信息化觀察網(wǎng)

號稱史上最嚴的數(shù)據(jù)監(jiān)管條例——GDPR （General Data Protection Regulation，通用數(shù)據(jù)保護條例 ）正式生效了。

“史上最嚴”，絕非浪得虛名。

一方面，它對“合法”的定義極為嚴苛。從數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)跨境傳輸（向歐盟境外的傳輸）等各個環(huán)節(jié)都進行了系統(tǒng)的規(guī)范，還賦予了數(shù)據(jù)主體廣泛的數(shù)據(jù)權(quán)利和自由。只要一家企業(yè)向歐盟境內(nèi)的個人提供了商品或服務(wù)、并收集或處理了個人數(shù)據(jù)，不管該企業(yè)是否在歐盟境內(nèi)設(shè)有機構(gòu)，都適用于GDPR ；

另一方面，它設(shè)定了天價罰款。對于違法行為，輕者處以1000萬歐元或者上一年度全球營收的2%（兩者取其高）的罰款；重者處以2000萬歐元或者企業(yè)上一年度全球營收的4%（兩者取其高）的罰款。

對于物聯(lián)網(wǎng)企業(yè)來說，GDPR的影響是非常深遠的。原來很多設(shè)備是不聯(lián)網(wǎng)的，所以不存在用戶隱私泄露的風(fēng)險；而如今，設(shè)備聯(lián)網(wǎng)是大勢所趨，數(shù)據(jù)的控制者和處理者都會直接或者間接的接觸到非常多的個人用戶數(shù)據(jù)，比如：姓名、性別、年齡、身份證號、手機號等等，另外，由于需要對設(shè)備和用戶數(shù)據(jù)進行運營畫像及監(jiān)控，也會收集到更多關(guān)于用戶行為的隱私數(shù)據(jù)。

物聯(lián)網(wǎng)企業(yè)要想符合GDRP的所有規(guī)定無疑是一件富有挑戰(zhàn)性的工作，因為在物聯(lián)網(wǎng)網(wǎng)絡(luò)中獲得處理個人數(shù)據(jù)所需的許可是很困難的。此外，GDPR提倡“privacy by design”，強調(diào)數(shù)據(jù)安全應(yīng)該貫徹整個數(shù)據(jù)生命的周期。

但是合規(guī)絕不是不可能的，許多物聯(lián)網(wǎng)企業(yè)正在為保護數(shù)據(jù)隱私做出非比尋常的努力，這種努力絕不會白費，企業(yè)未來也會從日益增加的客戶信任中受益。Kate O’Flaherty在一篇文章中提出了物聯(lián)網(wǎng)企業(yè)應(yīng)對這一監(jiān)管條例的要點。

1.注意你正在收集和處理的數(shù)據(jù)

專家建議那些涉及物聯(lián)網(wǎng)業(yè)務(wù)的企業(yè)應(yīng)該組織評估他們收集的信息是否是個人數(shù)據(jù)。但是應(yīng)該注意的是：如果你不收集個人信息，也并不意味著你能高枕無憂。

EMEA網(wǎng)絡(luò)安全宣傳主管Adrian Davis指出：“通過傳感器從物聯(lián)網(wǎng)設(shè)備中收集數(shù)據(jù)，并不意味著你能免除GDPR的約束。你必須知道你的數(shù)據(jù)在哪里，它如何被保護，以及如果出問題時該如何處理。”

安全支付供應(yīng)商Nuggets的創(chuàng)始人兼CEO也表示：“作為應(yīng)對措施的一部分，一些公司需要重新考慮他們正在如何儲存數(shù)據(jù)。”他認為諸如客戶端加密和區(qū)塊鏈等技術(shù)可能有助于保護企業(yè)。

“在發(fā)生數(shù)據(jù)泄露時，這種類型的技術(shù)堆棧能減輕GDPR的風(fēng)險：根本沒有任何用戶數(shù)據(jù)儲存在公司的數(shù)據(jù)庫中以供惡意的第三方進行剽竊。”

2.理解“同意”

GDPR強調(diào)數(shù)據(jù)所有者的知情權(quán)，規(guī)定數(shù)據(jù)使用必須事先征得數(shù)據(jù)主體的同意，而且“同意”必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的。

如果數(shù)據(jù)使用范圍擴大，無論是將數(shù)據(jù)提供給第三方或作為企業(yè)對外服務(wù)的一部分，都必須重新獲取數(shù)據(jù)主體的授權(quán)和同意；數(shù)據(jù)主體還可以隨時撤回同意權(quán)利。其中，GDPR強調(diào)了使用者在使用數(shù)據(jù)時，需表明其特定的使用目的，這也就意味著過度獲取數(shù)據(jù)將受到控制。

據(jù)悉，5月25日當天，包括微信海外版、新浪微博國際版、阿里巴巴旗下的全球速賣通（aliexpress）等多家中國互聯(lián)網(wǎng)巨頭，已紛紛向歐洲區(qū)用戶更新隱私政策、請求重新授權(quán)。

3.GDPR將影響整條供應(yīng)鏈

很多物聯(lián)網(wǎng)企業(yè)沒有意識到客戶還具有“撤回同意的權(quán)利”以及“數(shù)據(jù)的被遺忘權(quán)”。也就是說，如果用戶提出數(shù)據(jù)刪除要求時，企業(yè)需要在數(shù)據(jù)庫內(nèi)找到數(shù)據(jù)并刪除，如果數(shù)據(jù)已傳播或提供給企業(yè)的供應(yīng)商使用，企業(yè)還有責(zé)任通知其供應(yīng)商予以刪除。

