郭濤

就在幾天前，F(xiàn)acebook CEO扎克伯格啟程去歐盟“道歉”了。試想，如果歐盟的《通用數(shù)據(jù)保護條例》（GDPR）在“臉書門”爆發(fā)之前便已生效，F(xiàn)acebook會不會被罰得“傾家蕩產”？

2018年5月25日，GDPR正式生效。之前，各大安全和數(shù)據(jù)保護廠商以及媒體等都在“打預防針”，甚至將GDPR稱為“史上最嚴數(shù)據(jù)保護條例”，因為一旦有企業(yè)觸碰紅線，罰款范圍是1000萬到2000萬歐元，或者企業(yè)全球年營業(yè)額的2%到4%。

就在5月24日，“歐盟GDPR的影響與應對”高峰論壇在北京舉行，相關專家、企業(yè)代表等近兩百人就GDPR實施將引發(fā)的熱點問題進行探討。

據(jù)悉，歐盟之所以頒布這一新規(guī)，主要考慮：為歐盟公民提供更多使用自己的個人資料的權力；加強數(shù)字服務提供者與他們所服務的人之間的信任；為企業(yè)提供明確的法律框架，通過在歐盟單一市場上制定統(tǒng)一的法律來消除任何區(qū)域差異。GDPR不僅將適用于所有歐盟的企業(yè)，而且那些與歐盟做生意的企業(yè)也要遵守。當前，中國企業(yè)正涌起一股“出海潮”，不可避免會與歐盟的企業(yè)打交道。那么中國企業(yè)對GDPR到底了解多少？

GDPR是懸在頭上的劍

記者的一位朋友在一家知名外企從事市場方面的工作。在得知記者準備寫一篇關于GDPR的文章，他極為關注?！癎DPR和你的工作有關系嗎？”記者漫不經(jīng)心地在微信中問了一句?！瓣P系重大！我們在市場方面所有的數(shù)據(jù)都要符合GDPR的要求。”朋友這樣回答。

中國的企業(yè)們聽到了嗎？GDPR真不是鬧著玩的。安全廠商Sophos去年下半年曾在英國針對企業(yè)的IT決策者做過一項調查：超過半數(shù)的企業(yè)承認對GDPR及其可能引發(fā)的財務風險并不了解。距歐盟如此之近的英國尚且如此，中國企業(yè)的情況更不容樂觀。

GDPR的官方網(wǎng)站（www.gdpreu.org/compliance/fines-and-penalties/）顯示，GDPR開始實施后，數(shù)據(jù)泄露將不再是企業(yè)聲譽受損或營業(yè)額下降這么簡單，違反 GDPR，輕者將被處以1000萬歐元或者上一年度全球營收2%的罰款，兩者取其高；重者將被處以2000萬歐元或者企業(yè)上一年度全球營業(yè)收入4%的罰款，兩者取其高。決定罰金有十大標準，包括侵權的性質、意圖、緩解措施、預防性措施、歷史、合作、數(shù)據(jù)類型、通知、認證及其他。

Sophos的調查數(shù)據(jù)顯示，超過25%的企業(yè)聲稱，如此重罰會讓他們徹底倒閉（如果企業(yè)規(guī)模不足50人，將有超過一半的企業(yè)受罰后會關閉）；40%的IT決策者表示，如果遭罰，裁員將不可避免。

GDPR可謂懸在企業(yè)頭頂上的一把利劍。我們很多人都有類似的“慘痛”經(jīng)歷：每天被各種“買房嗎”“買基金嗎”的電話騷擾；信用卡從未離身，錢卻被一筆筆地盜刷；個人身份信息、照片甚至飯店的住宿記錄在網(wǎng)上就可以被輕易查到……可能我們大多數(shù)人還沒有遭受因信息泄露而導致的巨額經(jīng)濟損失，所以也就這樣默默忍受了，但是信息泄露終究是一個巨大的隱患，隨時可能被引爆。GDPR的巨額罰款不是最終目的，與其亡羊補牢，不如提早進行保護和防御。一句話，我們必須繃緊信息保護這根弦了。GDPR也許正是個轉變的信號和契機。

滿足GDPR也不是那么難

Commvault公司將GDPR對數(shù)據(jù)保護提出的相關要求歸納為三點：第一，正確地使用數(shù)據(jù)；第二，確保數(shù)據(jù)的訪問安全；第三，保證數(shù)據(jù)的可用性。

GDPR要求企業(yè)將更大范圍的數(shù)據(jù)納入到數(shù)據(jù)管理體系中，特別是那些企業(yè)邊緣的個人數(shù)據(jù)，而且不僅要保證數(shù)據(jù)的可用性，更需要對數(shù)據(jù)具有足夠的洞察力以確保合規(guī)。高效、簡化、統(tǒng)一地實現(xiàn)數(shù)據(jù)保護的需求，將是每個企業(yè)面臨的挑戰(zhàn)。

要滿足這么多關于數(shù)據(jù)保護的新要求，企業(yè)有可能為此要設置新的工作崗位、招聘相應的人才等?！捌髽I(yè)的GDPR合規(guī)之路何其漫長。鑒于其重要性和長遠影響，企業(yè)高管確實應該從現(xiàn)在開始分步驟地進行規(guī)劃，以降低風險，杜絕后患?！盨ophos公司中國區(qū)總經(jīng)理鐘明輝表示。

