GDPR术语差异将导致“噩梦”般的实践体验

简介:

即使董事会信任各部门能够顺利执行GDPR条例,但是事实证明,将该数据隐私政策落实实践可能会是一场“噩梦”般的体验。

50f36ecc3bdda1d17216cce617229dc67b000bba

2018年5月25日,欧盟号称史上最严隐私条例的《通用数据保护条例》(GDPR)正式生效。尽管这是现代社会保护个人数据与安全迈出的重要一步,但在国内外的许多媒体报道中,GDPR中的一些条款被误读或是错误理解,引起了一些用户、公司、学者的恐慌。目前,世界各地的企业可能都已经在GDPR条例的严格隐私保护下运营着,但其具体需求和相关术语的差异使得安全专家不得不加班加点工作,以确保自身企业满足其合规性要求。

举例来说,很多企业一直在努力弄清楚GDPR第25条中的要求,即在考虑了“最新水平”(state of the art)、实施成本、处理的性质、处理的范围、处理的语境与目的,以及处理给自然人权利与自由带来的伤害可能性与严重性之后,控制者应当在决定处理方式时和决定处理时,应当采取“合适的”技术与组织措施,并且在处理中整合必要的保障措施,以便符合本条例的要求和保护数据主体的权利。

根据趋势科技最近针对1000名IT决策者进行的调查结果显示,人们对“最新水平”(state of the art)这一术语的含义普遍感到困惑。其中,30%的受访者将其定义为从现有市场领先者处购买安全产品;17%的受访者认为是使用通过独立第三方测试的产品;16%的受访者认为是根据分析师报告选择的产品;还有14%则认为其指的是初创企业所提供的创新产品或技术。

此外,GDPR第25条中针对“合适的”技术和组织措施所举的例子——即控制者可以采取匿名化,一种设计用来实施数据保护原则(比如数据最小化原则)的措施——也成为了澳大利亚在内的一些国家所争论的焦点,在大学研究人员证明数据能够被匿名化之后,政府将不得不提供大规模的匿名医疗保险福利计划(MBS,澳大利亚国家健康保险计划)数据转储。

那么,GDPR期待客户实施的“最新水平”(state of the art)安全技术又是何意呢?

很显然,客户并不知道如何将这一措辞正确地落实实践。为了在GDPR条例正式实施前全面理解其要求,趋势科技公司每两周就会举行一次“GDPR消防演习”,其揭示了安全策略固有的复杂性往往是立法机构在起草法案时的模糊措辞造成的,而且这些法案中对于安全响应所提供的实践指导内容非常有限。

如果说发生了泄露事件,那么试图找出我们要披露的信息将会是一场噩梦。因为无论是内部工作还是客户研讨会都已经突出表明,人们对于“应该披露哪些人的泄露信息”、“如何披露”以及“谁负责批准内部报告”等等问题仍然缺乏明确的认知。

这些经验是由多家公司共同分享的,此外,据最新数据显示,欧洲公司预计,在未来6个月内GDPR数据需求可能会猛增,但是员工对于如何处理这些数据仍然缺乏理解。

研究表明,良好的政策可以有助于赢得客户的信任,进而推动更广泛的信息共享和应用,但是目前,很多公司仍然在处理内部分歧,因为他们试图创建一个连贯的内部思路,来全面阐述GDPR及其相关的隐私保护要求。

对政策的要求和义务缺乏一致意见,往往会使企业各部门之间的观点产生分歧。例如营销部门和人力资源等部门对于法律和其他方面一定会有不同的看法。

内部的冲突分歧也会让董事会成员陷入困境,因为在寻求新的重大政策方向之前,董事会成员很可能需要依靠内部成员达成的共识作为参考。

尽管GDPR条例也对董事会提出了要求,但是在很多情况下,董事会只会说“放胆去做,我会支持你的想法。”其实,在GDPR实施之前组织的客户研讨会上,大多数客户都是带着书面披露政策来的,这些披露政策通常是具有法律效用的。但是,当这些“有备而来”的客户进行实战演习时却意识到,制定实际说明比他们披露政策所阐述的还要困难得多。

