所有收集歐盟（EU）國家公民數據的企業，將必須在明年正式執行有關用戶數據保護的嚴格新規——《通用數據保護規范》（GDPR）。GDPR的目標是保護歐盟公民免受隱私和數據泄露的影響，同時重塑歐盟的組織機構處理隱私和數據保護的方式。

2018年5月25日，GDPR將正式生效，并取代當前的數據保護指令（DPD）。該規范比指令更有力，因為它不需要由每個成員國單獨采用。相反，自生效之日起，所有成員國的法規將立即適用于法律。

新規的出現為企業安全團隊帶來了一些擔憂，同時也帶來了一些新的期待。例如，GDPR對個人信息的保護及其監管達到了前所未有的高度，同時也擴大了對于用戶個人數據的定義，企業必須將用戶個人的IP地址或cookie數據等信息置于和其他用戶機密數據（姓名、地址以及社會安全號碼等）相同的保護等級。

不過，GDPR也留下了許多解釋空間。例如，它指出，公司必須為個人數據提供“合理”的保護等級，但是卻并未明確界定“合理”的標準。如此一來，在涉及評估數據違規和違規罰款的問題時，就為GDPR管理機構留出了很大的解釋余地。

目前，為了強化企業員工對GDPR新規的了解，許多企業的首席安全官（CSO）已經編寫了“企業需要了解的GDPR新規內容”以及關于如何滿足其要求的建議。雖然新規中的許多要求并不直接涉及信息安全，但是新規對于安全流程和系統的要求可能會對企業現有的安全系統和協議產生一定的影響。

什么是GDPR？

歐盟議會于2016年4月通過了GDPR新規，用于取代1995年發布的過時的數據保護指令（DPD）。新的指令完全更新了歐盟成員國以及任何與歐盟各國進行交易或持有公民（歐洲經濟區公民）數據的公司必須存儲安全和管理個人數據的方式。

此外，GDPR新規是在28個歐盟成員國統一實施生效的，這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。但是，GDPR的合規要求是相當高的，需要大多數企業投入大量的人力、財力才能得以實現。

根據Ovum公司提供的調查報告顯示，52%的受訪IT決策者預計GDPR將會“導致他們公司受到罰款”；三分之二的受訪者認為這將“迫使他們改變歐洲業務戰略”；超過70%的受訪者預計會增加開支來滿足數據保護要求，同時，超過30%的受訪者預計在未來兩年預算將會增加超過10%；甚至有高達85%的受訪者認為GDPR將使其在與歐盟公司的競爭中處于劣勢。

GDPR新規將影響哪些企業？

任何存儲或處理歐盟國家內有關歐盟公民個人信息的公司，即使在歐盟境內沒有業務存在，也必須遵守GDPR。有關必須遵守GDPR新規的公司的具體標準如下所示：

在歐盟境內擁有業務；

在歐盟境內沒有業務，但是存儲或處理歐盟公民的個人信息；

超過250名員工；

少于250名員工，但是其數據處理方式影響數據主體的權利和隱私，或是包含某些類型的敏感個人數據。

這也就意味著，GDPR新規幾乎適用于所有的公司。普華永道提供的調查結果顯示，92％的美國公司認為GDPR將成為最重要的數據保護措施。

GDPR新規截止實施時間？

公司必須在2018年5月25日之前遵守GDPR新規要求。

組織是否必須指定數據保護人員遵守GDPR？

GDPR引入了具體術語來定義組織內的角色和責任，包括數據控制員（Data controller）、數據處理員（Data processor）以及數據保護員（Data Protection Officer，簡稱DPO）。其中數據控制員（Data controller）定義了個人數據的處理方式和目的，此外，控制員還負責確保外部承包商能夠遵守相關規定。

數據處理員(Data processor)可以是維護和處理個人數據記錄的內部團體（如業務分析師或開發商的直接雇員），也可以是執行全部或部分這些活動的任何外部服務提供商（如信用評級機構等）。

GDPR新規要求數據處理員為違規和不遵守規定的行為負責。那么也就是說，即便事故責任完全在負責數據處理的合作伙伴一方（如云服務提供商），你的公司和該合作伙伴也可能會同時受到處罰。

