GDPR督促企業(yè)重新思考數(shù)據(jù)保護(hù)策略

■ 施勤

《通用數(shù)據(jù)保護(hù)條例》（GDPR）已經(jīng)在5月正式實(shí)施，您的企業(yè)是否能夠滿足GDPR的要求呢？根據(jù)英國(guó)政府對(duì)數(shù)字、文化、媒體和體育等行業(yè)進(jìn)行的最新的一項(xiàng)調(diào)查顯示，如果答案是肯定的，那么您的企業(yè)就屬于少數(shù)的精英企業(yè)了。

該項(xiàng)調(diào)查設(shè)置的問(wèn)題主要圍繞企業(yè)如何積極應(yīng)對(duì)GDPR即將帶來(lái)的變化，以及更普遍意義上的，他們?nèi)绾螒?yīng)對(duì)網(wǎng)絡(luò)安全。調(diào)查結(jié)果顯示，大部分企業(yè)如果要符合GDPR的要求，還需要很長(zhǎng)的時(shí)間作出變革，任重而道遠(yuǎn)。同時(shí)令人驚訝的是，僅有38%的受訪組織表示對(duì)GDPR有所耳聞，而且，僅有略高于四分之一(27%)的組織真正在運(yùn)營(yíng)方面作出了改變，為適應(yīng)新的條例出臺(tái)做準(zhǔn)備，以應(yīng)對(duì)這一新條例的挑戰(zhàn)。

對(duì)于作出積極變化的企業(yè)，在他們所采取的應(yīng)對(duì)舉措中，最常見的是推出新政策或更新現(xiàn)有政策(36%)，其次是加強(qiáng)人員培訓(xùn)(21%)。而相應(yīng)的創(chuàng)建或更改備份計(jì)劃(7%)、安裝或更新殺毒軟件(6%)、甚至網(wǎng)絡(luò)安全服務(wù)外包(5%)等舉措?yún)s少之又少。

最大的問(wèn)題是，我們?cè)诖怂懻摰钠髽I(yè)僅占很小的一部分。圍繞著GDPR合規(guī)存在著一個(gè)更普遍的問(wèn)題——大家僅將其視為一個(gè)“IT問(wèn)題”。很多企業(yè)似乎要么自信心膨脹，認(rèn)為自身已經(jīng)擁有充分的數(shù)據(jù)處理能力；要么漠不關(guān)心，認(rèn)為GDPR合規(guī)事不關(guān)己——這就完全不得要領(lǐng)了。在GDPR合規(guī)的準(zhǔn)備和進(jìn)行過(guò)程中，整個(gè)公司上下都應(yīng)該參與進(jìn)來(lái)。相當(dāng)重要的一點(diǎn)是，GDPR不合規(guī)的企業(yè)往往會(huì)面臨巨額罰款，而這會(huì)影響公司的每個(gè)員工。

GDPR實(shí)際上比它看起來(lái)更重要，從1995年起數(shù)據(jù)保護(hù)法律就沒有進(jìn)行任何更新，但實(shí)際上行業(yè)狀況已經(jīng)發(fā)生了翻天覆地的變化。在當(dāng)今的2018年，企業(yè)采集和存儲(chǔ)個(gè)人數(shù)據(jù)的方式毫無(wú)疑問(wèn)已與過(guò)去迥然不同了。

這么看來(lái)，GDPR似乎來(lái)得已經(jīng)相當(dāng)晚了。各大企業(yè)應(yīng)積極支持這一條例，將其視為一個(gè)契機(jī)來(lái)更新企業(yè)自身與數(shù)據(jù)保護(hù)的整個(gè)關(guān)系，使之更加適合企業(yè)未來(lái)的發(fā)展；同時(shí)還應(yīng)將其作為一個(gè)方法論在企業(yè)內(nèi)部實(shí)施，融入到組織的構(gòu)架根基中——而非僅僅是馬后炮，或者將其僅僅視為IT部門的責(zé)任。

要實(shí)現(xiàn)GDPR合規(guī)，有一個(gè)非常簡(jiǎn)單的途徑框架。以下所示的五大步驟就是Veeam為準(zhǔn)備GDPR合規(guī)所采取的流程。現(xiàn)在，我們將這個(gè)流程分享給大家，希望大家也能成功完成GDPR合規(guī)之旅。

了解您的數(shù)據(jù)

如果您的企業(yè)擁有或持有歐盟公民的數(shù)據(jù)——正式名稱為個(gè)人身份信息(PII)，那么GDPR就適用于您的企業(yè)。這意味著如果您在2018年5月25日后被發(fā)現(xiàn)不合規(guī)，就將面臨罰款。因此，這一合規(guī)之旅的最佳起點(diǎn)就是去了解您是否持有這類數(shù)據(jù)，如果持有，則了解該類數(shù)據(jù)存儲(chǔ)于何處。您可就您所持有的所有數(shù)據(jù)創(chuàng)建一個(gè)可視圖表，這可幫助您構(gòu)建一個(gè)全方位的視角，實(shí)現(xiàn)更好的監(jiān)察。

很多企業(yè)之所以并未充分重視GDPR——或者僅是認(rèn)為其與自己無(wú)關(guān)，其中另一個(gè)原因可能是對(duì)這類數(shù)據(jù)缺乏了解。這可能是因?yàn)樗麄冋J(rèn)為自身并不持有任何這類數(shù)據(jù)（提示：如果您聘用了歐盟市民員工，則您就已經(jīng)持有了這類數(shù)據(jù)），或者沒有意識(shí)到所持有這類數(shù)據(jù)的廣度和范圍（提示：個(gè)人數(shù)據(jù)并非僅僅是姓名和地址）。這正是合規(guī)之旅上需首先了解您的數(shù)據(jù)的原因。

