域名預(yù)訂/競價，好“米”不錯過

從2018年5月25日起，《歐盟通用數(shù)據(jù)保護(hù)規(guī)范(GDPR)》將開始正式生效實(shí)施，該規(guī)范加強(qiáng)了對數(shù)據(jù)隱私、數(shù)據(jù)處理以及數(shù)據(jù)安全性的相關(guān)規(guī)定。新修訂的法規(guī)適用于在歐盟內(nèi)經(jīng)營的所有企業(yè)以及收集或處理源自歐盟的(居民或游客)個人數(shù)據(jù)的企業(yè)。

本年初，我曾參加了一場關(guān)于GDPR實(shí)施日期即將到來的網(wǎng)絡(luò)研討會，主要是關(guān)于全球企業(yè)如何完成自己的合規(guī)項(xiàng)目問題。作為Imperva的高級數(shù)據(jù)隱私顧問，我了解與時俱進(jìn)的滿足歐盟新法規(guī)要求的重要性并為之努力。

該會議的參會人員有Workday的首席隱私官Barbara Cosgrove、Trust Arc and Sue Habas的高級隱私顧問Naheed Bleecker以及ASC Technologies的策略技術(shù)副總裁。這場會議由MUFG Union Bank的總監(jiān)及網(wǎng)絡(luò)安全高級事總裁Branden Williams博士主持。會上我們對到2018年5月前所需實(shí)施的數(shù)據(jù)隱私、安全與合規(guī)項(xiàng)目所需的關(guān)鍵措施進(jìn)行了深度探討。

總的來說，需要采取四類措施，具體是：

1) 嵌入隱私保護(hù)設(shè)計

2) 了解數(shù)據(jù)的存儲位置

3) 建立數(shù)據(jù)庫并分類

4) 實(shí)施適當(dāng)?shù)陌踩刂拼胧?/p>

嵌入隱私保護(hù)設(shè)計

Barbara Cosgrove稱“實(shí)際上，我們需要看到的是在整個開發(fā)過程中(使用個人數(shù)據(jù)的產(chǎn)品、過程、服務(wù)等)嵌入了適當(dāng)隱私保護(hù)措施”。

根據(jù)GDPR規(guī)定，首先要確定企業(yè)是否更新了產(chǎn)品設(shè)計過程并調(diào)整了管理政策，包括項(xiàng)目初始階段的數(shù)據(jù)隱私輸入。此外，她還說道“需進(jìn)行相關(guān)隱私影響評估，識別出任何風(fēng)險，并確保你真正的了解個人數(shù)據(jù)的處理方法是否會導(dǎo)致數(shù)據(jù)主體暴露在高風(fēng)險環(huán)境中”。

了解數(shù)據(jù)的存儲位置

Naheed Bleecker稱密切關(guān)注企業(yè)內(nèi)部數(shù)據(jù)的整個生命周期流向是保持良好數(shù)據(jù)監(jiān)管的最簡單方法。“了解數(shù)據(jù)相關(guān)的所有控制措施是非常關(guān)鍵的，數(shù)據(jù)存在哪里?什么樣的人可以獲取該數(shù)據(jù)?數(shù)據(jù)流向哪兒了?哪些人會接觸到該數(shù)據(jù)?哪些具體的數(shù)據(jù)元會被收集?是否獲取了相關(guān)許可?實(shí)施了哪些數(shù)據(jù)存儲與保留標(biāo)準(zhǔn)?這些都是企業(yè)需要了解的自身情況。”

關(guān)于數(shù)據(jù)監(jiān)管的另一主要內(nèi)容是了解第三方是如何與數(shù)據(jù)信息互動的。因此，GDPR不僅創(chuàng)造了使利益相關(guān)方接受相關(guān)培訓(xùn)的機(jī)會，還可幫助構(gòu)建與客戶及合作方間的穩(wěn)固關(guān)系。

建立數(shù)據(jù)庫并分類

Sue Habas稱“企業(yè)經(jīng)營者最希望能自動處理業(yè)務(wù)與數(shù)據(jù)存儲事宜。此外還希望能夠?qū)崿F(xiàn)集中處理數(shù)據(jù)庫元數(shù)據(jù)與分類，使所有人都能訪問數(shù)據(jù)。”

