GDPR是什么？什么時候施行？應該采取什么措施來遵從？

 

距離“通用數據保護規范”(GDPR)正式實施，還有不到18個月的時間，但如果要具體實現這些要求，這個時間就不算長了。而且你如果覺得自己沒在歐盟范圍內，不用遵從GDPR，那你最好還是花點時間看完這篇文章吧。

究其本質，該條例制定的目的，是想借賦予歐盟公民個人信息保護的基本權利，來增加消費者對在線服務和電子商務的信心。GDPR的核心，是對個人數據的收集和之后的存儲使用，規定更高的透明度與管控。對GDPR的正面闡釋，是公司企業可通過給消費者一種自身數據被合理存儲和保護的安全感，來贏得消費者的信任。GDPR不是一個負擔，相反，它可被視為在世界第二大貿易集團(歐盟)增加業務的好機會。

盡管GDPR背后的原則前景光明，但該新規定無疑也將給在歐盟做生意或收集歐盟公民數據的任何公司帶來負擔。如果你覺得該規定僅僅針對位于歐盟的公司，那就大錯特錯了。

GDPR全球適用

事實上，無論公司總部在哪兒，無論數據存儲和處理地點在哪兒，只要與身處歐盟的人做生意，或者監視歐盟公民的行為，就必須遵從GDPR。再進一步解釋：如果你收集歐盟公民的數據，你就受到GDPR的管轄。除非你的公司非常嚴格地排除了歐盟，否則你還是得處理GDPR合規問題。這一寬泛的適用范圍，其出發點是好的。要知道，GDPR其實就是《歐盟數據保護指南》的繼任者，所以，某種程度上，它將怎樣改進現有標準，也是眾所矚目的。

BH咨詢公司的布萊恩·霍楠如是說道：

合規更簡單，而且理論上開銷更少。因為該法律適用整個歐洲，公司企業可以任意挑選喜歡的機構進行報告。

GDPR不僅僅是《歐盟數據保護指南》的范圍擴大版，它還是總體上更為嚴苛的法規，包含更嚴厲的違規處罰。違規最高罰金可達公司全球總收益的4%或2000萬歐元中的高者。說白了，這些后果本就是相當嚴重的。除了高額罰金，GDPR還加入了以下條款：

引入強制數據泄露通告。遭受安全事件并導致個人身份信息泄露的公司，需要在事件發現后72小時內，將事件報告給他們指定的數據保護機構；引入具備數據保護法令專業知識的指定數據保護官員。該角色必須是獨立的、自治的，并直接向高層管理匯報。

GDPR提出的要求顯然不止這些，僅靠這篇文章也解釋不完。這里只是想要說服各位讀者盡快去了解更多。如果你腦中有這樣的想法：“我得買什么產品才能合規？”趕緊扔掉。購買部署一堆安全產品不能讓你達到合規的目的。

該規定特意編寫得無關技術，且面向未來——數據和數據安全瞬時萬變的情況下這一點尤其恰當。不過，出于信息安全合規角度，對公司企業必須做些什么，建立起初始有效的解讀，還是可以的。數據安全的關鍵，在于“足夠的措施”這句。數據控制者必須實現“足夠的措施”，來確保其處理系統和所掌握信息的機密性和完整性。這包括：

應用關鍵安全控制來恰當地檢測、管理和緩解數據處理環境中的任何漏洞；根據企業策略配置系統，并維護該配置；主動識別偏離該策略的系統；持續監視日志文件，警惕任何潛在數據泄露或漏洞；維持有效檢測、響應和緩解任何安全事件的能力；以安全的方式使用云服務。

關于這些措施，及其對希望達到并維持合規的公司的影響，布萊恩·霍楠說道：

雖然規則沒有明確，我的解讀是：GDPR實際上要求公司企業擁有定義好的安全策略。你用來監視數據資產的系統、控制和過程，應該與公認的安全標準和框架相一致，比如ISO/IEC 27001/27002、NIST網絡安全框架，或者CIS關機控制。

GDPR設定的標準其實就是業界已經建立的那種，或許這并不令人意外，但這也并不是說實現這些標準就是很簡單或者開銷少的事。豎起的標志明顯指向了這些最佳實踐的方向。

對此，問題又轉回到公司企業最關心的方面：罰金。很明顯，避免數據泄露和實現要求的過程及控制，就是規避罰款的關鍵。但提出并非所有的數據泄露都能避免的質疑也是很合理的。霍楠在這方面有他自己的箴言：

“對規則的初步閱讀揭示：能夠在事件發生前展示出恰當的安全措施，可能會減少事件的財務影響。這是你可以直接帶到董事會上討論的安全投資企劃。”