參會(huì)人員有Workday的首席隱私官Barbara Cosgrove、Trust Arc and Sue Habas的高級(jí)隱私顧問(wèn)Naheed Bleecker以及ASC Technologies的策略技術(shù)副總裁。這場(chǎng)會(huì)議由MUFG Union Bank的總監(jiān)及網(wǎng)絡(luò)安全高級(jí)事總裁Branden Williams博士主持。會(huì)上我們對(duì)到2018年5月前所需實(shí)施的數(shù)據(jù)隱私、安全與合規(guī)項(xiàng)目所需的關(guān)鍵措施進(jìn)行了深度探討。

總的來(lái)說(shuō)，需要采取四類措施，具體是：

1) 嵌入隱私保護(hù)設(shè)計(jì)

2) 了解數(shù)據(jù)的存儲(chǔ)位置

3) 建立數(shù)據(jù)庫(kù)并分類

4) 實(shí)施適當(dāng)?shù)陌踩刂拼胧?/p>

嵌入隱私保護(hù)設(shè)計(jì)

Barbara Cosgrove稱“實(shí)際上，我們需要看到的是在整個(gè)開發(fā)過(guò)程中(使用個(gè)人數(shù)據(jù)的產(chǎn)品、過(guò)程、服務(wù)等)嵌入了適當(dāng)隱私保護(hù)措施”。

根據(jù)GDPR規(guī)定，首先要確定企業(yè)是否更新了產(chǎn)品設(shè)計(jì)過(guò)程并調(diào)整了管理政策，包括項(xiàng)目初始階段的數(shù)據(jù)隱私輸入。此外，她還說(shuō)道“需進(jìn)行相關(guān)隱私影響評(píng)估，識(shí)別出任何風(fēng)險(xiǎn)，并確保你真正的了解個(gè)人數(shù)據(jù)的處理方法是否會(huì)導(dǎo)致數(shù)據(jù)主體暴露在高風(fēng)險(xiǎn)環(huán)境中”。

了解數(shù)據(jù)的存儲(chǔ)位置

Naheed Bleecker稱密切關(guān)注企業(yè)內(nèi)部數(shù)據(jù)的整個(gè)生命周期流向是保持良好數(shù)據(jù)監(jiān)管的最簡(jiǎn)單方法。“了解數(shù)據(jù)相關(guān)的所有控制措施是非常關(guān)鍵的，數(shù)據(jù)存在哪里?什么樣的人可以獲取該數(shù)據(jù)?數(shù)據(jù)流向哪兒了?哪些人會(huì)接觸到該數(shù)據(jù)?哪些具體的數(shù)據(jù)元會(huì)被收集?是否獲取了相關(guān)許可?實(shí)施了哪些數(shù)據(jù)存儲(chǔ)與保留標(biāo)準(zhǔn)?這些都是企業(yè)需要了解的自身情況。”

關(guān)于數(shù)據(jù)監(jiān)管的另一主要內(nèi)容是了解第三方是如何與數(shù)據(jù)信息互動(dòng)的。因此，GDPR不僅創(chuàng)造了使利益相關(guān)方接受相關(guān)培訓(xùn)的機(jī)會(huì)，還可幫助構(gòu)建與客戶及合作方間的穩(wěn)固關(guān)系。

建立數(shù)據(jù)庫(kù)并分類

Sue Habas稱“企業(yè)經(jīng)營(yíng)者最希望能自動(dòng)處理業(yè)務(wù)與數(shù)據(jù)存儲(chǔ)事宜。此外還希望能夠?qū)崿F(xiàn)集中處理數(shù)據(jù)庫(kù)元數(shù)據(jù)與分類，使所有人都能訪問(wèn)數(shù)據(jù)。”

除此之外，你可能還需要分類信息，并使企業(yè)的內(nèi)部終端用戶(業(yè)務(wù)端及技術(shù)端)能夠訪問(wèn)這些信息。Habas說(shuō)道“收集隱私數(shù)據(jù)并解決與管理此類問(wèn)題是業(yè)務(wù)過(guò)程的基本內(nèi)容”。

