信息來源:安全牛
即使董事會信任各部門能夠順利執(zhí)行GDPR條例,但是事實(shí)證明����,將該數(shù)據(jù)隱私政策落實(shí)實(shí)踐可能會是一場“噩夢”般的體驗(yàn)����。
2018年5月25日,歐盟號稱史上最嚴(yán)隱私條例的《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效����。盡管這是現(xiàn)代社會保護(hù)個(gè)人數(shù)據(jù)與安全邁出的重要一步����,但在國內(nèi)外的許多媒體報(bào)道中����,GDPR中的一些條款被誤讀或是錯(cuò)誤理解,引起了一些用戶����、公司、學(xué)者的恐慌����。目前,世界各地的企業(yè)可能都已經(jīng)在GDPR條例的嚴(yán)格隱私保護(hù)下運(yùn)營著����,但其具體需求和相關(guān)術(shù)語的差異使得安全專家不得不加班加點(diǎn)工作,以確保自身企業(yè)滿足其合規(guī)性要求����。
舉例來說,很多企業(yè)一直在努力弄清楚GDPR第25條中的要求����,即在考慮了“最新水平”(state of the art)����、實(shí)施成本����、處理的性質(zhì)、處理的范圍����、處理的語境與目的,以及處理給自然人權(quán)利與自由帶來的傷害可能性與嚴(yán)重性之后����,控制者應(yīng)當(dāng)在決定處理方式時(shí)和決定處理時(shí)����,應(yīng)當(dāng)采取“合適的”技術(shù)與組織措施,并且在處理中整合必要的保障措施����,以便符合本條例的要求和保護(hù)數(shù)據(jù)主體的權(quán)利。
根據(jù)趨勢科技最近針對1000名IT決策者進(jìn)行的調(diào)查結(jié)果顯示����,人們對“最新水平”(state of the art)這一術(shù)語的含義普遍感到困惑����。其中����,30%的受訪者將其定義為從現(xiàn)有市場領(lǐng)先者處購買安全產(chǎn)品;17%的受訪者認(rèn)為是使用通過獨(dú)立第三方測試的產(chǎn)品����;16%的受訪者認(rèn)為是根據(jù)分析師報(bào)告選擇的產(chǎn)品;還有14%則認(rèn)為其指的是初創(chuàng)企業(yè)所提供的創(chuàng)新產(chǎn)品或技術(shù)����。
此外,GDPR第25條中針對“合適的”技術(shù)和組織措施所舉的例子——即控制者可以采取匿名化����,一種設(shè)計(jì)用來實(shí)施數(shù)據(jù)保護(hù)原則(比如數(shù)據(jù)最小化原則)的措施——也成為了澳大利亞在內(nèi)的一些國家所爭論的焦點(diǎn),在大學(xué)研究人員證明數(shù)據(jù)能夠被匿名化之后����,政府將不得不提供大規(guī)模的匿名醫(yī)療保險(xiǎn)福利計(jì)劃(MBS,澳大利亞國家健康保險(xiǎn)計(jì)劃)數(shù)據(jù)轉(zhuǎn)儲。
那么����,GDPR期待客戶實(shí)施的“最新水平”(state of the art)安全技術(shù)又是何意呢?
很顯然����,客戶并不知道如何將這一措辭正確地落實(shí)實(shí)踐。為了在GDPR條例正式實(shí)施前全面理解其要求����,趨勢科技公司每兩周就會舉行一次“GDPR消防演習(xí)”,其揭示了安全策略固有的復(fù)雜性往往是立法機(jī)構(gòu)在起草法案時(shí)的模糊措辭造成的����,而且這些法案中對于安全響應(yīng)所提供的實(shí)踐指導(dǎo)內(nèi)容非常有限。
如果說發(fā)生了泄露事件����,那么試圖找出我們要披露的信息將會是一場噩夢����。因?yàn)闊o論是內(nèi)部工作還是客戶研討會都已經(jīng)突出表明,人們對于“應(yīng)該披露哪些人的泄露信息”����、“如何披露”以及“誰負(fù)責(zé)批準(zhǔn)內(nèi)部報(bào)告”等等問題仍然缺乏明確的認(rèn)知����。
這些經(jīng)驗(yàn)是由多家公司共同分享的����,此外,據(jù)最新數(shù)據(jù)顯示����,歐洲公司預(yù)計(jì),在未來6個(gè)月內(nèi)GDPR數(shù)據(jù)需求可能會猛增����,但是員工對于如何處理這些數(shù)據(jù)仍然缺乏理解。
研究表明����,良好的政策可以有助于贏得客戶的信任,進(jìn)而推動更廣泛的信息共享和應(yīng)用����,但是目前,很多公司仍然在處理內(nèi)部分歧����,因?yàn)樗麄冊噲D創(chuàng)建一個(gè)連貫的內(nèi)部思路����,來全面闡述GDPR及其相關(guān)的隱私保護(hù)要求����。
對政策的要求和義務(wù)缺乏一致意見,往往會使企業(yè)各部門之間的觀點(diǎn)產(chǎn)生分歧����。例如營銷部門和人力資源等部門對于法律和其他方面一定會有不同的看法。
內(nèi)部的沖突分歧也會讓董事會成員陷入困境����,因?yàn)樵趯で笮碌闹卮笳叻较蛑埃聲蓡T很可能需要依靠內(nèi)部成員達(dá)成的共識作為參考����。
盡管GDPR條例也對董事會提出了要求,但是在很多情況下����,董事會只會說“放膽去做����,我會支持你的想法����?���!逼鋵?shí),在GDPR實(shí)施之前組織的客戶研討會上����,大多數(shù)客戶都是帶著書面披露政策來的,這些披露政策通常是具有法律效用的����。但是,當(dāng)這些“有備而來”的客戶進(jìn)行實(shí)戰(zhàn)演習(xí)時(shí)卻意識到����,制定實(shí)際說明比他們披露政策所闡述的還要困難得多。
所謂“政策”����,無論是其創(chuàng)建還是執(zhí)行,更大程度上涉及的是合規(guī)問題����,而不是作為技術(shù)解決方案����。例如微服務(wù)容器(microservices containers)����,它們存在并將隨著工具集和API的發(fā)展而發(fā)展。對安全性進(jìn)行討論是一種意識進(jìn)步的體現(xiàn)����,我們最擔(dān)心的情況往往是“安全性未在討論之列”。首席安全官(CISO)則需要說服團(tuán)隊(duì)將安全性置于優(yōu)先位置����,以便在未來的發(fā)展中占據(jù)絕對優(yōu)勢。
