日前,国外某调查机构的一项调查发现,在所有受访企业中,只有20%完全符合GDPR标准,53%处于实施阶段,27%尚未开始实施。尽管GDPR合规之路任重而道远,但与去年的调查结果相比,过去十个月取得了长足进步。近日,谷歌、Facebook等知名互联网公司相继被起诉。这些公司一旦因新规被判亏损,将面临超过50亿的罚款。因合规而停业,而这仅仅是个开始。不得不说,人们对个人隐私数据保护的重视,正在成为影响企业经营和发展的重要因素。笔者也认为,欧盟的GDPR将成为世界各国互联网安全立法的典范。就我国而言,2017年6月1日正式颁布实施的《网络安全法》第40条至第50条规定了数据处理者和管理者的责任和义务。相信在不久的将来,中国将出台更多具体的规章制度,以支持《网络安全法》的实施,提升数据主体的权益。今年5月25日,GDPR在欧盟地区正式实施。虽然这只是一部只在欧盟区域内实施的法律,但在国际上也引起了广泛关注。国内安全圈也不例外,掀起了长达半个多月的讨论热潮。最近两个多月,偶尔在一些平台上看到几篇关于GDPR的文章,但大部分内容都停留在讨论这部法律的规定有多严格,以及对企业提出了哪些新的规定。要求,真正讨论企业通过什么方式满足GDPR合规要求的文章很少(也可能是因为国内在欧洲做生意的企业不多,很多企业不需要改造优化GDPR的业务系统?)。昨天看了一个Freebuf宣传的关于GDPR的视频。在课程开始时,我简要介绍了GDPR的一些背景。如果不知道GDPR是什么,可以直接去看。企业组织应为GDPR准备哪些技术措施?演讲者结合GDPR的合规要求,从数据流传输的几个主要流程阐述了自己和IBM的认知和建议。对应五个关键技术措施场景:场景一:个人数据的发现和分类高爽先生表示,在GDPR出台之前,很多企业已经对这些数据进行了一些梳理,但这些做法大多是单一的——离开。没有长效机制。个人数据收集后,在企业内部流动性很强。很多业务环节都需要这些数据的支持。仅靠梳理和记录文件是不耐用的,无法动态发现个人数据中存在的风险。企业需要一套解决方案或技术手段,对数据(属性、标签等)进行分类,并应用到后续的各种安全策略中。场景二:识别并修复数据系统安全风险,即数据周边环境安全问题。首先是数据所依赖的环境,如数据库、大数据系统等,企业需要持续动态地发现这些基础设施中的安全漏洞。除了胸痛设施外,还需要对可以访问和使用这些数据的用户(相关数据库、应用账号)的权限进行监控,及时发现未授权账号并进行规避。场景三:跟踪数据是如何处理的,即监控所有内部链路的数据传输过程,发现非法访问行为,并发出告警并采取隔离措施。用户更改和个人数据的完全删除得到满足和验证。不仅要对主动收集的用户信息进行保护,对从其他数据源收集的数据也要进行同样的保护和追踪措施。场景四:跟踪数据主体的访问权、更正权、删除权等权利,及时响应数据主体(个人)的要求(更正、删除等)。这就需要一套标准化、合规的流程来整合所需的信息和流程环节。场景5:组织需要具备管理和通知安全问题(包括事件调查)的能力,即:应急响应。各企业对数据泄露的应急响应也是GDPR关注的重点。监管机构报告。通过这个视频,笔者从技术场景的角度对满足GDPR合规要求有了一定的了解(吐槽一点,硬广一点,希望各大厂商的专家分享更多的干货并减少广告销售)。对于企业来说,似乎具有现实意义。毕竟国内企业处理的是公共个人数据……当然,作为多年大数据从业者,对于如何帮助企业满足国内法律要求,笔者也有一个大概的技术思路。GDPR合规要求必须符合国内法律要求,你怎么看?
