上周末,號(hào)稱史上最嚴(yán)的數(shù)據(jù)監(jiān)管條例——GDPR (General Data Protection Regulation,通用數(shù)據(jù)保護(hù)條例 )正式生效了。
“史上最嚴(yán)”,絕非浪得虛名。
一方面,它對(duì)“合法”的定義極為嚴(yán)苛。從數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)跨境傳輸(向歐盟境外的傳輸)等各個(gè)環(huán)節(jié)都進(jìn)行了系統(tǒng)的規(guī)范,還賦予了數(shù)據(jù)主體廣泛的數(shù)據(jù)權(quán)利和自由。只要一家企業(yè)向歐盟境內(nèi)的個(gè)人提供了商品或服務(wù)、并收集或處理了個(gè)人數(shù)據(jù),不管該企業(yè)是否在歐盟境內(nèi)設(shè)有機(jī)構(gòu),都適用于GDPR ;
另一方面,它設(shè)定了天價(jià)罰款。對(duì)于違法行為,輕者處以1000萬(wàn)歐元或者上一年度全球營(yíng)收的2%(兩者取其高)的罰款;重者處以2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)收的4%(兩者取其高)的罰款。
GDPR立法大事記
對(duì)于物聯(lián)網(wǎng)企業(yè)來(lái)說(shuō),GDPR的影響是非常深遠(yuǎn)的。原來(lái)很多設(shè)備是不聯(lián)網(wǎng)的,所以不存在用戶隱私泄露的風(fēng)險(xiǎn);而如今,設(shè)備聯(lián)網(wǎng)是大勢(shì)所趨,數(shù)據(jù)的控制者和處理者都會(huì)直接或者間接的接觸到非常多的個(gè)人用戶數(shù)據(jù),比如:姓名、性別、年齡、身份證號(hào)、手機(jī)號(hào)等等,另外,由于需要對(duì)設(shè)備和用戶數(shù)據(jù)進(jìn)行運(yùn)營(yíng)畫(huà)像及監(jiān)控,也會(huì)收集到更多關(guān)于用戶行為的隱私數(shù)據(jù)。
物聯(lián)網(wǎng)企業(yè)要想符合GDRP的所有規(guī)定無(wú)疑是一件富有挑戰(zhàn)性的工作,因?yàn)樵谖锫?lián)網(wǎng)網(wǎng)絡(luò)中獲得處理個(gè)人數(shù)據(jù)所需的許可是很困難的。此外,GDPR提倡“privacy by design”,強(qiáng)調(diào)數(shù)據(jù)安全應(yīng)該貫徹整個(gè)數(shù)據(jù)生命的周期。
但是合規(guī)絕不是不可能的,許多物聯(lián)網(wǎng)企業(yè)正在為保護(hù)數(shù)據(jù)隱私做出非比尋常的努力,這種努力絕不會(huì)白費(fèi),企業(yè)未來(lái)也會(huì)從日益增加的客戶信任中受益。Kate O’Flaherty在一篇文章中提出了物聯(lián)網(wǎng)企業(yè)應(yīng)對(duì)這一監(jiān)管條例的要點(diǎn)。
1.注意你正在收集和處理的數(shù)據(jù)
專家建議那些涉及物聯(lián)網(wǎng)業(yè)務(wù)的企業(yè)應(yīng)該組織評(píng)估他們收集的信息是否是個(gè)人數(shù)據(jù)。但是應(yīng)該注意的是:如果你不收集個(gè)人信息,也并不意味著你能高枕無(wú)憂。
EMEA網(wǎng)絡(luò)安全宣傳主管Adrian Davis指出:“通過(guò)傳感器從物聯(lián)網(wǎng)設(shè)備中收集數(shù)據(jù),并不意味著你能免除GDPR的約束。你必須知道你的數(shù)據(jù)在哪里,它如何被保護(hù),以及如果出問(wèn)題時(shí)該如何處理?!?/p>
安全支付供應(yīng)商N(yùn)uggets的創(chuàng)始人兼CEO也表示:“作為應(yīng)對(duì)措施的一部分,一些公司需要重新考慮他們正在如何儲(chǔ)存數(shù)據(jù)?!彼J(rèn)為諸如客戶端加密和區(qū)塊鏈等技術(shù)可能有助于保護(hù)企業(yè)。
