就在幾天前，F(xiàn)acebook CEO扎克伯格啟程去歐盟“道歉”了。試想，如果歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）在“臉書門”爆發(fā)之前便已生效，F(xiàn)acebook會(huì)不會(huì)被罰得“傾家蕩產(chǎn)”？

　　2018年5月25日，GDPR正式生效。之前，各大安全和數(shù)據(jù)保護(hù)廠商以及媒體等都在“打預(yù)防針”，甚至將GDPR稱為“史上最嚴(yán)數(shù)據(jù)保護(hù)條例”，因?yàn)橐坏┯衅髽I(yè)觸碰紅線，罰款范圍是1000萬到2000萬歐元，或者企業(yè)全球年?duì)I業(yè)額的2%到4%。

　　就在5月24日，“歐盟GDPR的影響與應(yīng)對(duì)”高峰論壇在北京舉行，相關(guān)專家、企業(yè)代表等近兩百人就GDPR實(shí)施將引發(fā)的熱點(diǎn)問題進(jìn)行探討。

　　據(jù)悉，歐盟之所以頒布這一新規(guī)，主要考慮：為歐盟公民提供更多使用自己的個(gè)人資料的權(quán)力；加強(qiáng)數(shù)字服務(wù)提供者與他們所服務(wù)的人之間的信任；為企業(yè)提供明確的法律框架，通過在歐盟單一市場(chǎng)上制定統(tǒng)一的法律來消除任何區(qū)域差異。GDPR不僅將適用于所有歐盟的企業(yè)，而且那些與歐盟做生意的企業(yè)也要遵守。當(dāng)前，中國企業(yè)正涌起一股“出海潮”，不可避免會(huì)與歐盟的企業(yè)打交道。那么中國企業(yè)對(duì)GDPR到底了解多少？

　　GDPR是懸在頭上的劍

　　記者的一位朋友在一家知名外企從事市場(chǎng)方面的工作。在得知記者準(zhǔn)備寫一篇關(guān)于GDPR的文章，他極為關(guān)注。“GDPR和你的工作有關(guān)系嗎？”記者漫不經(jīng)心地在微信中問了一句。“關(guān)系重大！我們?cè)谑袌?chǎng)方面所有的數(shù)據(jù)都要符合GDPR的要求。”朋友這樣回答。

　　中國的企業(yè)們聽到了嗎？GDPR真不是鬧著玩的。安全廠商Sophos去年下半年曾在英國針對(duì)企業(yè)的IT決策者做過一項(xiàng)調(diào)查：超過半數(shù)的企業(yè)承認(rèn)對(duì)GDPR及其可能引發(fā)的財(cái)務(wù)風(fēng)險(xiǎn)并不了解。距歐盟如此之近的英國尚且如此，中國企業(yè)的情況更不容樂觀。

　　GDPR的官方網(wǎng)站（www.gdpreu.org/compliance/fines-and-penalties/）顯示，GDPR開始實(shí)施后，數(shù)據(jù)泄露將不再是企業(yè)聲譽(yù)受損或營業(yè)額下降這么簡(jiǎn)單，違反GDPR，輕者將被處以1000萬歐元或者上一年度全球營收2%的罰款，兩者取其高；重者將被處以2000萬歐元或者企業(yè)上一年度全球營業(yè)收入4%的罰款，兩者取其高。決定罰金有十大標(biāo)準(zhǔn)，包括侵權(quán)的性質(zhì)、意圖、緩解措施、預(yù)防性措施、歷史、合作、數(shù)據(jù)類型、通知、認(rèn)證及其他。

　　Sophos的調(diào)查數(shù)據(jù)顯示，超過25%的企業(yè)聲稱，如此重罰會(huì)讓他們徹底倒閉（如果企業(yè)規(guī)模不足50人，將有超過一半的企業(yè)受罰后會(huì)關(guān)閉）；40%的IT決策者表示，如果遭罰，裁員將不可避免。