除此之外，你可能還需要分類信息，并使企業(yè)的內(nèi)部終端用戶(業(yè)務(wù)端及技術(shù)端)能夠訪問這些信息。Habas說道“收集隱私數(shù)據(jù)并解決與管理此類問題是業(yè)務(wù)過程的基本內(nèi)容”。

必需與產(chǎn)品及業(yè)務(wù)團(tuán)隊(duì)合作，使企業(yè)相關(guān)人員了解并管理數(shù)據(jù)。因此需要以透明且負(fù)責(zé)任的方式(無論其使用的技術(shù)、用途或管轄范圍如何)處理數(shù)據(jù)。也就是說需要對整個數(shù)據(jù)豎井進(jìn)行監(jiān)督。

實(shí)施“適當(dāng)?shù)?rdquo;安全控制措施

同意進(jìn)行數(shù)據(jù)庫與資產(chǎn)追蹤是各項(xiàng)綜合隱私項(xiàng)目的基礎(chǔ)。但并不是首要問題。首要任務(wù)是需要為所收集、處理與存儲的員工、客戶以及終端用戶的個人數(shù)據(jù)部署適當(dāng)?shù)陌踩刂拼胧?/p>

GDPR 不僅明確要求數(shù)據(jù)脫敏與適當(dāng)加密來保護(hù)數(shù)據(jù)處理安全性，對于沒有采取“適當(dāng)”安全措施的企業(yè)，還提高了其違規(guī)罰金，即將罰金提高了相當(dāng)于企業(yè)全球總收入2%或1000萬美元的罰款。

那么所謂的“適當(dāng)”到底指的是什么?該如何開始了解數(shù)據(jù)隱私、風(fēng)險或合規(guī)項(xiàng)目呢?首先，建議從企業(yè)資產(chǎn)管理著手，即：盤點(diǎn)各種數(shù)據(jù)存儲點(diǎn)、數(shù)據(jù)庫及各類職能部門的資產(chǎn)管理情況。例如：是否公司內(nèi)的每個人是否有安全知識盲點(diǎn)?

還需要在數(shù)據(jù)傳輸及各類本地存儲過程中對數(shù)據(jù)進(jìn)行加密，并建立與維護(hù)事件與數(shù)據(jù)違規(guī)響應(yīng)項(xiàng)目。我強(qiáng)烈建議每個人都為其在企業(yè)內(nèi)部的數(shù)據(jù)流向與處理情況繪制流向圖并記錄在相關(guān)文件中。一旦數(shù)據(jù)違規(guī)發(fā)生，即可在違規(guī)發(fā)生后的首個24與72小時內(nèi)了解到具體發(fā)生了什么情況。

最佳實(shí)踐方法

GDPR 的出臺代表著全球企業(yè)處理與保護(hù)個人數(shù)據(jù)領(lǐng)域的劃時代轉(zhuǎn)折。使企業(yè)以及內(nèi)部的隱私職能與GDPR的最佳實(shí)踐趨勢保持一致雖然并不是件簡單的事，但是每個企業(yè)都需要為之努力的事業(yè)。專業(yè)領(lǐng)先的數(shù)據(jù)隱私或安全項(xiàng)目都將在2018年5月25日前或其左右基本完成GDPR的最低合規(guī)準(zhǔn)備工作。但在五一后，我建議您再考慮并檢查一下自己的數(shù)據(jù)隱私項(xiàng)目是否有疏漏。項(xiàng)目實(shí)施期間，主要需要將四類基礎(chǔ)問題以最佳實(shí)踐標(biāo)準(zhǔn)實(shí)施，且企業(yè)還需準(zhǔn)備應(yīng)對目前正在提高的全球隱私標(biāo)準(zhǔn)，這既是GDPR之類的規(guī)范所要求的，也是隨著當(dāng)前社會對數(shù)據(jù)隱私問題的日益關(guān)注為企業(yè)所帶來的具有競爭性的業(yè)務(wù)特點(diǎn)。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！