就在幾天前,Facebook CEO扎克伯格啟程去歐盟“道歉”了。試想,如果歐盟的《通用數據保護條例》(GDPR)在“臉書門”爆發之前便已生效,Facebook會不會被罰得“傾家蕩產”?
2018年5月25日,GDPR正式生效。之前,各大安全和數據保護廠商,以及媒體等都在“打預防針”,甚至將GDPR稱為“史上最嚴數據保護條例”,因為一旦有企業觸碰紅線,罰款範圍是1000萬到2000萬歐元,或者企業全球年營業額的2%到4%。
就在5月24日,“歐盟GDPR的影響與應對”高峰論壇在北京舉行,相關專家、企業代表等近兩百人就GDPR實施將引發的熱點問題進行探討。
據悉,歐盟之所以頒佈這一新規,主要考慮:為歐盟公民提供更多使用自己的個人資料的權力;加強數字服務提供者與他們所服務的人之間的信任;為企業提供明確的法律框架,通過在歐盟單一市場上制定統一的法律來消除任何區域差異。GDPR不僅將適用於所有歐盟的企業,而且那些與歐盟做生意的企業也要遵守。當前,中國企業正湧起一股“出海潮”,不可避免會與歐盟的企業打交道。那麼中國企業對GDPR到底瞭解多少?中國企業“怕不怕”呢?
1
GDPR是懸在頭上的劍
記者的一位朋友在一家知名外企從事市場方面的工作。在得知記者準備寫一篇關於GDPR的文章,他極為關注。“GDPR和你的工作有關係嗎?”記者漫不經心地在微信中問了一句。“關係重大!我們在市場方面所有的數據都要符合GDPR的要求。”朋友這樣回答。
中國的企業們聽到了嗎?GDPR真不是鬧著玩的。
安全廠商Sophos去年下半年曾在英國針對企業的IT決策者做過一項調查:超過半數的企業承認對GDPR及其可能引發的財務風險並不瞭解。距歐盟如此之近的英國尚且如此,中國企業的情況更不容樂觀。
GDPR官網顯示:GDPR開始實施後,數據洩露將不再是企業聲譽受損或營業額下降這麼簡單,違反GDPR,輕者將被處以1000萬歐元或者上一年度全球營收2%的罰款,兩者取其高;重者將被處以2000萬歐元或者企業上一年度全球營業收入4%的罰款,兩者取其高。決定罰金有十大標準,包括侵權的性質、意圖、緩解措施、預防性措施、歷史、合作、數據類型、通知、認證及其他。
Sophos的調查數據顯示,超過25%的企業聲稱,如此重罰會讓他們徹底倒閉(如果企業規模不足50人,將有超過一半的企業受罰後會關閉);40%的IT決策者表示,如果遭罰,裁員將不可避免。
GDPR可謂懸在企業頭頂上的一把利劍。
我們很多人都有類似的“慘痛”經歷:每天被各種“買房嗎”“買基金嗎”的電話騷擾;信用卡從未離身,錢卻被一筆筆地盜刷;個人身份信息、照片甚至飯店的住宿記錄在網上就可以被輕易查到……可能我們大多數人還沒有遭受因信息洩露而導致的鉅額經濟損失,所以也就這樣默默忍受了,但是信息洩露終究是一個巨大的隱患,隨時可能被引爆。GDPR的鉅額罰款不是最終目的,與其亡羊補牢,不如提早進行保護和防禦。一句話,我們必須繃緊信息和隱私保護這根弦了。
GDPR也許正是個轉變的信號和契機。
2
滿足GDPR也不是那麼難
Commvault公司將GDPR對數據保護提出的要求歸納為三點:第一,正確地使用數據;第二,確保數據的訪問安全;第三,保證數據的可用性。
GDPR要求企業將更大範圍的數據納入到數據管理體系中,特別是那些企業邊緣的個人數據,而且不僅要保證數據的可用性,更需要對數據具有足夠的洞察力以確保合規。高效、簡化、統一地實現數據保護的需求,將是每個企業面臨的挑戰。
要滿足這麼多關於數據保護方面的新要求,企業有可能為此要設置新的工作崗位、招聘相應的人才等。“企業的GDPR合規之路何其漫長。鑑於其重要性和長遠影響,企業高管確實應該現在開始分步驟地進行規劃,以降低風險,杜絕後患。”Sophos公司中國區總經理鍾明輝表示。
其實,降低風險也並不像想象中那樣複雜,只要企業把該做的都做到位就可以在很大程度上防範數據洩露,比如確保所有操作系統和軟件更新至最新版本,對敏感數據實施加密,教育所有員工有關網絡釣魚和其他社交工程網絡攻擊的風險。此外,還要部署一個有效的防病毒/惡意軟件解決方案,以減少因黑客攻擊和惡意軟件造成的違規風險。
下決心易,付諸行動難。很多時候,如果沒有法律強制要求採取行動,可能很難促使企業花費精力和金錢去整合數據,實施嚴格的數據保護。從這個角度說,GDPR來得很及時。
三未信安的一位專家表示,GDPR重點是保護個人隱私數據,企業信息系統必須採取技術和管理的措施,滿足保護個人隱私數據的要求。作為技術領先的密碼產品和數據安全方案供應商,三未信安可以為企業提供基於密碼技術的信息安全解決方案,包括具有數據全生命週期加密保護的系列產品,能夠幫助企業達到GDPR的要求。
Commvault的GDPR合規解決方案可以幫助企業識別敏感信息,預先發現並處理風險,並通過自動化的方式滿足用戶對數據獲取及敏感信息擦除的需求。
