上周末,号称史上最严的数据监管条例——GDPR (General Data Protection Regulation,通用数据保护条例 )正式生效了。
“史上最严”,绝非浪得虚名。
一方面,它对“合法”的定义极为严苛。从数据收集、数据存储、数据处理、数据跨境传输(向欧盟境外的传输)等各个环节都进行了系统的规范,还赋予了数据主体广泛的数据权利和自由。只要一家企业向欧盟境内的个人提供了商品或服务、并收集或处理了个人数据,不管该企业是否在欧盟境内设有机构,都适用于GDPR ;
另一方面,它设定了天价罚款。对于违法行为,轻者处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款。
GDPR立法大事记
对于物联网企业来说,GDPR的影响是非常深远的。原来很多设备是不联网的,所以不存在用户隐私泄露的风险;而如今,设备联网是大势所趋,数据的控制者和处理者都会直接或者间接的接触到非常多的个人用户数据,比如:姓名、性别、年龄、身份证号、手机号等等,另外,由于需要对设备和用户数据进行运营画像及监控,也会收集到更多关于用户行为的隐私数据。
物联网企业要想符合GDRP的所有规定无疑是一件富有挑战性的工作,因为在物联网网络中获得处理个人数据所需的许可是很困难的。此外,GDPR提倡“privacy by design”,强调数据安全应该贯彻整个数据生命的周期。
但是合规绝不是不可能的,许多物联网企业正在为保护数据隐私做出非比寻常的努力,这种努力绝不会白费,企业未来也会从日益增加的客户信任中受益。Kate O’Flaherty在一篇文章中提出了物联网企业应对这一监管条例的要点。
1.注意你正在收集和处理的数据
专家建议那些涉及物联网业务的企业应该组织评估他们收集的信息是否是个人数据。但是应该注意的是:如果你不收集个人信息,也并不意味着你能高枕无忧。
EMEA网络安全宣传主管Adrian Davis指出:“通过传感器从物联网设备中收集数据,并不意味着你能免除GDPR的约束。你必须知道你的数据在哪里,它如何被保护,以及如果出问题时该如何处理。”
安全支付供应商Nuggets的创始人兼CEO也表示:“作为应对措施的一部分,一些公司需要重新考虑他们正在如何储存数据。”他认为诸如客户端加密和区块链等技术可能有助于保护企业。
“在发生数据泄露时,这种类型的技术堆栈能减轻GDPR的风险:根本没有任何用户数据储存在公司的数据库中以供恶意的第三方进行剽窃。”
2.理解“同意”
GDPR强调数据所有者的知情权,规定数据使用必须事先征得数据主体的同意,而且“同意”必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。
如果数据使用范围扩大,无论是将数据提供给第三方或作为企业对外服务的一部分,都必须重新获取数据主体的授权和同意;数据主体还可以随时撤回同意权利。其中,GDPR强调了使用者在使用数据时,需表明其特定的使用目的,这也就意味着过度获取数据将受到控制。
据悉,5月25日当天,包括微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通(aliexpress)等多家中国互联网巨头,已纷纷向欧洲区用户更新隐私政策、请求重新授权。
3.GDPR将影响整条供应链
很多物联网企业没有意识到客户还具有“撤回同意的权利”以及“数据的被遗忘权”。也就是说,如果用户提出数据删除要求时,企业需要在数据库内找到数据并删除,如果数据已传播或提供给企业的供应商使用,企业还有责任通知其供应商予以删除。
“物联网企业要考虑的不只是获得用户的‘同意’,他们还需要考虑如果用户要求撤回‘同意’以及行使‘被遗忘权’时应该怎么处理。”
另外,数据主体还具有“数据可携权”,即将一个数据控制者的个人数据转移到另一个数据控制主体中。比如Facebook的用户可以将其账号中的照片以及其他资料转移到其他社交服务网络上。该权利不仅适用于社交网络服务,还包括云计算、手机应用等自动数据处理系统。
4.记录你为满足GDPR要求所做的一切
该规定要求公司记录其数据处理的全过程。如果在出问题并被调查的时候,企业可以以此为证来证明调查人员弄错了。
应该明确的是,GDPR并不是致力于揪住某些公司的小辫子并逼他们出局的恶人,相反,其目的只是为了防止数据被滥用。
技术研究机构Gigaom的分析师Jon Collins表示:“理解你所做的一切,告诉人们你所做的一切,并且做到言行合一。如果你是一个致力于做正确的事的企业,这项规定不会使你出局。”
5.注意“privacy by design”和违约
“privacy by design”是GDPR的规定之一。在物联网中,这适用于设备和软件,但不包括后端系统。
Synopsys软件集成部门的安全策略师SteveGiguere表示:“GDPR的合规性不能单独通过保障物联网设备来实现,因为它们通常是更大的生态系统的一部分。安全和隐私政策必须建立和应用于物联网设备、传输数据的网络以及处理数据的后端系统中。”
“产品需要从头开发”。例如你应该有能力删除数据以符合用户的数据“被遗忘权”。
6.基础安全措施将帮助您合规
基本安全措施,比如确保给所有系统打补丁,是至关重要的。随着网络攻击的日趋严重,物联网世界变得越发脆弱,所以随时保持系统更新非常重要,但往往是这些最基本的原则经常被忽视。即使你有世界上最好的系统,你也依然可能会犯错。
许多物联网企业只关注非常低层级的数据安全,比如加密。他们并不考虑更加复杂的攻击模式,比如拒绝服务(DoS)、数据被操纵或者数据处理过程中的其它问题。
7.将GDPR看做业务差异
正如我们看到的剑桥分析和Facebook丑闻,信任是数据保护的未来。
2018年3月,美国《纽约时报》和英国《观察者报》爆出了一个惊天大新闻:一家叫做剑桥分析(Cambridge Analytica)的数据公司,非法窃取5000万Facebook用户资料后用算法进行大数据分析,根据每个用户的日常喜好、性格特点、行为特征,预测他们的政治倾向,甚至操纵了美国大选。
GDPR不是为了罚款,而是为了增加组织内的信任。这是不可避免的事情,如果你做的正确,就能增加用户的信任,从而获得竞争优势。
8.雇佣数据保护专员
GDPR还对企业的人力提出了建议:不管是否欧盟企业,如果在欧盟地区的雇员超过了250人,便需要雇用一名“数据保护专员”(Data Protection Officer)。欧盟28个成员国均已设立监管机构“数据保护局”(Data Protection Authority),将对各国GDPR的执行状况进行监督。
援引界面新闻的报道,海尔、华为等在欧洲有较大市场份额、并有意进军物联网的制造业领军者,早已雇请专门团队应对GDPR。
9.提前做好准备
如果有哪家科技公司发现数据泄露了,它必须在三天内向监管机构报告,哪怕它什么也没调查出来,所以你最好提前做好准备,确保测试、预演和更新管理计划来应对任何违反规定的情况
欧盟是一个拥有5亿消费人口的市场,这对希望“走出去”的中国企业来说具有巨大吸引力,越来越多的中国企业还有中国物联网企业在近年来开展了涉欧业务,甚至建立了驻欧分支。GDPR来袭,中国企业必须打起精神,积极应对这一新条例。
评论
查看更多