此外，GDPR還要求控制員和處理員指定一個數據保護員(DPO)來監管數據安全策略和GDPR合規性。核心活動涉及處理或存儲大量的歐盟公民數據、處理或存儲特殊類別的個人數據（健康記錄、犯罪記錄）的組織必須指定名DPO。DPO主要負責就GDPR規定提供咨詢意見，向最高管理層報告。

完成GDPR合規要求所需成本？

根據普華永道的調查數據顯示，68%的美國公司預計將花費100萬到1000萬美元的投入來滿足GDPR的合規性要求；另有9%的企業預計將花費超過1000萬美元。

如果企業沒有滿足GDPR的合規性要求將導致什么后果？

每一單GDPR違規行為將受到高達2000萬歐元的嚴重處罰，或者上一年全球年營業額的4％，以較高者為準。根據Ovum公司提供的調查報告顯示，52%的受訪IT決策者預計他們會因為違規行為而面臨罰款。管理咨詢公司奧利弗·懷曼（Oliver Wyman）預測，歐盟在第一年可能會收到高達60億美元的罰款金額。

目前，一個懸而未決的問題是如何對懲罰進行評估。例如，一個對個人影響最小的違規行為，和一個因暴露個人識別信息（PII）而對個人造成實際損失的違規行為之間的懲罰力度是否存在區別？目前，普遍認知的見解是，監管部門將迅速對一些早期發現不合規的企業采取行動發出一份不合規信息通知。然后，組織就能夠更好地評估一旦發生不合規的情況會產生什么后果。

哪些類型的隱私數據將受到GDPR保護？

基本的身份信息，如姓名、地址和身份證號碼等；

網絡數據，如位置、IP地址、Cookie數據和RFID標簽等；

醫療保健和遺傳數據；

生物識別數據，如指紋、虹膜等；

種族或民族數據；

政治觀點；

性取向。

GDPR的哪些合規要求將影響你的公司？

GDPR的合規要求將迫使美國企業改變他們處理、存儲和保護用戶個人數據的方式。例如，根據GDPR的要求，組織在要求個人資料時將被要求使用“簡明語言”，并且必須提供有關它們如何處理的信息。他們必須說出他們是誰，他們為什么要處理數據，誰接收到它，以及它將被存儲多長時間。他們必須讓個人明確，并肯定地同意處理數據。

此外，GDPR還要求數據管理員采取合理步驟，確保參與數據共享的第三方刪除，擴大了被刪除的權利。這一項也被稱為“被遺忘的權利”。

有幾項合規要求還將對企業的安全團隊產生直接影響。其一就是公司必須能夠為歐盟公民提供“合理的”數據安全和隱私保護，但是對于“合理的”具體標準，GDPR并沒有進行明確規定。

而對于企業來說，其中最具挑戰性的合規要求應該是，公司必須在發現違規事件的72小時內，向監管當局和受到違規事件影響的個人通報數據違規行為。執行影響評估的另一個要求是，通過識別漏洞以及制定漏洞解決方案來幫助減輕漏洞導致的安全風險。

一個成功的GDPR項目是什么樣的？

提到GDPR新規對企業的影響，沒有比ADP（美國自動數據處理公司）更有發言權的公司存在了！該公司為全球超過65萬家公司提供基于云計算的人力資本管理（HCM）和業務外包服務，ADP持有全球數百萬用戶的個人身份信息（PII），所以其用戶非常期待ADP公司能夠符合GDPR的合規要求。如果發現ADP沒有符合GDPR標準，那么該公司損失的不僅是高達2000萬歐元，或上年度全球年營業額4％的高額罰款，還將承擔失去客戶信任的風險。

ADP在全球的業務重點和規模一定程序上也成為其更快、更好的適應GDPR新規的優勢。它很好地遵守并實踐了現有的隱私和安全規定，所以適應GDPR的合規要求并不是難事。ADP首席隱私官Cecile Georges表示，“我們非常熟悉歐洲現行的隱私法，所以對于GDPR新規我們也不會無所適從。GDPR新規觸發了我們作為一家企業，同時作為一個服務提供商的使命感，我們需要遵守GDPR新規來為我們的客戶提供更好地服務支持和保護。”

