史上最嚴(yán)數(shù)據(jù)監(jiān)管條例生效，“史上最嚴(yán)”，絕非浪得虛名

上周末，號(hào)稱史上最嚴(yán)的數(shù)據(jù)監(jiān)管條例——GDPR （General Data Protection Regulation，通用數(shù)據(jù)保護(hù)條例 ）正式生效了。

“史上最嚴(yán)”，絕非浪得虛名。

一方面，它對(duì)“合法”的定義極為嚴(yán)苛。從數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)跨境傳輸（向歐盟境外的傳輸）等各個(gè)環(huán)節(jié)都進(jìn)行了系統(tǒng)的規(guī)范，還賦予了數(shù)據(jù)主體廣泛的數(shù)據(jù)權(quán)利和自由。只要一家企業(yè)向歐盟境內(nèi)的個(gè)人提供了商品或服務(wù)、并收集或處理了個(gè)人數(shù)據(jù)，不管該企業(yè)是否在歐盟境內(nèi)設(shè)有機(jī)構(gòu)，都適用于GDPR ；

另一方面，它設(shè)定了天價(jià)罰款。對(duì)于違法行為，輕者處以1000萬(wàn)歐元或者上一年度全球營(yíng)收的2%（兩者取其高）的罰款；重者處以2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)收的4%（兩者取其高）的罰款。

GDPR立法大事記

對(duì)于物聯(lián)網(wǎng)企業(yè)來(lái)說(shuō)，GDPR的影響是非常深遠(yuǎn)的。原來(lái)很多設(shè)備是不聯(lián)網(wǎng)的，所以不存在用戶隱私泄露的風(fēng)險(xiǎn)；而如今，設(shè)備聯(lián)網(wǎng)是大勢(shì)所趨，數(shù)據(jù)的控制者和處理者都會(huì)直接或者間接的接觸到非常多的個(gè)人用戶數(shù)據(jù)，比如：姓名、性別、年齡、身份證號(hào)、手機(jī)號(hào)等等，另外，由于需要對(duì)設(shè)備和用戶數(shù)據(jù)進(jìn)行運(yùn)營(yíng)畫(huà)像及監(jiān)控，也會(huì)收集到更多關(guān)于用戶行為的隱私數(shù)據(jù)。

物聯(lián)網(wǎng)企業(yè)要想符合GDRP的所有規(guī)定無(wú)疑是一件富有挑戰(zhàn)性的工作，因?yàn)樵谖锫?lián)網(wǎng)網(wǎng)絡(luò)中獲得處理個(gè)人數(shù)據(jù)所需的許可是很困難的。此外，GDPR提倡“privacy by design”，強(qiáng)調(diào)數(shù)據(jù)安全應(yīng)該貫徹整個(gè)數(shù)據(jù)生命的周期。

但是合規(guī)絕不是不可能的，許多物聯(lián)網(wǎng)企業(yè)正在為保護(hù)數(shù)據(jù)隱私做出非比尋常的努力，這種努力絕不會(huì)白費(fèi)，企業(yè)未來(lái)也會(huì)從日益增加的客戶信任中受益。Kate O’Flaherty在一篇文章中提出了物聯(lián)網(wǎng)企業(yè)應(yīng)對(duì)這一監(jiān)管條例的要點(diǎn)。

1.注意你正在收集和處理的數(shù)據(jù)

專家建議那些涉及物聯(lián)網(wǎng)業(yè)務(wù)的企業(yè)應(yīng)該組織評(píng)估他們收集的信息是否是個(gè)人數(shù)據(jù)。但是應(yīng)該注意的是：如果你不收集個(gè)人信息，也并不意味著你能高枕無(wú)憂。

EMEA網(wǎng)絡(luò)安全宣傳主管Adrian Davis指出：“通過(guò)傳感器從物聯(lián)網(wǎng)設(shè)備中收集數(shù)據(jù)，并不意味著你能免除GDPR的約束。你必須知道你的數(shù)據(jù)在哪里，它如何被保護(hù)，以及如果出問(wèn)題時(shí)該如何處理?！?/p>

安全支付供應(yīng)商N(yùn)uggets的創(chuàng)始人兼CEO也表示：“作為應(yīng)對(duì)措施的一部分，一些公司需要重新考慮他們正在如何儲(chǔ)存數(shù)據(jù)?！彼J(rèn)為諸如客戶端加密和區(qū)塊鏈等技術(shù)可能有助于保護(hù)企業(yè)。

