1. 程式人生 > >Aras學習筆記 (23) GDPR《通用資料保護規範》解釋(轉)

Aras學習筆記 (23) GDPR《通用資料保護規範》解釋(轉)

所有收集歐盟(EU)國家公民資料的企業,將必須在明年正式執行有關使用者資料保護的嚴格新規——《通用資料保護規範》(GDPR)。GDPR的目標是保護歐盟公民免受隱私和資料洩露的影響,同時重塑歐盟的組織機構處理隱私和資料保護的方式。

2018年5月25日,GDPR將正式生效,並取代當前的資料保護指令(DPD)。該規範比指令更有力,因為它不需要由每個成員國單獨採用。相反,自生效之日起,所有成員國的法規將立即適用於法律。

新規的出現為企業安全團隊帶來了一些擔憂,同時也帶來了一些新的期待。例如,GDPR對個人資訊的保護及其監管達到了前所未有的高度,同時也擴大了對於使用者個人資料的定義,企業必須將使用者個人的IP地址或cookie資料等資訊置於和其他使用者機密資料(姓名、地址以及社會安全號碼等)相同的保護等級。

不過,GDPR也留下了許多解釋空間。例如,它指出,公司必須為個人資料提供“合理”的保護等級,但是卻並未明確界定“合理”的標準。如此一來,在涉及評估資料違規和違規罰款的問題時,就為GDPR管理機構留出了很大的解釋餘地。

目前,為了強化企業員工對GDPR新規的瞭解,許多企業的首席安全官(CSO)已經編寫了“企業需要了解的GDPR新規內容”以及關於如何滿足其要求的建議。雖然新規中的許多要求並不直接涉及資訊保安,但是新規對於安全流程和系統的要求可能會對企業現有的安全系統和協議產生一定的影響。

什麼是GDPR?

歐盟議會於2016年4月通過了GDPR新規,用於取代1995年釋出的過時的資料保護指令(DPD)。新的指令完全更新了歐盟成員國以及任何與歐盟各國進行交易或持有公民(歐洲經濟區公民)資料的公司必須儲存安全和管理個人資料的方式。

此外,GDPR新規是在28個歐盟成員國統一實施生效的,這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。但是,GDPR的合規要求是相當高的,需要大多數企業投入大量的人力、財力才能得以實現。

根據Ovum公司提供的調查報告顯示,52%的受訪IT決策者預計GDPR將會“導致他們公司受到罰款”;三分之二的受訪者認為這將“迫使他們改變歐洲業務戰略”;超過70%的受訪者預計會增加開支來滿足資料保護要求,同時,超過30%的受訪者預計在未來兩年預算將會增加超過10%;甚至有高達85%的受訪者認為GDPR將使其在與歐盟公司的競爭中處於劣勢。

GDPR新規將影響哪些企業?

任何儲存或處理歐盟國家內有關歐盟公民個人資訊的公司,即使在歐盟境內沒有業務存在,也必須遵守GDPR。有關必須遵守GDPR新規的公司的具體標準如下所示:

  • 在歐盟境內擁有業務;
  • 在歐盟境內沒有業務,但是儲存或處理歐盟公民的個人資訊;
  • 超過250名員工;
  • 少於250名員工,但是其資料處理方式影響資料主體的權利和隱私,或是包含某些型別的敏感個人資料。

這也就意味著,GDPR新規幾乎適用於所有的公司。普華永道提供的調查結果顯示,92%的美國公司認為GDPR將成為最重要的資料保護措施。

GDPR新規截止實施時間?

公司必須在2018年5月25日之前遵守GDPR新規要求。

組織是否必須指定資料保護人員遵守GDPR?

GDPR引入了具體術語來定義組織內的角色和責任,包括資料控制員(Data controller)、資料處理員(Data processor)以及資料保護員(Data Protection Officer,簡稱DPO)。其中資料控制員(Data controller)定義了個人資料的處理方式和目的,此外,控制員還負責確保外部承包商能夠遵守相關規定。

資料處理員(Data processor)可以是維護和處理個人資料記錄的內部團體(如業務分析師或開發商的直接僱員),也可以是執行全部或部分這些活動的任何外部服務提供商(如信用評級機構等)。

GDPR新規要求資料處理員為違規和不遵守規定的行為負責。那麼也就是說,即便事故責任完全在負責資料處理的合作伙伴一方(如雲服務提供商),你的公司和該合作伙伴也可能會同時受到處罰。

此外,GDPR還要求控制員和處理員指定一個數據保護員(DPO)來監管資料安全策略和GDPR合規性。核心活動涉及處理或儲存大量的歐盟公民資料、處理或儲存特殊類別的個人資料(健康記錄、犯罪記錄)的組織必須指定名DPO。DPO主要負責就GDPR規定提供諮詢意見,向最高管理層報告。

完成GDPR合規要求所需成本?