所谓“政策”,无论是其创建还是执行,更大程度上涉及的是合规问题,而不是作为技术解决方案。例如微服务容器(microservices containers),它们存在并将随着工具集和API的发展而发展。对安全性进行讨论是一种意识进步的体现,我们最担心的情况往往是“安全性未在讨论之列”。首席安全官(CISO)则需要说服团队将安全性置于优先位置,以便在未来的发展中占据绝对优势。


原文发布时间为:2018-06-7

本文作者:Jasmine

本文来自云栖社区合作伙伴“嘶吼网”,了解相关信息可以关注“嘶吼网”。

相关文章
|
6月前
|
安全 数据库连接 PHP
PHP编程中的关键性技术探究
在当今信息化社会,PHP作为一种流行的服务器端脚本语言,已经被广泛应用于网站开发和动态网页生成等领域。本文将深入探讨PHP编程中的关键性技术,包括数据库连接、安全性防护、性能优化等方面,旨在帮助读者更好地理解和运用PHP语言。
|
6月前
构建安全可靠的系统:第十六章到第二十章
构建安全可靠的系统:第十六章到第二十章
195 0
|
1月前
|
机器学习/深度学习 人工智能 监控
提升软件质量的关键路径:高效测试策略与实践在软件开发的宇宙中,每一行代码都如同星辰般璀璨,而将这些星辰编织成星系的过程,则依赖于严谨而高效的测试策略。本文将引领读者探索软件测试的奥秘,揭示如何通过精心设计的测试方案,不仅提升软件的性能与稳定性,还能加速产品上市的步伐,最终实现质量与效率的双重飞跃。
在软件工程的浩瀚星海中,测试不仅是发现缺陷的放大镜,更是保障软件质量的坚固防线。本文旨在探讨一种高效且创新的软件测试策略框架,它融合了传统方法的精髓与现代技术的突破,旨在为软件开发团队提供一套系统化、可执行性强的测试指引。我们将从测试规划的起点出发,沿着测试设计、执行、反馈再到持续优化的轨迹,逐步展开论述。每一步都强调实用性与前瞻性相结合,确保测试活动能够紧跟软件开发的步伐,及时适应变化,有效应对各种挑战。
|
6月前
构建安全可靠的系统:第十一章到第十五章
构建安全可靠的系统:第十一章到第十五章
212 0
|
2月前
|
测试技术 UED 开发者
软件测试的艺术:从代码审查到用户反馈的全景探索在软件开发的宇宙中,测试是那颗确保星系正常运转的暗物质。它或许不总是站在聚光灯下,但无疑是支撑整个系统稳定性与可靠性的基石。《软件测试的艺术:从代码审查到用户反馈的全景探索》一文,旨在揭开软件测试这一神秘面纱,通过深入浅出的方式,引领读者穿梭于测试的各个环节,从细微处着眼,至宏观视角俯瞰,全方位解析如何打造无懈可击的软件产品。
本文以“软件测试的艺术”为核心,创新性地将技术深度与通俗易懂的语言风格相结合,绘制了一幅从代码审查到用户反馈全过程的测试蓝图。不同于常规摘要的枯燥概述,这里更像是一段旅程的预告片,承诺带领读者经历一场从微观世界到宏观视野的探索之旅,揭示每一个测试环节背后的哲学与实践智慧,让即便是非专业人士也能领略到软件测试的魅力所在,并从中获取实用的启示。
|
UED
[译] 设计准则:如何说服用户去使用新的功能
本文讲的是[译] 设计准则:如何说服用户去使用新的功能,去年,在我们发布了即时消息之后,我们又添加了一个功能,用户可以创建丰富的个人信息,这样用户就可以知道,在另一端和他们交流的是一个真实的人。
1183 0
《伟大的小细节:互联网产品设计中的微创新思维》——3.4 身份特征与使用习惯因素
本节书摘来自华章计算机《伟大的小细节:互联网产品设计中的微创新思维》一书中的第3章,第3.4节,作者:文哲著, 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1144 0
下一篇
无影云桌面