“在發(fā)生數(shù)據(jù)泄露時(shí)，這種類型的技術(shù)堆棧能減輕GDPR的風(fēng)險(xiǎn)：根本沒(méi)有任何用戶數(shù)據(jù)儲(chǔ)存在公司的數(shù)據(jù)庫(kù)中以供惡意的第三方進(jìn)行剽竊?！?/p>

2.理解“同意”

GDPR強(qiáng)調(diào)數(shù)據(jù)所有者的知情權(quán)，規(guī)定數(shù)據(jù)使用必須事先征得數(shù)據(jù)主體的同意，而且“同意”必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的。

如果數(shù)據(jù)使用范圍擴(kuò)大，無(wú)論是將數(shù)據(jù)提供給第三方或作為企業(yè)對(duì)外服務(wù)的一部分，都必須重新獲取數(shù)據(jù)主體的授權(quán)和同意；數(shù)據(jù)主體還可以隨時(shí)撤回同意權(quán)利。其中，GDPR強(qiáng)調(diào)了使用者在使用數(shù)據(jù)時(shí)，需表明其特定的使用目的，這也就意味著過(guò)度獲取數(shù)據(jù)將受到控制。

據(jù)悉，5月25日當(dāng)天，包括微信海外版、新浪微博國(guó)際版、阿里巴巴旗下的全球速賣(mài)通（aliexpress）等多家中國(guó)互聯(lián)網(wǎng)巨頭，已紛紛向歐洲區(qū)用戶更新隱私政策、請(qǐng)求重新授權(quán)。

3.GDPR將影響整條供應(yīng)鏈

很多物聯(lián)網(wǎng)企業(yè)沒(méi)有意識(shí)到客戶還具有“撤回同意的權(quán)利”以及“數(shù)據(jù)的被遺忘權(quán)”。也就是說(shuō)，如果用戶提出數(shù)據(jù)刪除要求時(shí)，企業(yè)需要在數(shù)據(jù)庫(kù)內(nèi)找到數(shù)據(jù)并刪除，如果數(shù)據(jù)已傳播或提供給企業(yè)的供應(yīng)商使用，企業(yè)還有責(zé)任通知其供應(yīng)商予以刪除。

“物聯(lián)網(wǎng)企業(yè)要考慮的不只是獲得用戶的‘同意’，他們還需要考慮如果用戶要求撤回‘同意’以及行使‘被遺忘權(quán)’時(shí)應(yīng)該怎么處理?！?/p>

另外，數(shù)據(jù)主體還具有“數(shù)據(jù)可攜權(quán)”，即將一個(gè)數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)轉(zhuǎn)移到另一個(gè)數(shù)據(jù)控制主體中。比如Facebook的用戶可以將其賬號(hào)中的照片以及其他資料轉(zhuǎn)移到其他社交服務(wù)網(wǎng)絡(luò)上。該權(quán)利不僅適用于社交網(wǎng)絡(luò)服務(wù)，還包括云計(jì)算、手機(jī)應(yīng)用等自動(dòng)數(shù)據(jù)處理系統(tǒng)。

4.記錄你為滿足GDPR要求所做的一切

該規(guī)定要求公司記錄其數(shù)據(jù)處理的全過(guò)程。如果在出問(wèn)題并被調(diào)查的時(shí)候，企業(yè)可以以此為證來(lái)證明調(diào)查人員弄錯(cuò)了。

應(yīng)該明確的是，GDPR并不是致力于揪住某些公司的小辮子并逼他們出局的惡人，相反，其目的只是為了防止數(shù)據(jù)被濫用。

技術(shù)研究機(jī)構(gòu)Gigaom的分析師Jon Collins表示：“理解你所做的一切，告訴人們你所做的一切，并且做到言行合一。如果你是一個(gè)致力于做正確的事的企業(yè)，這項(xiàng)規(guī)定不會(huì)使你出局?！?/p>

5.注意“privacy by design”和違約

“privacy by design”是GDPR的規(guī)定之一。在物聯(lián)網(wǎng)中，這適用于設(shè)備和軟件，但不包括后端系統(tǒng)。