　　GDPR可謂懸在企業(yè)頭頂上的一把利劍。我們很多人都有類似的“慘痛”經(jīng)歷：每天被各種“買房嗎”“買基金嗎”的電話騷擾；信用卡從未離身，錢卻被一筆筆地盜刷；個(gè)人身份信息、照片甚至飯店的住宿記錄在網(wǎng)上就可以被輕易查到……可能我們大多數(shù)人還沒有遭受因信息泄露而導(dǎo)致的巨額經(jīng)濟(jì)損失，所以也就這樣默默忍受了，但是信息泄露終究是一個(gè)巨大的隱患，隨時(shí)可能被引爆。GDPR的巨額罰款不是最終目的，與其亡羊補(bǔ)牢，不如提早進(jìn)行保護(hù)和防御。一句話，我們必須繃緊信息保護(hù)這根弦了。GDPR也許正是個(gè)轉(zhuǎn)變的信號(hào)和契機(jī)。

　　滿足GDPR也不是那么難

　　Commvault公司將GDPR對(duì)數(shù)據(jù)保護(hù)提出的相關(guān)要求歸納為三點(diǎn)：第一，正確地使用數(shù)據(jù)；第二，確保數(shù)據(jù)的訪問安全；第三，保證數(shù)據(jù)的可用性。

　　GDPR要求企業(yè)將更大范圍的數(shù)據(jù)納入到數(shù)據(jù)管理體系中，特別是那些企業(yè)邊緣的個(gè)人數(shù)據(jù)，而且不僅要保證數(shù)據(jù)的可用性，更需要對(duì)數(shù)據(jù)具有足夠的洞察力以確保合規(guī)。高效、簡(jiǎn)化、統(tǒng)一地實(shí)現(xiàn)數(shù)據(jù)保護(hù)的需求，將是每個(gè)企業(yè)面臨的挑戰(zhàn)。

　　要滿足這么多關(guān)于數(shù)據(jù)保護(hù)的新要求，企業(yè)有可能為此要設(shè)置新的工作崗位、招聘相應(yīng)的人才等。“企業(yè)的GDPR合規(guī)之路何其漫長(zhǎng)。鑒于其重要性和長(zhǎng)遠(yuǎn)影響，企業(yè)高管確實(shí)應(yīng)該從現(xiàn)在開始分步驟地進(jìn)行規(guī)劃，以降低風(fēng)險(xiǎn)，杜絕后患。”Sophos公司中國區(qū)總經(jīng)理鐘明輝表示。

　　其實(shí)，降低風(fēng)險(xiǎn)也并不像想象中那樣復(fù)雜，只要企業(yè)把該做的都做到位就可以在很大程度上防范數(shù)據(jù)泄露，比如確保所有操作系統(tǒng)和軟件更新至最新版本，對(duì)敏感數(shù)據(jù)實(shí)施加密，教育所有員工有關(guān)網(wǎng)絡(luò)釣魚和其他社交工程網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。此外，還要部署一個(gè)有效的防病毒和相關(guān)惡意軟件解決方案，以減少因黑客攻擊和惡意軟件造成的違規(guī)風(fēng)險(xiǎn)。

　　下決心易，付諸行動(dòng)難。很多時(shí)候，如果沒有法律強(qiáng)制要求采取行動(dòng)，可能很難促使企業(yè)花費(fèi)精力和金錢去整合數(shù)據(jù)，更遑論實(shí)施嚴(yán)格的數(shù)據(jù)保護(hù)。從這個(gè)角度說，GDPR來得很及時(shí)。

　　三未信安的一位專家表示，GDPR重點(diǎn)是保護(hù)個(gè)人隱私數(shù)據(jù)，企業(yè)信息系統(tǒng)必須采取技術(shù)和管理的措施，滿足保護(hù)個(gè)人隱私數(shù)據(jù)的要求。作為技術(shù)領(lǐng)先的密碼產(chǎn)品和數(shù)據(jù)安全方案供應(yīng)商，三未信安可以為企業(yè)提供基于密碼技術(shù)的信息安全解決方案，包括具有數(shù)據(jù)全生命周期加密保護(hù)的系列產(chǎn)品，能夠幫助企業(yè)達(dá)到GDPR的要求。

　　中國企業(yè)不能置身事外

　　可能有的中國企業(yè)會(huì)說，GDPR是適用于歐盟企業(yè)的，中國企業(yè)或許可以“置身事外”。世界早就是個(gè)地球村，在中國開展業(yè)務(wù)的企業(yè)，很可能明天就要走向國際。中國企業(yè)在歐洲提供服務(wù)肯定要遵守該條例。更具體的說，在歐盟成員國有法人實(shí)體的公司，以及在歐盟沒有設(shè)立實(shí)體公司，但因?yàn)闃I(yè)務(wù)關(guān)系而持有歐盟居民個(gè)人資料的公司都“籠罩”在GDPR之下。中國企業(yè)只要在歐盟成員國境內(nèi)開展業(yè)務(wù)，就必須保護(hù)歐盟成員國民眾的個(gè)人資料與隱私，即使公司業(yè)務(wù)范圍不在歐盟境內(nèi)，但只要公司有任何來自歐盟成員國的客戶，都必須遵守GDPR，一旦違反，將面臨嚴(yán)厲的處罰。

