上周末,號稱史上最嚴的數據監管條例——GDPR (General Data Protection Regulation,通用數據保護條例 )正式生效了。
“史上最嚴”,絕非浪得虛名。
一方面,它對“合法”的定義極為嚴苛。從數據收集、數據存儲、數據處理、數據跨境傳輸(向歐盟境外的傳輸)等各個環節都進行了系統的規范,還賦予了數據主體廣泛的數據權利和自由。只要一家企業向歐盟境內的個人提供了商品或服務、并收集或處理了個人數據,不管該企業是否在歐盟境內設有機構,都適用于GDPR ;
另一方面,它設定了天價罰款。對于違法行為,輕者處以1000萬歐元或者上一年度全球營收的2%(兩者取其高)的罰款;重者處以2000萬歐元或者企業上一年度全球營收的4%(兩者取其高)的罰款。
GDPR立法大事記
對于物聯網企業來說,GDPR的影響是非常深遠的。原來很多設備是不聯網的,所以不存在用戶隱私泄露的風險;而如今,設備聯網是大勢所趨,數據的控制者和處理者都會直接或者間接的接觸到非常多的個人用戶數據,比如:姓名、性別、年齡、身份證號、手機號等等,另外,由于需要對設備和用戶數據進行運營畫像及監控,也會收集到更多關于用戶行為的隱私數據。
物聯網企業要想符合GDRP的所有規定無疑是一件富有挑戰性的工作,因為在物聯網網絡中獲得處理個人數據所需的許可是很困難的。此外,GDPR提倡“privacy by design”,強調數據安全應該貫徹整個數據生命的周期。
但是合規絕不是不可能的,許多物聯網企業正在為保護數據隱私做出非比尋常的努力,這種努力絕不會白費,企業未來也會從日益增加的客戶信任中受益。Kate O’Flaherty在一篇文章中提出了物聯網企業應對這一監管條例的要點。
1.注意你正在收集和處理的數據
專家建議那些涉及物聯網業務的企業應該組織評估他們收集的信息是否是個人數據。但是應該注意的是:如果你不收集個人信息,也并不意味著你能高枕無憂。
EMEA網絡安全宣傳主管Adrian Davis指出:“通過傳感器從物聯網設備中收集數據,并不意味著你能免除GDPR的約束。你必須知道你的數據在哪里,它如何被保護,以及如果出問題時該如何處理。”
安全支付供應商Nuggets的創始人兼CEO也表示:“作為應對措施的一部分,一些公司需要重新考慮他們正在如何儲存數據。”他認為諸如客戶端加密和區塊鏈等技術可能有助于保護企業。
“在發生數據泄露時,這種類型的技術堆棧能減輕GDPR的風險:根本沒有任何用戶數據儲存在公司的數據庫中以供惡意的第三方進行剽竊。”
2.理解“同意”
GDPR強調數據所有者的知情權,規定數據使用必須事先征得數據主體的同意,而且“同意”必須是具體的、清晰的,是用戶在充分知情的前提下自由做出的。
如果數據使用范圍擴大,無論是將數據提供給第三方或作為企業對外服務的一部分,都必須重新獲取數據主體的授權和同意;數據主體還可以隨時撤回同意權利。其中,GDPR強調了使用者在使用數據時,需表明其特定的使用目的,這也就意味著過度獲取數據將受到控制。
據悉,5月25日當天,包括微信海外版、新浪微博國際版、阿里巴巴旗下的全球速賣通(aliexpress)等多家中國互聯網巨頭,已紛紛向歐洲區用戶更新隱私政策、請求重新授權。
3.GDPR將影響整條供應鏈
很多物聯網企業沒有意識到客戶還具有“撤回同意的權利”以及“數據的被遺忘權”。也就是說,如果用戶提出數據刪除要求時,企業需要在數據庫內找到數據并刪除,如果數據已傳播或提供給企業的供應商使用,企業還有責任通知其供應商予以刪除。