Synopsys軟件集成部門(mén)的安全策略師SteveGiguere表示：“GDPR的合規(guī)性不能單獨(dú)通過(guò)保障物聯(lián)網(wǎng)設(shè)備來(lái)實(shí)現(xiàn)，因?yàn)樗鼈兺ǔＪ歉蟮纳鷳B(tài)系統(tǒng)的一部分。安全和隱私政策必須建立和應(yīng)用于物聯(lián)網(wǎng)設(shè)備、傳輸數(shù)據(jù)的網(wǎng)絡(luò)以及處理數(shù)據(jù)的后端系統(tǒng)中?！?/p>

“產(chǎn)品需要從頭開(kāi)發(fā)”。例如你應(yīng)該有能力刪除數(shù)據(jù)以符合用戶的數(shù)據(jù)“被遺忘權(quán)”。

6.基礎(chǔ)安全措施將幫助您合規(guī)

基本安全措施，比如確保給所有系統(tǒng)打補(bǔ)丁，是至關(guān)重要的。隨著網(wǎng)絡(luò)攻擊的日趨嚴(yán)重，物聯(lián)網(wǎng)世界變得越發(fā)脆弱，所以隨時(shí)保持系統(tǒng)更新非常重要，但往往是這些最基本的原則經(jīng)常被忽視。即使你有世界上最好的系統(tǒng)，你也依然可能會(huì)犯錯(cuò)。

許多物聯(lián)網(wǎng)企業(yè)只關(guān)注非常低層級(jí)的數(shù)據(jù)安全，比如加密。他們并不考慮更加復(fù)雜的攻擊模式，比如拒絕服務(wù)（DoS）、數(shù)據(jù)被操縱或者數(shù)據(jù)處理過(guò)程中的其它問(wèn)題。

7.將GDPR看做業(yè)務(wù)差異

正如我們看到的劍橋分析和Facebook丑聞，信任是數(shù)據(jù)保護(hù)的未來(lái)。

2018年3月，美國(guó)《紐約時(shí)報(bào)》和英國(guó)《觀察者報(bào)》爆出了一個(gè)驚天大新聞：一家叫做劍橋分析（Cambridge Analytica）的數(shù)據(jù)公司，非法竊取5000萬(wàn)Facebook用戶資料后用算法進(jìn)行大數(shù)據(jù)分析，根據(jù)每個(gè)用戶的日常喜好、性格特點(diǎn)、行為特征，預(yù)測(cè)他們的政治傾向，甚至操縱了美國(guó)大選。

GDPR不是為了罰款，而是為了增加組織內(nèi)的信任。這是不可避免的事情，如果你做的正確，就能增加用戶的信任，從而獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。

8.雇傭數(shù)據(jù)保護(hù)專員

GDPR還對(duì)企業(yè)的人力提出了建議：不管是否歐盟企業(yè)，如果在歐盟地區(qū)的雇員超過(guò)了250人，便需要雇用一名“數(shù)據(jù)保護(hù)專員”（Data Protection Officer）。歐盟28個(gè)成員國(guó)均已設(shè)立監(jiān)管機(jī)構(gòu)“數(shù)據(jù)保護(hù)局”（Data Protection Authority），將對(duì)各國(guó)GDPR的執(zhí)行狀況進(jìn)行監(jiān)督。

援引界面新聞的報(bào)道，海爾、華為等在歐洲有較大市場(chǎng)份額、并有意進(jìn)軍物聯(lián)網(wǎng)的制造業(yè)領(lǐng)軍者，早已雇請(qǐng)專門(mén)團(tuán)隊(duì)?wèi)?yīng)對(duì)GDPR。

9.提前做好準(zhǔn)備

如果有哪家科技公司發(fā)現(xiàn)數(shù)據(jù)泄露了，它必須在三天內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告，哪怕它什么也沒(méi)調(diào)查出來(lái)，所以你最好提前做好準(zhǔn)備，確保測(cè)試、預(yù)演和更新管理計(jì)劃來(lái)應(yīng)對(duì)任何違反規(guī)定的情況

歐盟是一個(gè)擁有5億消費(fèi)人口的市場(chǎng)，這對(duì)希望“走出去”的中國(guó)企業(yè)來(lái)說(shuō)具有巨大吸引力，越來(lái)越多的中國(guó)企業(yè)還有中國(guó)物聯(lián)網(wǎng)企業(yè)在近年來(lái)開(kāi)展了涉歐業(yè)務(wù)，甚至建立了駐歐分支。GDPR來(lái)襲，中國(guó)企業(yè)必須打起精神，積極應(yīng)對(duì)這一新條例。