根據普華永道的調查資料顯示,68%的美國公司預計將花費100萬到1000萬美元的投入來滿足GDPR的合規性要求;另有9%的企業預計將花費超過1000萬美元。

如果企業沒有滿足GDPR的合規性要求將導致什麼後果?

每一單GDPR違規行為將受到高達2000萬歐元的嚴重處罰,或者上一年全球年營業額的4%,以較高者為準。根據Ovum公司提供的調查報告顯示,52%的受訪IT決策者預計他們會因為違規行為而面臨罰款。管理諮詢公司奧利弗·懷曼(Oliver Wyman)預測,歐盟在第一年可能會收到高達60億美元的罰款金額。

目前,一個懸而未決的問題是如何對懲罰進行評估。例如,一個對個人影響最小的違規行為,和一個因暴露個人識別資訊(PII)而對個人造成實際損失的違規行為之間的懲罰力度是否存在區別?目前,普遍認知的見解是,監管部門將迅速對一些早期發現不合規的企業採取行動發出一份不合規資訊通知。然後,組織就能夠更好地評估一旦發生不合規的情況會產生什麼後果。

哪些型別的隱私資料將受到GDPR保護?

  • 基本的身份資訊,如姓名、地址和身份證號碼等;
  • 網路資料,如位置、IP地址、Cookie資料和RFID標籤等;
  • 醫療保健和遺傳資料;
  • 生物識別資料,如指紋、虹膜等;
  • 種族或民族資料;
  • 政治觀點;
  • 性取向。

GDPR的哪些合規要求將影響你的公司?

GDPR的合規要求將迫使美國企業改變他們處理、儲存和保護使用者個人資料的方式。例如,根據GDPR的要求,組織在要求個人資料時將被要求使用“簡明語言”,並且必須提供有關它們如何處理的資訊。他們必須說出他們是誰,他們為什麼要處理資料,誰接收到它,以及它將被儲存多長時間。他們必須讓個人明確,並肯定地同意處理資料。

此外,GDPR還要求資料管理員採取合理步驟,確保參與資料共享的第三方刪除,擴大了被刪除的權利。這一項也被稱為“被遺忘的權利”。

有幾項合規要求還將對企業的安全團隊產生直接影響。其一就是公司必須能夠為歐盟公民提供“合理的”資料安全和隱私保護,但是對於“合理的”具體標準,GDPR並沒有進行明確規定。

而對於企業來說,其中最具挑戰性的合規要求應該是,公司必須在發現違規事件的72小時內,向監管當局和受到違規事件影響的個人通報資料違規行為。執行影響評估的另一個要求是,通過識別漏洞以及制定漏洞解決方案來幫助減輕漏洞導致的安全風險。

一個成功的GDPR專案是什麼樣的?

提到GDPR新規對企業的影響,沒有比ADP(美國自動資料處理公司)更有發言權的公司存在了!該公司為全球超過65萬家公司提供基於雲端計算的人力資本管理(HCM)和業務外包服務,ADP持有全球數百萬使用者的個人身份資訊(PII),所以其使用者非常期待ADP公司能夠符合GDPR的合規要求。如果發現ADP沒有符合GDPR標準,那麼該公司損失的不僅是高達2000萬歐元,或上年度全球年營業額4%的高額罰款,還將承擔失去客戶信任的風險。

ADP在全球的業務重點和規模一定程式上也成為其更快、更好的適應GDPR新規的優勢。它很好地遵守並實踐了現有的隱私和安全規定,所以適應GDPR的合規要求並不是難事。ADP首席隱私官Cecile Georges表示,“我們非常熟悉歐洲現行的隱私法,所以對於GDPR新規我們也不會無所適從。GDPR新規觸發了我們作為一家企業,同時作為一個服務提供商的使命感,我們需要遵守GDPR新規來為我們的客戶提供更好地服務支援和保護。”

