最近 Equifax 可謂是站在了風口浪尖上，最大的原因還是自身對于數據的保護不力，而對于監管層面來說，是否有更好的預防措施呢。

歐盟出臺的通用數據保護法規（GDPR）將在明年5月正式實施，想象一下，Equifax 是在 GDPR 生效期間出的事，它的結果又將如何呢，或許，它的處境會更加艱難。

　　GDPR 不僅僅局限于歐洲

這里有關于 GDPR 的詳細信息，簡單的說，GDPR 就是一套用來保護歐盟公民個人隱私和數據的新法規。對那些需要歐盟公民的個人信息的企業來說，無論企業所在地在不在歐洲都會受到影響，所以，這項法規不不僅僅局限于歐洲。法規中對企業通報數據泄露事件的時間做出了高要求，在一些情況下，需要在發現數據泄露事件72小時內就通知給外界。

企業還必須遵守法規中的其他規定，保證歐盟公民不會受到更多的損失：

1.數據提供權：用戶可隨時要求企業提供自己的數據

2.數據刪除權：用戶可隨時要求企業刪除自己的數據

3.數據轉移事先通知權：企業若與第三方共享用戶數據 ，必須事前告知用戶并得到用戶許可。

4.用戶知情權：用戶有權知曉企業是否保存了他們的數據。

為了執行 GDPR 中的法規，企業可能需要額外的配置，技術和人員。普華永道對美國企業做了一份調查，將近70%的受訪者表示將投入1百萬到1千萬美元來執行這項法規。這聽起來是不是很多，但這與 GDPR 給出的罰款來說，還是九牛一毛啊。

GDPR 的懲處力度空前強大

對于那些違反 GDPR 法規的企業，將會面臨年收入4%的或2000萬歐元（超過2300萬美元）的高額罰款，二者取最高為準。這對于那些利潤微薄的企業來說，巨額罰金簡直是一個噩夢。

大家可能對4%的總收入沒什么概念，舉個簡單的例子：

谷歌2016年財報顯示：實現營收903億美元。

如果谷歌沒有遵守 GDPR 法規的話，按照4%的比例，面臨的處罰將近要36.12億美元。

而相比美國其他的隱私保護條例，通常情況下罰金的范圍是幾十萬到幾百萬美金。很明顯，GDPR 的罰款力度在數量級上就遠高于其他數據保護條例。

數據隱私條例對于美國企業可不是什么新鮮事了。事實上，像加利福尼亞和特拉華這樣的州，對于在線數據隱私的規定非常嚴格。美國商務部花了很長的時間來執行歐盟的隱私法案，這樣雙方之間的貿易（大部分是在線貿易）才能正常進行。

美國企業可以自證提供的隱私保護是“充足的”，盡管該法規在美國的實施情況并不是太完美，但美國企業仍需符合 GDPR 的相關條款。

對于 GDPR ，企業應早做準備

對于 GDPR ，美國企業應該提前做好哪些準備呢，相信以下的這5步可以提供一些幫助。

了解自己擁有的是什么數據，并存儲在哪里

企業應弄清楚自己掌握的是歐盟公民的什么數據，如果你手里都沒有這些數據，就根本不用顧慮 GDPR，但是在今天經濟全球化的趨勢下，這是不可能的。如果你擁有歐盟公民的數據，你應該要想到，每家企業都會有數據泄露事件發生，但大多企業對泄露都并不知情。企業需要提前就做好準備，主動關注用戶敏感數據的走向。在 GDPR 明年開始實施的時候，對數據泄露的相關知識了解的越多，也就會越有準備。

確保供應鏈安全

大多數企業的供應鏈都很長。比如一級金融機構有15000家供應商/合作伙伴，而這些合作伙伴大多都擁有金融機構中的個人信息。在 GDPR 的實施下，數據擁有者和流通者都有義務保護歐盟公民的隱私。企業應確保供應商也有足夠的安全防范意識和控制措施。

完善措施

隱私保護措施本身也在不停的修正當中，GDPR 以后會演變成什么樣子也是一個未知數，企業要可以證明自己有能力保護歐盟公民隱私的能力和決心。這可以幫助企業更好地配合 GDPR ，從而與歐盟國家進行更好的業務往來。

即刻制定符合 GDPR 法規的安全流程

企業需要提前建立好安全流程，在事件發生的時候才知道具體應該怎么做。因為 GDPR 留給大多數企業的時間只有72小時，并且還要注意 GDPR 中還談到的公民數據的其他權利，包括數據提供權，刪除權，轉移通知權和用戶知情權。必要時可任命一名數據保護專員。

尋找法律顧問

應對數據泄露事件需要相當多的時間和精力，尋求專業的法律咨詢，可以幫助企業選擇合適的方法處理緊急事件。

無論怎樣，Equifax 的處境都會很艱難

可以肯定的是，GDPR 的影響范圍不僅僅只局限于歐洲。而不確定的是，法規執行初期，歐盟將以何種執行效率和力度對待那些不符合規定的企業。無論怎樣， 相關企業都應提前做好準備，降低風險。

而對于 Equifax 來說，就算 GDPR 正式實施也難巨額罰款，現在的 Equifax 處境已經很艱難了，GDPR 就不要再來雪上加霜了。

*參考來源：securityweek，FB小編 Liki 編譯，轉載請注明來自FreeBuf.COM