即使董事会信任各部门能够顺利执行GDPR条例,但是事实证明,将该数据隐私政策落实实践可能会是一场“噩梦”般的体验。
2018年5月25日,欧盟号称史上最严隐私条例的《通用数据保护条例》(GDPR)正式生效。尽管这是现代社会保护个人数据与安全迈出的重要一步,但在国内外的许多媒体报道中,GDPR中的一些条款被误读或是错误理解,引起了一些用户、公司、学者的恐慌。目前,世界各地的企业可能都已经在GDPR条例的严格隐私保护下运营着,但其具体需求和相关术语的差异使得安全专家不得不加班加点工作,以确保自身企业满足其合规性要求。
举例来说,很多企业一直在努力弄清楚GDPR第25条中的要求,即在考虑了“最新水平”(state of the art)、实施成本、处理的性质、处理的范围、处理的语境与目的,以及处理给自然人权利与自由带来的伤害可能性与严重性之后,控制者应当在决定处理方式时和决定处理时,应当采取“合适的”技术与组织措施,并且在处理中整合必要的保障措施,以便符合本条例的要求和保护数据主体的权利。
根据趋势科技最近针对1000名IT决策者进行的调查结果显示,人们对“最新水平”(state of the art)这一术语的含义普遍感到困惑。其中,30%的受访者将其定义为从现有市场领先者处购买安全产品;17%的受访者认为是使用通过独立第三方测试的产品;16%的受访者认为是根据分析师报告选择的产品;还有14%则认为其指的是初创企业所提供的创新产品或技术。
此外,GDPR第25条中针对“合适的”技术和组织措施所举的例子——即控制者可以采取匿名化,一种设计用来实施数据保护原则(比如数据最小化原则)的措施——也成为了澳大利亚在内的一些国家所争论的焦点,在大学研究人员证明数据能够被匿名化之后,政府将不得不提供大规模的匿名医疗保险福利计划(MBS,澳大利亚国家健康保险计划)数据转储。
那么,GDPR期待客户实施的“最新水平”(state of the art)安全技术又是何意呢?
很显然,客户并不知道如何将这一措辞正确地落实实践。为了在GDPR条例正式实施前全面理解其要求,趋势科技公司每两周就会举行一次“GDPR消防演习”,其揭示了安全策略固有的复杂性往往是立法机构在起草法案时的模糊措辞造成的,而且这些法案中对于安全响应所提供的实践指导内容非常有限。
如果说发生了泄露事件,那么试图找出我们要披露的信息将会是一场噩梦。因为无论是内部工作还是客户研讨会都已经突出表明,人们对于“应该披露哪些人的泄露信息”、“如何披露”以及“谁负责批准内部报告”等等问题仍然缺乏明确的认知。
这些经验是由多家公司共同分享的,此外,据最新数据显示,欧洲公司预计,在未来6个月内GDPR数据需求可能会猛增,但是员工对于如何处理这些数据仍然缺乏理解。
研究表明,良好的政策可以有助于赢得客户的信任,进而推动更广泛的信息共享和应用,但是目前,很多公司仍然在处理内部分歧,因为他们试图创建一个连贯的内部思路,来全面阐述GDPR及其相关的隐私保护要求。
对政策的要求和义务缺乏一致意见,往往会使企业各部门之间的观点产生分歧。例如营销部门和人力资源等部门对于法律和其他方面一定会有不同的看法。
内部的冲突分歧也会让董事会成员陷入困境,因为在寻求新的重大政策方向之前,董事会成员很可能需要依靠内部成员达成的共识作为参考。
尽管GDPR条例也对董事会提出了要求,但是在很多情况下,董事会只会说“放胆去做,我会支持你的想法。”其实,在GDPR实施之前组织的客户研讨会上,大多数客户都是带着书面披露政策来的,这些披露政策通常是具有法律效用的。但是,当这些“有备而来”的客户进行实战演习时却意识到,制定实际说明比他们披露政策所阐述的还要困难得多。
所谓“政策”,无论是其创建还是执行,更大程度上涉及的是合规问题,而不是作为技术解决方案。例如微服务容器(microservices containers),它们存在并将随着工具集和API的发展而发展。对安全性进行讨论是一种意识进步的体现,我们最担心的情况往往是“安全性未在讨论之列”。首席安全官(CISO)则需要说服团队将安全性置于优先位置,以便在未来的发展中占据绝对优势。
原文发布时间为:2018-06-7
本文作者:Jasmine