雖然，ADP公司為GDPR新規的實施付出了比其他很多公司更多的準備，但是不得不承認，GDPR項目是一項巨大的、全球性的工程，它大約開始于一年前（2016年通過），但是它是基于早期安全隱私指令基礎上的項目。Georges表示，“其實我們甚至早在GDPR新規討論之前就已經開始實踐其中的一些規定了，我們早在幾年前就開始對新產品進行了數據流映射和隱私評估工作。”

Georges認為，早期階段進行的數據流映射工作是非常關鍵的。她說，“如果很久以前我們沒有啟動數據流映射，那么我現在就不會如此自信了，數據流映射需要做產品清單，而處理PII對于數據保護影響評估而言是第一步。此外，我們還通過為開發人員提供培訓來實現新產品的‘隱私設計’要求。”

ADP公司在GDPR項目上取得的成功吸引了全球各地眾多企業的關注。Georges表示，“GDPR不僅僅是一個純粹的隱私或合規項目，它實際上是涉及整個組織的一個事情，我們正在與整個公司的項目經理進行協調，以確保正確的流程能夠在我們整個組織內部實現完美運作。”

目前，ADP公司已經實施了保護個人身份信息(PII)的機制，如加密。Georges說：“從安全角度來看，我們得出的結論是，需要更多的是與客戶溝通，確保他們正確地了解我們正在做的事情。”

由于ADP是其他公司的“數據處理器(data processor)”，所以它已經采取了一個可選步驟來定義關于保護PII的結合公司規則(binding corporate rules)。

Georges表示，“像其他合規項目一樣，我們將按時完成并遵守GDPR的各項要求。對于這一點，我們的客戶也應該有一個清楚的認知。事實上，我們已經申請了具有約束力的結合公司規則，雖然這一點并不在GDPR的要求之內，但是我們希望我們的客戶明白，我們想要讓他們的生活更加輕松安全，我們希望能夠保護他們的個人數據，以達到歐盟監管機構所期待的標準。”

Georges表示，她聽到有些企業還沒有按照GDPR合規要求做好準備。

時鐘已經滴滴作響了，如果一家企業到現在還沒有開始研究他們需要做什么準備，我想他們還是先去了解這對于他們的企業將意味著什么吧！他們需要先了解自身受到新監管法規的影響程度，然后進行缺口分析(gap analysis)，這是進行任何評估項目都必須首先實現的兩點。

此外，她還鼓勵公司采取一個適合自己的操作方式。

根據企業自身的業務和擁有的工具不同，可以采取不同的GDPR應用方式，對此需要業務人員進行評估。評估完成后就可以決定接下來要做什么，然后對正在做的事情進行記錄，這就是GDPR所說的“責任原則”，要求企業記錄他們實現合規的過程。這些記錄文件將非常關鍵，因為如果監管機構要求提供合規證明，公司必須能夠提供。

為實現GDPR合規要求，企業需要怎么做？

1. 樹立來自最高管理層的緊迫感

風險管理公司Marsh強調了執行領導層重視網絡準備的重要性，遵守全球數據衛生標準是準備工作的一部分。

2. 號召所有的利益相關者

僅靠IT人員是無法實現GDPR合規要求的。公司可以啟動一個工作小組，號召市場營銷、財務、銷售、運營以及企業內所有涉及收集、分析和以其他方式利用客戶個人身份信息（PII）的人員參與其中。通過成立GDPR工作小組，他們可以更好地為那些實施技術和程序變革的人員提供所需的信息，同時也可以更好地處理任何會對其團隊產生影響的事件。

3. 進行風險評估

你需要了解自己公司存儲和處理的歐盟公民數據，以及圍繞其的安全風險。但記住，除此以外，風險評估還必須囊括為減輕風險所采取的措施。該評估過程的一個關鍵任務就是揭開可能收集和存儲個人識別信息（PII）的所有影子IT（shadow IT，即在企業IT部門以外所發生的技術投入和部署，包括個別員工、團隊和業務部門所采用的云應用程序），因為影子IT可能是造成違規行為的最大風險。

除此之外，不容忽視的風險還有很多。根據Snow Software的IT思想領袖兼高級副總裁Matt Fisher的說法，已經有超過39,000個應用程序被用來存儲個人數據。他表示，“冰山效應會對組織的GDPR合規性造成嚴重的風險，因為很多人只會將注意力集中在冰面以上那10%掌握個人數據的應用程序上。由于企業IT團隊對整個企業使用的應用程序情況疏于了解，所以他們缺乏對可能威脅到GDPR合規性的應用程序的總體認知。”

