《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）為歐洲聯(lián)盟于2018年5月25日出臺的條例，前身是歐盟在1995年制定的《計算機數(shù)據(jù)保護法》。

前些日子，國外調查組織的一項調研發(fā)現(xiàn)，在所有受訪公司中，只有20%的企業(yè)完全符合GDPR標準，53%正處于實施階段，27%尚未開始實施。雖然GDPR合規(guī)之路任重而道遠，但相比于去年的調查結果，過去的十個月已取得了長足的進步。

近期沸沸揚揚的Google、Facebook等著名互聯(lián)網(wǎng)大廠被訴案，這些企業(yè)一旦因此新規(guī)被判輸，將面臨超過50億美金的罰款，在許多在歐盟成員國有業(yè)務的國內企業(yè)也因為不能滿足GDPR合規(guī)性而暫停業(yè)務，而這還只是剛剛開始。不得不說，如今人們對個人隱私數(shù)據(jù)保護的重視正在成為影響企業(yè)運行發(fā)展的重要因素，筆者也相信，歐盟的GDPR將會成為世界各國互聯(lián)網(wǎng)安全立法學習的典范。就國內而言，2017年6月1日正式頒布實施的《網(wǎng)絡安全法》，第四十至五十條闡述了做為數(shù)據(jù)處理者和管理者等角色的責任和義務。相信在不遠的未來，國內也會出臺更具體的細則條例來支撐網(wǎng)安法的落地，提升對數(shù)據(jù)主體的權益。

在今年的5月25日，GDPR在歐盟地區(qū)正式全面實施，盡管只是一部只在歐盟區(qū)域內部實行的法律，卻也在國際范圍內引起了廣泛的關注。國內安全圈更不例外，一度興起了半個多月的討論熱潮。

在近兩個多月時間里，也偶爾在一些平臺看到幾篇關于GDPR的文章，但是絕大多數(shù)的內容僅僅停留在討論這部法律的規(guī)定有多么嚴苛，對企業(yè)提出了哪些新的要求，極少有文章在實際性的探討企業(yè)通過哪些手段去滿足GDPR的合規(guī)性要求(也可能是因為國內在做歐洲做生意的企業(yè)不多，很多企業(yè)無需為了GDPR改造優(yōu)化自己的業(yè)務系統(tǒng)?)。

昨日看到Freebuf在推廣的一個關于GDPR的視頻，課程的開始簡要的介紹了GDPR的一些背景情況，如果你還不知道GDPR是什么，可以直接去看一看。

企業(yè)組織應該為GDPR做哪些技術措施方面的準備?

主講人結合GDPR的合規(guī)性要求，從數(shù)據(jù)流動傳輸?shù)膸讉�主要過程一一闡述他以及IBM對此的認知和建議。

對應的五個關鍵技術措施場景：

場景一：發(fā)現(xiàn)和分類個人數(shù)據(jù)

高爽老師講到，在GDPR出臺前，很多企業(yè)對這些數(shù)據(jù)的梳理已經(jīng)有了一些實踐，但這些實踐大都是一次性的，沒有一個長效的機制。個人數(shù)據(jù)被采集后，在企業(yè)內部的流動性很強，很多的業(yè)務環(huán)節(jié)都需要這些數(shù)據(jù)的支撐，僅通過梳理記錄文檔的形式不持久，并且沒有辦法動態(tài)的發(fā)現(xiàn)個人數(shù)據(jù)中存在的風險。企業(yè)需要一套方案或技術手段，對數(shù)據(jù)進行分類(屬性、標簽等)處理，并且應用到后續(xù)的各種安全策略中。

場景二：識別、修復數(shù)據(jù)系統(tǒng)安全風險

也即數(shù)據(jù)的周邊環(huán)境安全問題。首先是數(shù)據(jù)所依存的環(huán)境，數(shù)據(jù)庫、大數(shù)據(jù)系統(tǒng)等，企業(yè)需要持續(xù)動態(tài)的發(fā)現(xiàn)這些基礎設施中的安全漏洞問題。除了胸痛設施以外，還要對能夠接觸使用到這些數(shù)據(jù)用戶(相關數(shù)據(jù)庫、應用賬戶)的權限進行監(jiān)控，及時發(fā)現(xiàn)越權賬戶并進行規(guī)避處理。

場景三：追蹤數(shù)據(jù)是如何處理的

也即要監(jiān)控數(shù)據(jù)在內部各個環(huán)節(jié)流轉過程，發(fā)現(xiàn)違規(guī)訪問行為并發(fā)出警報并采取隔離措施。用戶變更、完全刪除個人數(shù)據(jù)滿足與證實。不僅要對主動采集的用戶信息進行保護，對從其他數(shù)據(jù)源中搜集到的數(shù)據(jù)也要進行同樣的保護跟蹤措施。

場景四：追蹤數(shù)據(jù)主體的訪問權，更正權，刪除權等權利

及時響應數(shù)據(jù)主體(個人)的要求(更正、刪除等)。這需要一套標準化的合規(guī)的流程，將需要的信息和流程環(huán)節(jié)整合。

場景五：組織需要具備安全問題管理和通知的能力(包括事件調查)

即：應急響應，每家企業(yè)對數(shù)據(jù)泄露后的應急處理也是GDPR所關注的重點，在條文中規(guī)定企業(yè)須在72小時內向監(jiān)管機構匯報。

通過這個視頻，筆者對從技術場景角度滿足GDPR合規(guī)性要求有了一定的了解(稍稍吐槽下，硬廣略多，期待大廠專家能多分享干貨，少賣廣告)，對于不“出海”的企業(yè)而言似乎用什么實際意義，畢竟國內企業(yè)對公眾個人數(shù)據(jù)的處理……當然，作為一個大數(shù)據(jù)多年的從業(yè)者，筆者對如何幫助企業(yè)滿足國內法律要求也有了大致的技術思路，能滿足GDPR合規(guī)性要求的一定可以滿足國內法律要求，你說呢?

天下數(shù)據(jù)數(shù)據(jù)15年的IDC運營經(jīng)驗,推出全球海外服務器租用托管、機柜租用、帶寬租用、虛擬主機、云主機、CDN等業(yè)務，同時提供高防服務器安全服務，歡迎廣大客戶來電咨詢。

本文鏈接：http://m.51huadong.com/cloundnews/11002346.html