必需與產(chǎn)品及業(yè)務(wù)團(tuán)隊(duì)合作，使企業(yè)相關(guān)人員了解并管理數(shù)據(jù)。因此需要以透明且負(fù)責(zé)任的方式(無(wú)論其使用的技術(shù)、用途或管轄范圍如何)處理數(shù)據(jù)。也就是說(shuō)需要對(duì)整個(gè)數(shù)據(jù)豎井進(jìn)行監(jiān)督。

實(shí)施“適當(dāng)?shù)?rdquo;安全控制措施

同意進(jìn)行數(shù)據(jù)庫(kù)與資產(chǎn)追蹤是各項(xiàng)綜合隱私項(xiàng)目的基礎(chǔ)。但并不是首要問(wèn)題。首要任務(wù)是需要為所收集、處理與存儲(chǔ)的員工、客戶以及終端用戶的個(gè)人數(shù)據(jù)部署適當(dāng)?shù)陌踩刂拼胧?/p>

GDPR 不僅明確要求數(shù)據(jù)脫敏與適當(dāng)加密來(lái)保護(hù)數(shù)據(jù)處理安全性，對(duì)于沒(méi)有采取“適當(dāng)”安全措施的企業(yè)，還提高了其違規(guī)罰金，即將罰金提高了相當(dāng)于企業(yè)全球總收入2%或1000萬(wàn)美元的罰款。

那么所謂的“適當(dāng)”到底指的是什么?該如何開始了解數(shù)據(jù)隱私、風(fēng)險(xiǎn)或合規(guī)項(xiàng)目呢?首先，建議從企業(yè)資產(chǎn)管理著手，即：盤點(diǎn)各種數(shù)據(jù)存儲(chǔ)點(diǎn)、數(shù)據(jù)庫(kù)及各類職能部門的資產(chǎn)管理情況。例如：是否公司內(nèi)的每個(gè)人是否有安全知識(shí)盲點(diǎn)?

還需要在數(shù)據(jù)傳輸及各類本地存儲(chǔ)過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密，并建立與維護(hù)事件與數(shù)據(jù)違規(guī)響應(yīng)項(xiàng)目。我強(qiáng)烈建議每個(gè)人都為其在企業(yè)內(nèi)部的數(shù)據(jù)流向與處理情況繪制流向圖并記錄在相關(guān)文件中。一旦數(shù)據(jù)違規(guī)發(fā)生，即可在違規(guī)發(fā)生后的首個(gè)24與72小時(shí)內(nèi)了解到具體發(fā)生了什么情況。

最佳實(shí)踐方法

GDPR 的出臺(tái)代表著全球企業(yè)處理與保護(hù)個(gè)人數(shù)據(jù)領(lǐng)域的劃時(shí)代轉(zhuǎn)折。使企業(yè)以及內(nèi)部的隱私職能與GDPR的最佳實(shí)踐趨勢(shì)保持一致雖然并不是件簡(jiǎn)單的事，但是每個(gè)企業(yè)都需要為之努力的事業(yè)。專業(yè)領(lǐng)先的數(shù)據(jù)隱私或安全項(xiàng)目都將在2018年5月25日前或其左右基本完成GDPR的最低合規(guī)準(zhǔn)備工作。但在五一后，我建議您再考慮并檢查一下自己的數(shù)據(jù)隱私項(xiàng)目是否有疏漏。項(xiàng)目實(shí)施期間，主要需要將四類基礎(chǔ)問(wèn)題以最佳實(shí)踐標(biāo)準(zhǔn)實(shí)施，且企業(yè)還需準(zhǔn)備應(yīng)對(duì)目前正在提高的全球隱私標(biāo)準(zhǔn)，這既是GDPR之類的規(guī)范所要求的，也是隨著當(dāng)前社會(huì)對(duì)數(shù)據(jù)隱私問(wèn)題的日益關(guān)注為企業(yè)所帶來(lái)的具有競(jìng)爭(zhēng)性的業(yè)務(wù)特點(diǎn)。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！