管理您的數(shù)據(jù)

一旦已全面了解了您所采集和持有的所有相關(guān)數(shù)據(jù)，那么就應(yīng)該調(diào)查一下哪些人可獲取這類數(shù)據(jù)，以及這類數(shù)據(jù)的使用狀況。您的企業(yè)內(nèi)可能有不同的團(tuán)隊(duì)和部門可以采用不同的方式訪問(wèn)這類相同的數(shù)據(jù)，并將其用于不同的目的。無(wú)論這是市場(chǎng)營(yíng)銷團(tuán)隊(duì)輸入的有關(guān)潛在客戶的數(shù)據(jù)，并將其與銷售團(tuán)隊(duì)分享，還是HR團(tuán)隊(duì)處理有關(guān)其自身員工的數(shù)據(jù)，您都有必要執(zhí)行有關(guān)個(gè)人數(shù)據(jù)處理的標(biāo)準(zhǔn)化程序和工作流，而且必須確保僅在員工業(yè)務(wù)職能所必需時(shí)，才為相應(yīng)員工提供訪問(wèn)權(quán)限。

管理您的數(shù)據(jù)指的是充分了解您的組織內(nèi)——甚至是組織外部——有關(guān)這些數(shù)據(jù)的一舉一動(dòng)。您的GDPR合規(guī)性也取決于您所合作的任何第三方供應(yīng)商的合規(guī)性，因此，您有責(zé)任確保他們也遵守這些規(guī)則。千萬(wàn)不可在將數(shù)據(jù)轉(zhuǎn)移出公司后，就對(duì)此類數(shù)據(jù)的管理情況睜一只眼閉一只眼。

保護(hù)您的數(shù)據(jù)

一旦對(duì)您的數(shù)據(jù)實(shí)現(xiàn)了良好的監(jiān)督，并執(zhí)行了標(biāo)準(zhǔn)化的管理流程，則應(yīng)確保落實(shí)適當(dāng)?shù)陌踩刂婆e措，以保護(hù)這類數(shù)據(jù)——但這并不僅僅意味著加密。為實(shí)現(xiàn)合規(guī)，您不能僅僅是采取安全措施后，就以為高枕無(wú)憂了；GDPR要求您持續(xù)監(jiān)控和審慎盡職，而且在發(fā)生數(shù)據(jù)泄露時(shí)，第一時(shí)間采取行動(dòng)。

的確，科技在這一合規(guī)之旅中將發(fā)揮重要作用，但是僅僅是科技本身并不能幫您實(shí)現(xiàn)合規(guī)。如要在全公司范圍內(nèi)推行新的數(shù)據(jù)保護(hù)方法，需要綜合運(yùn)用安全技術(shù)、標(biāo)準(zhǔn)化工作流、內(nèi)部教育、訪問(wèn)控制、備份解決方案等等。掌握擁有訪問(wèn)權(quán)限的人員清單、訪問(wèn)地點(diǎn)和時(shí)間，同時(shí)進(jìn)行頻繁的審計(jì)和監(jiān)控，有助于您顯著提升數(shù)據(jù)泄露的響應(yīng)速度——因?yàn)榧词姑總€(gè)人都盡最大努力，但數(shù)據(jù)泄露可能仍然不可避免。

文字記錄和遵守

GDPR最熱門的話題之一是推行數(shù)據(jù)請(qǐng)求，這意味著個(gè)人將有權(quán)要求更正或刪除與其相關(guān)的數(shù)據(jù)。屆時(shí)企業(yè)將需遵循這些請(qǐng)求，并踐行這一承諾——因此您對(duì)您所持有的數(shù)據(jù)及其存儲(chǔ)位置的明確了解才會(huì)如此至關(guān)重要。

持續(xù)遵守GDPR還需對(duì)您所采集的數(shù)據(jù)內(nèi)容、其使用目的及其在您公司儲(chǔ)存的時(shí)長(zhǎng)進(jìn)行記錄和審計(jì)。當(dāng)進(jìn)行這一步驟時(shí)，我們應(yīng)問(wèn)問(wèn)自身以下問(wèn)題：我們幾個(gè)月前所采集的數(shù)據(jù)時(shí)至今日是否還有意義？對(duì)于已轉(zhuǎn)移至別處的數(shù)據(jù)，我們是否仍然可以查詢到？我們的第三方供應(yīng)商是否仍然保持合規(guī)？

持續(xù)改進(jìn)

不斷監(jiān)控和審計(jì)您的數(shù)據(jù)保護(hù)流程可以有助于您實(shí)現(xiàn)不斷審查和完善。誠(chéng)然，GDPR是一件界限分明的事情，但是我們所生活的數(shù)字世界是一個(gè)不斷發(fā)展和拓展的世界，我們應(yīng)該假設(shè)數(shù)據(jù)隱私和保護(hù)責(zé)任將持續(xù)增加——因此，企業(yè)應(yīng)做到持續(xù)改進(jìn)，以確保永遠(yuǎn)保持合規(guī)。

GDPR不應(yīng)被視為在2018年5月前應(yīng)勾選的一個(gè)復(fù)選框；相反，企業(yè)應(yīng)將其視為一個(gè)契機(jī)，以重新思考其當(dāng)前及未來(lái)的整個(gè)數(shù)據(jù)保護(hù)策略。這是企業(yè)適應(yīng)未來(lái)的一個(gè)機(jī)遇——應(yīng)該緊緊抓住，不要讓其在指尖溜走。