雖然,ADP公司為GDPR新規的實施付出了比其他很多公司更多的準備,但是不得不承認,GDPR專案是一項巨大的、全球性的工程,它大約開始於一年前(2016年通過),但是它是基於早期安全隱私指令基礎上的專案。Georges表示,“其實我們甚至早在GDPR新規討論之前就已經開始實踐其中的一些規定了,我們早在幾年前就開始對新產品進行了資料流對映和隱私評估工作。”

Georges認為,早期階段進行的資料流對映工作是非常關鍵的。她說,“如果很久以前我們沒有啟動資料流對映,那麼我現在就不會如此自信了,資料流對映需要做產品清單,而處理PII對於資料保護影響評估而言是第一步。此外,我們還通過為開發人員提供培訓來實現新產品的‘隱私設計’要求。”

ADP公司在GDPR專案上取得的成功吸引了全球各地眾多企業的關注。Georges表示,“GDPR不僅僅是一個純粹的隱私或合規專案,它實際上是涉及整個組織的一個事情,我們正在與整個公司的專案經理進行協調,以確保正確的流程能夠在我們整個組織內部實現完美運作。”

目前,ADP公司已經實施了保護個人身份資訊(PII)的機制,如加密。Georges說:“從安全形度來看,我們得出的結論是,需要更多的是與客戶溝通,確保他們正確地瞭解我們正在做的事情。”

由於ADP是其他公司的“資料處理器(data processor)”,所以它已經採取了一個可選步驟來定義關於保護PII的結合公司規則(binding corporate rules)。

Georges表示,“像其他合規專案一樣,我們將按時完成並遵守GDPR的各項要求。對於這一點,我們的客戶也應該有一個清楚的認知。事實上,我們已經申請了具有約束力的結合公司規則,雖然這一點並不在GDPR的要求之內,但是我們希望我們的客戶明白,我們想要讓他們的生活更加輕鬆安全,我們希望能夠保護他們的個人資料,以達到歐盟監管機構所期待的標準。”

Georges表示,她聽到有些企業還沒有按照GDPR合規要求做好準備。

時鐘已經滴滴作響了,如果一家企業到現在還沒有開始研究他們需要做什麼準備,我想他們還是先去了解這對於他們的企業將意味著什麼吧!他們需要先了解自身受到新監管法規的影響程度,然後進行缺口分析(gap analysis),這是進行任何評估專案都必須首先實現的兩點。

此外,她還鼓勵公司採取一個適合自己的操作方式。

根據企業自身的業務和擁有的工具不同,可以採取不同的GDPR應用方式,對此需要業務人員進行評估。評估完成後就可以決定接下來要做什麼,然後對正在做的事情進行記錄,這就是GDPR所說的“責任原則”,要求企業記錄他們實現合規的過程。這些記錄檔案將非常關鍵,因為如果監管機構要求提供合規證明,公司必須能夠提供。

為實現GDPR合規要求,企業需要怎麼做?

1. 樹立來自最高管理層的緊迫感

風險管理公司Marsh強調了執行領導層重視網路準備的重要性,遵守全球資料衛生標準是準備工作的一部分。

2. 號召所有的利益相關者

僅靠IT人員是無法實現GDPR合規要求的。公司可以啟動一個工作小組,號召市場營銷、財務、銷售、運營以及企業內所有涉及收集、分析和以其他方式利用客戶個人身份資訊(PII)的人員參與其中。通過成立GDPR工作小組,他們可以更好地為那些實施技術和程式變革的人員提供所需的資訊,同時也可以更好地處理任何會對其團隊產生影響的事件。

3. 進行風險評估

你需要了解自己公司儲存和處理的歐盟公民資料,以及圍繞其的安全風險。但記住,除此以外,風險評估還必須囊括為減輕風險所採取的措施。該評估過程的一個關鍵任務就是揭開可能收集和儲存個人識別資訊(PII)的所有影子IT(shadow IT,即在企業IT部門以外所發生的技術投入和部署,包括個別員工、團隊和業務部門所採用的雲應用程式),因為影子IT可能是造成違規行為的最大風險。

除此之外,不容忽視的風險還有很多。根據Snow Software的IT思想領袖兼高階副總裁Matt Fisher的說法,已經有超過39,000個應用程式被用來儲存個人資料。他表示,“冰山效應會對組織的GDPR合規性造成嚴重的風險,因為很多人只會將注意力集中在冰面以上那10%掌握個人資料的應用程式上。由於企業IT團隊對整個企業使用的應用程式情況疏於瞭解,所以他們缺乏對可能威脅到GDPR合規性的應用程式的總體認知。”