其實，降低風險也并不像想象中那樣復雜，只要企業(yè)把該做的都做到位就可以在很大程度上防范數(shù)據(jù)泄露，比如確保所有操作系統(tǒng)和軟件更新至最新版本，對敏感數(shù)據(jù)實施加密，教育所有員工有關網(wǎng)絡釣魚和其他社交工程網(wǎng)絡攻擊的風險。此外，還要部署一個有效的防病毒和相關惡意軟件解決方案，以減少因黑客攻擊和惡意軟件造成的違規(guī)風險。

下決心易，付諸行動難。很多時候，如果沒有法律強制要求采取行動，可能很難促使企業(yè)花費精力和金錢去整合數(shù)據(jù)，更遑論實施嚴格的數(shù)據(jù)保護。從這個角度說，GDPR來得很及時。

三未信安的一位專家表示，GDPR重點是保護個人隱私數(shù)據(jù)，企業(yè)信息系統(tǒng)必須采取技術和管理的措施，滿足保護個人隱私數(shù)據(jù)的要求。作為技術領先的密碼產品和數(shù)據(jù)安全方案供應商，三未信安可以為企業(yè)提供基于密碼技術的信息安全解決方案，包括具有數(shù)據(jù)全生命周期加密保護的系列產品，能夠幫助企業(yè)達到GDPR的要求。

中國企業(yè)不能置身事外

可能有的中國企業(yè)會說，GDPR是適用于歐盟企業(yè)的，中國企業(yè)或許可以“置身事外”。世界早就是個地球村，在中國開展業(yè)務的企業(yè)，很可能明天就要走向國際。中國企業(yè)在歐洲提供服務肯定要遵守該條例。更具體的說，在歐盟成員國有法人實體的公司，以及在歐盟沒有設立實體公司，但因為業(yè)務關系而持有歐盟居民個人資料的公司都“籠罩”在GDPR之下。中國企業(yè)只要在歐盟成員國境內開展業(yè)務，就必須保護歐盟成員國民眾的個人資料與隱私，即使公司業(yè)務范圍不在歐盟境內，但只要公司有任何來自歐盟成員國的客戶，都必須遵守GDPR，一旦違反，將面臨嚴厲的處罰。

GDPR經(jīng)歷了四年的討論才獲得歐盟批準并于5月25日正式實施。其條款詳盡復雜，可以說是歐美截至目前最嚴格的一部關于個人數(shù)據(jù)保護的條例。它把信息安全中關于隱私保護的范疇和重要性提升到一個前所未有的高度。綠盟科技認為，GDPR對于世界各國政府制訂或修訂自己國內的個人信息保護法規(guī)具有積極的參考意義。我國2018年5月1日正式實施的《信息安全技術 個人信息安全規(guī)范》標準在編制過程中也參考了GDPR。中國企業(yè)應該認真研讀GDPR、《信息安全技術 個人信息安全規(guī)范》等條例和規(guī)范，或咨詢第三方機構，并投入相應資源以滿足條例和規(guī)范的監(jiān)管要求。

GDPR的影響力將輻射全球。Veritas 2017 GDPR報告顯示，全球47%的企業(yè)都擔心無法趕在GDPR條例生效之前滿足合規(guī)要求。更令人擔憂的是，只有31%的企業(yè)認為他們達到了GDPR的要求。

Veritas公司大中華區(qū)總裁楊晨告訴記者，很多企業(yè)并不十分了解企業(yè)內部數(shù)據(jù)的管理權歸屬。企業(yè)高管常常認為CIO是負責GDPR的關鍵人物，而CIO又認為這是高管的職責。公平地說，這需要多個職能部門的配合。企業(yè)需要在創(chuàng)建合規(guī)和數(shù)據(jù)治理文化時，徹底改變思維模式。確保GDPR合規(guī)性不只是CIO一個人的職責，而是需要所有部門的共同努力。Veritas今年發(fā)布的《全球消費者數(shù)據(jù)隱私報告》顯示，90%的中國消費者會聯(lián)合親朋好友共同抵制未能保護個人數(shù)據(jù)的企業(yè)，88%的消費者聲稱會向監(jiān)管機構舉報泄漏隱私的企業(yè)。有趣的是，消費者也會“獎勵”妥善保護個人數(shù)據(jù)的公司。91%的中國消費者就表示，他們更愿意向個人數(shù)據(jù)有保障的可靠公司購買更多產品或服務。

中國的個人消費者都行動起來了，那么中國的企業(yè)呢？記者也采訪了幾家國內的公有云服務商，他們是業(yè)務國際化的先鋒，但他們對GDPR的問題諱莫如深，不愿置評。

總而言之，企業(yè)應該將GDPR視為一種新機制，并以此為原則，負責任地使用和管理企業(yè)數(shù)據(jù)，同時更要負責地對待客戶和供應商。GDPR的重要性和深遠影響力更體現(xiàn)在，它不僅可以促進企業(yè)建立遵守數(shù)據(jù)隱私法規(guī)的文化，還能幫助企業(yè)贏得更多信任，增進與消費者之間的互信。

GDPR早就應該來了！