“在發(fā)生數(shù)據(jù)泄露時(shí),這種類型的技術(shù)堆棧能減輕GDPR的風(fēng)險(xiǎn):根本沒(méi)有任何用戶數(shù)據(jù)儲(chǔ)存在公司的數(shù)據(jù)庫(kù)中以供惡意的第三方進(jìn)行剽竊?!?/p>
2.理解“同意”
GDPR強(qiáng)調(diào)數(shù)據(jù)所有者的知情權(quán),規(guī)定數(shù)據(jù)使用必須事先征得數(shù)據(jù)主體的同意,而且“同意”必須是具體的、清晰的,是用戶在充分知情的前提下自由做出的。
如果數(shù)據(jù)使用范圍擴(kuò)大,無(wú)論是將數(shù)據(jù)提供給第三方或作為企業(yè)對(duì)外服務(wù)的一部分,都必須重新獲取數(shù)據(jù)主體的授權(quán)和同意;數(shù)據(jù)主體還可以隨時(shí)撤回同意權(quán)利。其中,GDPR強(qiáng)調(diào)了使用者在使用數(shù)據(jù)時(shí),需表明其特定的使用目的,這也就意味著過(guò)度獲取數(shù)據(jù)將受到控制。
據(jù)悉,5月25日當(dāng)天,包括微信海外版、新浪微博國(guó)際版、阿里巴巴旗下的全球速賣(mài)通(aliexpress)等多家中國(guó)互聯(lián)網(wǎng)巨頭,已紛紛向歐洲區(qū)用戶更新隱私政策、請(qǐng)求重新授權(quán)。
3.GDPR將影響整條供應(yīng)鏈
很多物聯(lián)網(wǎng)企業(yè)沒(méi)有意識(shí)到客戶還具有“撤回同意的權(quán)利”以及“數(shù)據(jù)的被遺忘權(quán)”。也就是說(shuō),如果用戶提出數(shù)據(jù)刪除要求時(shí),企業(yè)需要在數(shù)據(jù)庫(kù)內(nèi)找到數(shù)據(jù)并刪除,如果數(shù)據(jù)已傳播或提供給企業(yè)的供應(yīng)商使用,企業(yè)還有責(zé)任通知其供應(yīng)商予以刪除。
“物聯(lián)網(wǎng)企業(yè)要考慮的不只是獲得用戶的‘同意’,他們還需要考慮如果用戶要求撤回‘同意’以及行使‘被遺忘權(quán)’時(shí)應(yīng)該怎么處理?!?/p>
另外,數(shù)據(jù)主體還具有“數(shù)據(jù)可攜權(quán)”,即將一個(gè)數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)轉(zhuǎn)移到另一個(gè)數(shù)據(jù)控制主體中。比如Facebook的用戶可以將其賬號(hào)中的照片以及其他資料轉(zhuǎn)移到其他社交服務(wù)網(wǎng)絡(luò)上。該權(quán)利不僅適用于社交網(wǎng)絡(luò)服務(wù),還包括云計(jì)算、手機(jī)應(yīng)用等自動(dòng)數(shù)據(jù)處理系統(tǒng)。
4.記錄你為滿足GDPR要求所做的一切
該規(guī)定要求公司記錄其數(shù)據(jù)處理的全過(guò)程。如果在出問(wèn)題并被調(diào)查的時(shí)候,企業(yè)可以以此為證來(lái)證明調(diào)查人員弄錯(cuò)了。
應(yīng)該明確的是,GDPR并不是致力于揪住某些公司的小辮子并逼他們出局的惡人,相反,其目的只是為了防止數(shù)據(jù)被濫用。
技術(shù)研究機(jī)構(gòu)Gigaom的分析師Jon Collins表示:“理解你所做的一切,告訴人們你所做的一切,并且做到言行合一。如果你是一個(gè)致力于做正確的事的企業(yè),這項(xiàng)規(guī)定不會(huì)使你出局?!?/p>
5.注意“privacy by design”和違約
“privacy by design”是GDPR的規(guī)定之一。在物聯(lián)網(wǎng)中,這適用于設(shè)備和軟件,但不包括后端系統(tǒng)。