綠盟科技的專家認為,企業應正確看待GDPR提出的數據安全保護要求。該要求其實是一個廣義上的數據安全保護框架,包括安全策略、安全組織、網絡安全、數據防洩漏、運維管控、安全培訓、安全審計等內容。綠盟科技作為國內領先的安全廠商,擁有豐富的網絡安全防護產品,如下一代防火牆、WAF、IPS、堡壘機、數據庫審計系統等,可以幫助企業實現網絡層面的安全防護,同時也有國內最領先的數據防洩漏DLP解決方案和產品,此外綠盟科技還提供專業的安全諮詢和培訓服務。通過以上三大類產品和服務,綠盟科技相信可以有效協助用戶瞭解和評估自身的信息安全現狀與能力,制定並落實具體的控制措施,以應對和滿足GDPR的要求。
3
中國企業不能置身事外
可能有的中國企業會說,GDPR是適用於歐盟企業的,中國企業或許可以“置身事外”。世界早就是個地球村,在中國開展業務的企業,很可能明天就要走向國際。中國企業在歐洲提供服務肯定要遵守該條例。更具體的說,在歐盟成員國有法人實體的公司,以及在歐盟沒有設立實體公司,但因為業務關係而持有歐盟居民個人資料的公司都“籠罩”在GDPR之下。中國企業只要在歐盟成員國境內開展業務,就必須保護歐盟成員國民眾的個人資料與隱私,即使公司業務範圍不在歐盟境內,但只要公司有任何來自歐盟成員國的客戶,都必須遵守GDPR,一旦違反,將面臨嚴厲的處罰。
GDPR經歷了四年的討論才獲得歐盟批准並於5月25日正式實施。其條款詳盡複雜,可以說是歐美截至目前最嚴格的一部關於個人數據保護的條例。它把信息安全中關於隱私保護的範疇和重要性提升到一個前所未有的高度。綠盟科技認為,GDPR對於世界各國政府制訂或修訂自己國內的個人信息保護法規具有積極的參考意義。我國2018年5月1日正式實施的《信息安全技術 個人信息安全規範》標準在編制過程中也參考了GDPR。中國企業應該認真研讀GDPR、《信息安全技術 個人信息安全規範》等條例和規範,或諮詢第三方機構,並投入相應資源以滿足條例和規範的監管要求。
GDPR的影響力將輻射全球。Veritas 2017 GDPR報告顯示,全球47%的企業都擔心無法趕在GDPR條例生效之前滿足合規要求。更令人擔憂的是,只有31%的企業認為他們達到了GDPR的要求。
Veritas公司大中華區總裁楊晨告訴記者,很多企業並不十分了解企業內部數據的管理權歸屬。企業高管常常認為CIO是負責GDPR的關鍵人物,而CIO又認為這是高管的職責。公平地說,這需要多個職能部門的配合。企業需要在創建合規和數據治理文化時,徹底改變思維模式。確保GDPR合規性不再只是CIO一個人的職責,而是需要所有部門的共同努力。
Veritas今年發佈的《全球消費者數據隱私報告》顯示:90%的中國消費者會聯合親朋好友共同抵制未能保護個人數據的企業,88%的消費者聲稱會向監管機構舉報洩漏隱私的企業。有趣的是,消費者也會“獎勵”妥善保護個人數據的公司。91%的中國消費者就表示,他們更願意向個人數據有保障的可靠公司購買更多產品或服務。
中國的個人消費者都行動起來了,那麼中國的企業呢?記者也採訪了幾家國內的公有云服務商,他們是業務國際化的先鋒,但他們對GDPR的問題諱莫如深,不願置評。
其實,不論是傳統的傳統金融業(銀行、保險等)、傳統服務業務(乘車、航空等),還是電商網站、娛樂、社交等網絡等新興領域,除非企業選擇放棄歐盟市場,否則只要涉及向歐盟境內公民提供服務並處理個人數據,都將進入GDPR適用範圍。也就是說,企業針對個人數據所觸碰的各個領域,包括物聯網、雲以及各類移動應用場景,均在GDPR的適用範圍內。
360企業安全研究院院長裴智勇指出,由於GDPR的實施對中國企業是很大的挑戰,企業將面臨雙路徑合規的要求。當然,這其中會有共性約束,也可能存在部門衝突情況。《網絡安全法》第三十七條規定,我國要求關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。由此可知,我國關於網絡安全和數據保護是遵循“屬地原則”的。而根據GDPR的要求,交易後企業若在中國境內存儲歐盟公民個人信息,則中國整體以及交易後企業對於數據安全的保護程度需符合足夠保護的標準(Adequate Level of Protection)。如果交易雙方無法證明符合足夠保護標準的要求,交易可能在其他司法轄區受到質疑。
總而言之,企業應該將GDPR視為一種新機制,並以此為原則,負責任地使用和管理企業數據,同時更要負責地對待客戶和供應商。GDPR的重要性和深遠影響力更體現在,它不僅可以促進企業建立遵守數據隱私法規的文化,還能幫助企業贏得更多信任,增進與消費者之間的互信。
GDPR早就應該來了!
閱讀更多 濤哥說事 的文章
