从2018年5月25日起,《欧盟通用数据保护规范(GDPR)》将开始正式生效实施,该规范加强了对数据隐私、数据处理以及数据安全性的相关规定。新修订的法规适用于在欧盟内经营的所有企业以及收集或处理源自欧盟的(居民或游客)个人数据的企业。
本年初,我曾参加了一场关于GDPR实施日期即将到来的网络研讨会,主要是关于全球企业如何完成自己的合规项目问题。作为Imperva的高级数据隐私顾问,我了解与时俱进的满足欧盟新法规要求的重要性并为之努力。
该会议的参会人员有Workday的首席隐私官Barbara Cosgrove、Trust Arc and Sue Habas的高级隐私顾问Naheed Bleecker以及ASC Technologies的策略技术副总裁。这场会议由MUFG Union Bank的总监及网络安全高级事总裁Branden Williams博士主持。会上我们对到2018年5月前所需实施的数据隐私、安全与合规项目所需的关键措施进行了深度探讨。
总的来说,需要采取四类措施,具体是:
1) 嵌入隐私保护设计
2) 了解数据的存储位置
3) 建立数据库并分类
4) 实施适当的安全控制措施
嵌入隐私保护设计
Barbara Cosgrove称“实际上,我们需要看到的是在整个开发过程中(使用个人数据的产品、过程、服务等)嵌入了适当隐私保护措施”。
根据GDPR规定,首先要确定企业是否更新了产品设计过程并调整了管理政策,包括项目初始阶段的数据隐私输入。此外,她还说道“需进行相关隐私影响评估,识别出任何风险,并确保你真正的了解个人数据的处理方法是否会导致数据主体暴露在高风险环境中”。
了解数据的存储位置
Naheed Bleecker称密切关注企业内部数据的整个生命周期流向是保持良好数据监管的最简单方法。“了解数据相关的所有控制措施是非常关键的,数据存在哪里?什么样的人可以获取该数据?数据流向哪儿了?哪些人会接触到该数据?哪些具体的数据元会被收集?是否获取了相关许可?实施了哪些数据存储与保留标准?这些都是企业需要了解的自身情况。”
关于数据监管的另一主要内容是了解第三方是如何与数据信息互动的。因此,GDPR不仅创造了使利益相关方接受相关培训的机会,还可帮助构建与客户及合作方间的稳固关系。
建立数据库并分类
Sue Habas称“企业经营者最希望能自动处理业务与数据存储事宜。此外还希望能够实现集中处理数据库元数据与分类,使所有人都能访问数据。”
除此之外,你可能还需要分类信息,并使企业的内部终端用户(业务端及技术端)能够访问这些信息。Habas说道“收集隐私数据并解决与管理此类问题是业务过程的基本内容”。
必需与产品及业务团队合作,使企业相关人员了解并管理数据。因此需要以透明且负责任的方式(无论其使用的技术、用途或管辖范围如何)处理数据。也就是说需要对整个数据竖井进行监督。
实施“适当的”安全控制措施
同意进行数据库与资产追踪是各项综合隐私项目的基础。但并不是首要问题。首要任务是需要为所收集、处理与存储的员工、客户以及终端用户的个人数据部署适当的安全控制措施。
GDPR 不仅明确要求数据脱敏与适当加密来保护数据处理安全性,对于没有采取“适当”安全措施的企业,还提高了其违规罚金,即将罚金提高了相当于企业全球总收入2%或1000万美元的罚款。
那么所谓的“适当”到底指的是什么?该如何开始了解数据隐私、风险或合规项目呢?首先,建议从企业资产管理着手,即:盘点各种数据存储点、数据库及各类职能部门的资产管理情况。例如:是否公司内的每个人是否有安全知识盲点?
还需要在数据传输及各类本地存储过程中对数据进行加密,并建立与维护事件与数据违规响应项目。我强烈建议每个人都为其在企业内部的数据流向与处理情况绘制流向图并记录在相关文件中。一旦数据违规发生,即可在违规发生后的首个24与72小时内了解到具体发生了什么情况。
最佳实践方法
GDPR 的出台代表着全球企业处理与保护个人数据领域的划时代转折。使企业以及内部的隐私职能与GDPR的最佳实践趋势保持一致虽然并不是件简单的事,但是每个企业都需要为之努力的事业。专业领先的数据隐私或安全项目都将在2018年5月25日前或其左右基本完成GDPR的最低合规准备工作。但在五一后,我建议您再考虑并检查一下自己的数据隐私项目是否有疏漏。项目实施期间,主要需要将四类基础问题以最佳实践标准实施,且企业还需准备应对目前正在提高的全球隐私标准,这既是GDPR之类的规范所要求的,也是随着当前社会对数据隐私问题的日益关注为企业所带来的具有竞争性的业务特点。