Fisher繼續補充道,“開始(風險評估)往往是最難的。第一步,組織必須全面瞭解其整個IT基礎設施,並請點所有的應用程式。清點的同時需要了解哪些應用程式能夠處理個人資料,這樣能夠大大縮小評估專案的範圍,以及在專案上花費的時間成本。如此才能使不可能成為可能。”

4. 僱用或任命一個數據保護官(DPO)

GDPR規定擁有250名或以上員工處理敏感資料或犯罪記錄的組織必須指定DPO。這根據他們是否處理敏感資料的情況而定,擁有少於250名員工的組織可能也需要指定DPO。那麼,如果你的公司內已經存在了一個發揮類似作用的人員,能夠確保PII安全是最好的。否則,你將需要重新聘請一名DPO。根據企業自身的情況,DPO可以不要求一定是全職,在這種情況下,企業就可以選擇一名兼職DPO人員。加上GDPR新規允許一名DPO同時為多個企業工作,所以聘請一名兼職DPO人員將是一個很好的選擇。

5. 制定資料保護計劃

大多數公司已經制定了相關計劃,但還是需要對計劃進行審查和更新,以確保其符合GDPR要求。

6. 不要忘記移動裝置

根據Lookout公司對IT和安全管理人員的調查資料顯示,64%的員工會使用移動裝置訪問客戶、合作伙伴以及員工的個人識別資訊(PII)。這種行為為GDPR合規性造成了另一種威脅。例如,81%的受訪者表示,大多數員工都被允許在辦公裝置(可能是員工自己的裝置)上安裝個人應用程式。如果這些應用程式需要訪問和儲存個人識別資訊(PII),則必須按照GDPR合規要求進行操作。這一過程是很難控制的,尤其是你需要將員工使用的所有未經授權的應用程式都考慮在內。

7. 制定一個彙報GDPR合規進度的計劃

Fisher表示,“距離GDPR新規實施的日子屈指可數,組織必須證明它們正在完成‘處理活動記錄’(Record of Processing Activities,簡稱RoPA)——根據GDPR新規第30條規定,組織必須清點存在風險的應用程式,避免其成為監管機構的目標。建立‘處理活動記錄’是現階段企業需要關注的重點,因為它可以幫助企業識別處理個人資料的具體位置、以及哪些人或程式正在處理這些資料,或這些資料是如何被處理的。”

8. 實施降低風險的措施

一旦確定了風險並想要減輕風險,就必須實施這些安全措施。對於大多數公司來說,這意味著需要修改現有的風險緩解措施。Fisher表示,“在清點應用程式和完成‘處理活動記錄’之後,GDPR團隊就能夠發現和調查與資料相關的任何風險,並確定保護這些資料所需的適當安全級別。”

9. 如果你的企業很小,請在需要的時候尋求幫助

規模較小的公司也將會受到GDPR新規的影響,而且其中一些可能會表現得更為顯著。這種情況下,他們可能沒有所需的資源來滿足GDPR合規要求。這時候,他們就可以尋求外部資源來為他們提供建議,或提供技術專家來幫助他們完成整個過程,並最大限度地避免內部中斷。

10. 測試事件響應計劃

GDPR要求公司在72小時內報告違規行為。響應團隊如何將損害降至最低,將直接影響公司違約罰款的風險。所以,請確保您能夠在這段時間內完成違規報告和響應。

11. 建立持續的評估流程

您想要確保自身保持合規,就需要進行持續地監控和改進操作。一些公司正在考慮通過獎懲制度來確保其員工遵守新的政策。根據Veritas Technologies的一項調查顯示,47%的受訪企業表示可能會將強制性GDPR政策加到員工合同中;25%的受訪者表示,如果發生GDPR違規行為可能會扣除員工的獎金和福利;34%的受訪者表示會通過獎勵政策鼓勵員工遵守GDPR新規。

12. 著眼改善自身業務

根據Varonis Systems的調查結果顯示,74%的受訪者認為符合GDPR合規要求將成為一項潛在的競爭優勢。合規將提高消費者對企業的信心。更重要的是,滿足GDPR合規要求所需的技術和流程改進應該能夠提高組織管理和保護資料的效率。

歐盟委員會(EC)給谷歌開出27.3億美元罰單,因其作為搜尋引擎卻為另一谷歌產品(比較購物服務)提供非法優勢,濫用了其市場主導地位。