Fisher繼續補充道，“開始（風險評估）往往是最難的。第一步，組織必須全面了解其整個IT基礎設施，并請點所有的應用程序。清點的同時需要了解哪些應用程序能夠處理個人數據，這樣能夠大大縮小評估項目的范圍，以及在項目上花費的時間成本。如此才能使不可能成為可能。”

4. 雇用或任命一個數據保護官(DPO)

GDPR規定擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定DPO。這根據他們是否處理敏感數據的情況而定，擁有少于250名員工的組織可能也需要指定DPO。那么，如果你的公司內已經存在了一個發揮類似作用的人員，能夠確保PII安全是最好的。否則，你將需要重新聘請一名DPO。根據企業自身的情況，DPO可以不要求一定是全職，在這種情況下，企業就可以選擇一名兼職DPO人員。加上GDPR新規允許一名DPO同時為多個企業工作，所以聘請一名兼職DPO人員將是一個很好的選擇。

5. 制定數據保護計劃

大多數公司已經制定了相關計劃，但還是需要對計劃進行審查和更新，以確保其符合GDPR要求。

6. 不要忘記移動設備

根據Lookout公司對IT和安全管理人員的調查數據顯示，64%的員工會使用移動設備訪問客戶、合作伙伴以及員工的個人識別信息（PII）。這種行為為GDPR合規性造成了另一種威脅。例如，81%的受訪者表示，大多數員工都被允許在辦公設備（可能是員工自己的設備）上安裝個人應用程序。如果這些應用程序需要訪問和存儲個人識別信息（PII），則必須按照GDPR合規要求進行操作。這一過程是很難控制的，尤其是你需要將員工使用的所有未經授權的應用程序都考慮在內。

7. 制定一個匯報GDPR合規進度的計劃

Fisher表示，“距離GDPR新規實施的日子屈指可數，組織必須證明它們正在完成‘處理活動記錄’(Record of Processing Activities，簡稱RoPA)——根據GDPR新規第30條規定，組織必須清點存在風險的應用程序，避免其成為監管機構的目標。建立‘處理活動記錄’是現階段企業需要關注的重點，因為它可以幫助企業識別處理個人數據的具體位置、以及哪些人或程序正在處理這些數據，或這些數據是如何被處理的。”

8. 實施降低風險的措施

一旦確定了風險并想要減輕風險，就必須實施這些安全措施。對于大多數公司來說，這意味著需要修改現有的風險緩解措施。Fisher表示，“在清點應用程序和完成‘處理活動記錄’之后，GDPR團隊就能夠發現和調查與數據相關的任何風險，并確定保護這些數據所需的適當安全級別。”

9. 如果你的企業很小，請在需要的時候尋求幫助

規模較小的公司也將會受到GDPR新規的影響，而且其中一些可能會表現得更為顯著。這種情況下，他們可能沒有所需的資源來滿足GDPR合規要求。這時候，他們就可以尋求外部資源來為他們提供建議，或提供技術專家來幫助他們完成整個過程，并最大限度地避免內部中斷。

10. 測試事件響應計劃

GDPR要求公司在72小時內報告違規行為。響應團隊如何將損害降至最低，將直接影響公司違約罰款的風險。所以，請確保您能夠在這段時間內完成違規報告和響應。

11. 建立持續的評估流程

您想要確保自身保持合規，就需要進行持續地監控和改進操作。一些公司正在考慮通過獎懲制度來確保其員工遵守新的政策。根據Veritas Technologies的一項調查顯示，47%的受訪企業表示可能會將強制性GDPR政策加到員工合同中；25%的受訪者表示，如果發生GDPR違規行為可能會扣除員工的獎金和福利；34%的受訪者表示會通過獎勵政策鼓勵員工遵守GDPR新規。

12. 著眼改善自身業務

根據Varonis Systems的調查結果顯示，74％的受訪者認為符合GDPR合規要求將成為一項潛在的競爭優勢。合規將提高消費者對企業的信心。更重要的是，滿足GDPR合規要求所需的技術和流程改進應該能夠提高組織管理和保護數據的效率。