“物聯(lián)網(wǎng)企業(yè)要考慮的不只是獲得用戶的‘同意’，他們還需要考慮如果用戶要求撤回‘同意’以及行使‘被遺忘權(quán)’時應(yīng)該怎么處理。”

另外，數(shù)據(jù)主體還具有“數(shù)據(jù)可攜權(quán)”，即將一個數(shù)據(jù)控制者的個人數(shù)據(jù)轉(zhuǎn)移到另一個數(shù)據(jù)控制主體中。比如Facebook的用戶可以將其賬號中的照片以及其他資料轉(zhuǎn)移到其他社交服務(wù)網(wǎng)絡(luò)上。該權(quán)利不僅適用于社交網(wǎng)絡(luò)服務(wù)，還包括云計算、手機應(yīng)用等自動數(shù)據(jù)處理系統(tǒng)。

4.記錄你為滿足GDPR要求所做的一切

該規(guī)定要求公司記錄其數(shù)據(jù)處理的全過程。如果在出問題并被調(diào)查的時候，企業(yè)可以以此為證來證明調(diào)查人員弄錯了。

應(yīng)該明確的是，GDPR并不是致力于揪住某些公司的小辮子并逼他們出局的惡人，相反，其目的只是為了防止數(shù)據(jù)被濫用。

技術(shù)研究機構(gòu)Gigaom的分析師Jon Collins表示：“理解你所做的一切，告訴人們你所做的一切，并且做到言行合一。如果你是一個致力于做正確的事的企業(yè)，這項規(guī)定不會使你出局。”

5.注意“privacy by design”和違約

“privacy by design”是GDPR的規(guī)定之一。在物聯(lián)網(wǎng)中，這適用于設(shè)備和軟件，但不包括后端系統(tǒng)。

Synopsys軟件集成部門的安全策略師SteveGiguere表示：“GDPR的合規(guī)性不能單獨通過保障物聯(lián)網(wǎng)設(shè)備來實現(xiàn)，因為它們通常是更大的生態(tài)系統(tǒng)的一部分。安全和隱私政策必須建立和應(yīng)用于物聯(lián)網(wǎng)設(shè)備、傳輸數(shù)據(jù)的網(wǎng)絡(luò)以及處理數(shù)據(jù)的后端系統(tǒng)中。”

“產(chǎn)品需要從頭開發(fā)”。例如你應(yīng)該有能力刪除數(shù)據(jù)以符合用戶的數(shù)據(jù)“被遺忘權(quán)”。

6.基礎(chǔ)安全措施將幫助您合規(guī)

基本安全措施，比如確保給所有系統(tǒng)打補丁，是至關(guān)重要的。隨著網(wǎng)絡(luò)攻擊的日趨嚴重，物聯(lián)網(wǎng)世界變得越發(fā)脆弱，所以隨時保持系統(tǒng)更新非常重要，但往往是這些最基本的原則經(jīng)常被忽視。即使你有世界上最好的系統(tǒng)，你也依然可能會犯錯。

許多物聯(lián)網(wǎng)企業(yè)只關(guān)注非常低層級的數(shù)據(jù)安全，比如加密。他們并不考慮更加復(fù)雜的攻擊模式，比如拒絕服務(wù)（DoS）、數(shù)據(jù)被操縱或者數(shù)據(jù)處理過程中的其它問題。

7.將GDPR看做業(yè)務(wù)差異

正如我們看到的劍橋分析和Facebook丑聞，信任是數(shù)據(jù)保護的未來。

2018年3月，美國《紐約時報》和英國《觀察者報》爆出了一個驚天大新聞：一家叫做劍橋分析(Cambridge Analytica)的數(shù)據(jù)公司，非法竊取5000萬Facebook用戶資料后用算法進行大數(shù)據(jù)分析，根據(jù)每個用戶的日常喜好、性格特點、行為特征，預(yù)測他們的政治傾向，甚至操縱了美國大選。

GDPR不是為了罰款，而是為了增加組織內(nèi)的信任。這是不可避免的事情，如果你做的正確，就能增加用戶的信任，從而獲得競爭優(yōu)勢。

8.雇傭數(shù)據(jù)保護專員

GDPR還對企業(yè)的人力提出了建議：不管是否歐盟企業(yè)，如果在歐盟地區(qū)的雇員超過了250人，便需要雇用一名“數(shù)據(jù)保護專員”（Data Protection Officer）。歐盟28個成員國均已設(shè)立監(jiān)管機構(gòu)“數(shù)據(jù)保護局”（Data Protection Authority），將對各國GDPR的執(zhí)行狀況進行監(jiān)督。

援引界面新聞的報道，海爾、華為等在歐洲有較大市場份額、并有意進軍物聯(lián)網(wǎng)的制造業(yè)領(lǐng)軍者，早已雇請專門團隊應(yīng)對GDPR。

9.提前做好準備

如果有哪家科技公司發(fā)現(xiàn)數(shù)據(jù)泄露了，它必須在三天內(nèi)向監(jiān)管機構(gòu)報告，哪怕它什么也沒調(diào)查出來，所以你最好提前做好準備，確保測試、預(yù)演和更新管理計劃來應(yīng)對任何違反規(guī)定的情況

歐盟是一個擁有5億消費人口的市場，這對希望“走出去”的中國企業(yè)來說具有巨大吸引力，越來越多的中國企業(yè)還有中國物聯(lián)網(wǎng)企業(yè)在近年來開展了涉歐業(yè)務(wù)，甚至建立了駐歐分支。GDPR來襲，中國企業(yè)必須打起精神，積極應(yīng)對這一新條例。