　　GDPR經(jīng)歷了四年的討論才獲得歐盟批準(zhǔn)并于5月25日正式實(shí)施。其條款詳盡復(fù)雜，可以說是歐美截至目前最嚴(yán)格的一部關(guān)于個(gè)人數(shù)據(jù)保護(hù)的條例。它把信息安全中關(guān)于隱私保護(hù)的范疇和重要性提升到一個(gè)前所未有的高度。綠盟科技認(rèn)為，GDPR對(duì)于世界各國政府制訂或修訂自己國內(nèi)的個(gè)人信息保護(hù)法規(guī)具有積極的參考意義。我國2018年5月1日正式實(shí)施的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)在編制過程中也參考了GDPR。中國企業(yè)應(yīng)該認(rèn)真研讀GDPR、《信息安全技術(shù) 個(gè)人信息安全規(guī)范》等條例和規(guī)范，或咨詢第三方機(jī)構(gòu)，并投入相應(yīng)資源以滿足條例和規(guī)范的監(jiān)管要求。

　　GDPR的影響力將輻射全球。Veritas 2017 GDPR報(bào)告顯示，全球47%的企業(yè)都擔(dān)心無法趕在GDPR條例生效之前滿足合規(guī)要求。更令人擔(dān)憂的是，只有31%的企業(yè)認(rèn)為他們達(dá)到了GDPR的要求。

　　Veritas公司大中華區(qū)總裁楊晨告訴記者，很多企業(yè)并不十分了解企業(yè)內(nèi)部數(shù)據(jù)的管理權(quán)歸屬。企業(yè)高管常常認(rèn)為CIO是負(fù)責(zé)GDPR的關(guān)鍵人物，而CIO又認(rèn)為這是高管的職責(zé)。公平地說，這需要多個(gè)職能部門的配合。企業(yè)需要在創(chuàng)建合規(guī)和數(shù)據(jù)治理文化時(shí)，徹底改變思維模式。確保GDPR合規(guī)性不只是CIO一個(gè)人的職責(zé)，而是需要所有部門的共同努力。Veritas今年發(fā)布的《全球消費(fèi)者數(shù)據(jù)隱私報(bào)告》顯示，90%的中國消費(fèi)者會(huì)聯(lián)合親朋好友共同抵制未能保護(hù)個(gè)人數(shù)據(jù)的企業(yè)，88%的消費(fèi)者聲稱會(huì)向監(jiān)管機(jī)構(gòu)舉報(bào)泄漏隱私的企業(yè)。有趣的是，消費(fèi)者也會(huì)“獎(jiǎng)勵(lì)”妥善保護(hù)個(gè)人數(shù)據(jù)的公司。91%的中國消費(fèi)者就表示，他們更愿意向個(gè)人數(shù)據(jù)有保障的可靠公司購買更多產(chǎn)品或服務(wù)。

　　中國的個(gè)人消費(fèi)者都行動(dòng)起來了，那么中國的企業(yè)呢？記者也采訪了幾家國內(nèi)的公有云服務(wù)商，他們是業(yè)務(wù)國際化的先鋒，但他們對(duì)GDPR的問題諱莫如深，不愿置評(píng)。

　　總而言之，企業(yè)應(yīng)該將GDPR視為一種新機(jī)制，并以此為原則，負(fù)責(zé)任地使用和管理企業(yè)數(shù)據(jù)，同時(shí)更要負(fù)責(zé)地對(duì)待客戶和供應(yīng)商。GDPR的重要性和深遠(yuǎn)影響力更體現(xiàn)在，它不僅可以促進(jìn)企業(yè)建立遵守?cái)?shù)據(jù)隱私法規(guī)的文化，還能幫助企業(yè)贏得更多信任，增進(jìn)與消費(fèi)者之間的互信。

　　GDPR早就應(yīng)該來了！

　　郭濤

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……