“物聯網企業要考慮的不只是獲得用戶的‘同意’,他們還需要考慮如果用戶要求撤回‘同意’以及行使‘被遺忘權’時應該怎么處理。”
另外,數據主體還具有“數據可攜權”,即將一個數據控制者的個人數據轉移到另一個數據控制主體中。比如Facebook的用戶可以將其賬號中的照片以及其他資料轉移到其他社交服務網絡上。該權利不僅適用于社交網絡服務,還包括云計算、手機應用等自動數據處理系統。
4.記錄你為滿足GDPR要求所做的一切
該規定要求公司記錄其數據處理的全過程。如果在出問題并被調查的時候,企業可以以此為證來證明調查人員弄錯了。
應該明確的是,GDPR并不是致力于揪住某些公司的小辮子并逼他們出局的惡人,相反,其目的只是為了防止數據被濫用。
技術研究機構Gigaom的分析師Jon Collins表示:“理解你所做的一切,告訴人們你所做的一切,并且做到言行合一。如果你是一個致力于做正確的事的企業,這項規定不會使你出局。”
5.注意“privacy by design”和違約
“privacy by design”是GDPR的規定之一。在物聯網中,這適用于設備和軟件,但不包括后端系統。
Synopsys軟件集成部門的安全策略師SteveGiguere表示:“GDPR的合規性不能單獨通過保障物聯網設備來實現,因為它們通常是更大的生態系統的一部分。安全和隱私政策必須建立和應用于物聯網設備、傳輸數據的網絡以及處理數據的后端系統中。”
“產品需要從頭開發”。例如你應該有能力刪除數據以符合用戶的數據“被遺忘權”。
6.基礎安全措施將幫助您合規
基本安全措施,比如確保給所有系統打補丁,是至關重要的。隨著網絡攻擊的日趨嚴重,物聯網世界變得越發脆弱,所以隨時保持系統更新非常重要,但往往是這些最基本的原則經常被忽視。即使你有世界上最好的系統,你也依然可能會犯錯。
許多物聯網企業只關注非常低層級的數據安全,比如加密。他們并不考慮更加復雜的攻擊模式,比如拒絕服務(DoS)、數據被操縱或者數據處理過程中的其它問題。
7.將GDPR看做業務差異
正如我們看到的劍橋分析和Facebook丑聞,信任是數據保護的未來。
2018年3月,美國《紐約時報》和英國《觀察者報》爆出了一個驚天大新聞:一家叫做劍橋分析(Cambridge Analytica)的數據公司,非法竊取5000萬Facebook用戶資料后用算法進行大數據分析,根據每個用戶的日常喜好、性格特點、行為特征,預測他們的政治傾向,甚至操縱了美國大選。
GDPR不是為了罰款,而是為了增加組織內的信任。這是不可避免的事情,如果你做的正確,就能增加用戶的信任,從而獲得競爭優勢。
8.雇傭數據保護專員
GDPR還對企業的人力提出了建議:不管是否歐盟企業,如果在歐盟地區的雇員超過了250人,便需要雇用一名“數據保護專員”(Data Protection Officer)。歐盟28個成員國均已設立監管機構“數據保護局”(Data Protection Authority),將對各國GDPR的執行狀況進行監督。
援引界面新聞的報道,海爾、華為等在歐洲有較大市場份額、并有意進軍物聯網的制造業領軍者,早已雇請專門團隊應對GDPR。
9.提前做好準備
如果有哪家科技公司發現數據泄露了,它必須在三天內向監管機構報告,哪怕它什么也沒調查出來,所以你最好提前做好準備,確保測試、預演和更新管理計劃來應對任何違反規定的情況
歐盟是一個擁有5億消費人口的市場,這對希望“走出去”的中國企業來說具有巨大吸引力,越來越多的中國企業還有中國物聯網企業在近年來開展了涉歐業務,甚至建立了駐歐分支。GDPR來襲,中國企業必須打起精神,積極應對這一新條例。
評論
查看更多