Synopsys軟件集成部門(mén)的安全策略師SteveGiguere表示:“GDPR的合規(guī)性不能單獨(dú)通過(guò)保障物聯(lián)網(wǎng)設(shè)備來(lái)實(shí)現(xiàn),因?yàn)樗鼈兺ǔJ歉蟮纳鷳B(tài)系統(tǒng)的一部分。安全和隱私政策必須建立和應(yīng)用于物聯(lián)網(wǎng)設(shè)備、傳輸數(shù)據(jù)的網(wǎng)絡(luò)以及處理數(shù)據(jù)的后端系統(tǒng)中?!?/p>
“產(chǎn)品需要從頭開(kāi)發(fā)”。例如你應(yīng)該有能力刪除數(shù)據(jù)以符合用戶的數(shù)據(jù)“被遺忘權(quán)”。
6.基礎(chǔ)安全措施將幫助您合規(guī)
基本安全措施,比如確保給所有系統(tǒng)打補(bǔ)丁,是至關(guān)重要的。隨著網(wǎng)絡(luò)攻擊的日趨嚴(yán)重,物聯(lián)網(wǎng)世界變得越發(fā)脆弱,所以隨時(shí)保持系統(tǒng)更新非常重要,但往往是這些最基本的原則經(jīng)常被忽視。即使你有世界上最好的系統(tǒng),你也依然可能會(huì)犯錯(cuò)。
許多物聯(lián)網(wǎng)企業(yè)只關(guān)注非常低層級(jí)的數(shù)據(jù)安全,比如加密。他們并不考慮更加復(fù)雜的攻擊模式,比如拒絕服務(wù)(DoS)、數(shù)據(jù)被操縱或者數(shù)據(jù)處理過(guò)程中的其它問(wèn)題。
7.將GDPR看做業(yè)務(wù)差異
正如我們看到的劍橋分析和Facebook丑聞,信任是數(shù)據(jù)保護(hù)的未來(lái)。
2018年3月,美國(guó)《紐約時(shí)報(bào)》和英國(guó)《觀察者報(bào)》爆出了一個(gè)驚天大新聞:一家叫做劍橋分析(Cambridge Analytica)的數(shù)據(jù)公司,非法竊取5000萬(wàn)Facebook用戶資料后用算法進(jìn)行大數(shù)據(jù)分析,根據(jù)每個(gè)用戶的日常喜好、性格特點(diǎn)、行為特征,預(yù)測(cè)他們的政治傾向,甚至操縱了美國(guó)大選。
GDPR不是為了罰款,而是為了增加組織內(nèi)的信任。這是不可避免的事情,如果你做的正確,就能增加用戶的信任,從而獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。
8.雇傭數(shù)據(jù)保護(hù)專員
GDPR還對(duì)企業(yè)的人力提出了建議:不管是否歐盟企業(yè),如果在歐盟地區(qū)的雇員超過(guò)了250人,便需要雇用一名“數(shù)據(jù)保護(hù)專員”(Data Protection Officer)。歐盟28個(gè)成員國(guó)均已設(shè)立監(jiān)管機(jī)構(gòu)“數(shù)據(jù)保護(hù)局”(Data Protection Authority),將對(duì)各國(guó)GDPR的執(zhí)行狀況進(jìn)行監(jiān)督。
援引界面新聞的報(bào)道,海爾、華為等在歐洲有較大市場(chǎng)份額、并有意進(jìn)軍物聯(lián)網(wǎng)的制造業(yè)領(lǐng)軍者,早已雇請(qǐng)專門(mén)團(tuán)隊(duì)?wèi)?yīng)對(duì)GDPR。
9.提前做好準(zhǔn)備
如果有哪家科技公司發(fā)現(xiàn)數(shù)據(jù)泄露了,它必須在三天內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告,哪怕它什么也沒(méi)調(diào)查出來(lái),所以你最好提前做好準(zhǔn)備,確保測(cè)試、預(yù)演和更新管理計(jì)劃來(lái)應(yīng)對(duì)任何違反規(guī)定的情況
歐盟是一個(gè)擁有5億消費(fèi)人口的市場(chǎng),這對(duì)希望“走出去”的中國(guó)企業(yè)來(lái)說(shuō)具有巨大吸引力,越來(lái)越多的中國(guó)企業(yè)還有中國(guó)物聯(lián)網(wǎng)企業(yè)在近年來(lái)開(kāi)展了涉歐業(yè)務(wù),甚至建立了駐歐分支。GDPR來(lái)襲,中國(guó)企業(yè)必須打起精神,積極應(yīng)對(duì)這一新條例。
評(píng)論
查看更多