信息來源:安全牛
即使董事會信任各部門能夠順利執(zhí)行GDPR條例���,但是事實證明,將該數(shù)據(jù)隱私政策落實實踐可能會是一場“噩夢”般的體驗�。
2018年5月25日,歐盟號稱史上最嚴隱私條例的《通用數(shù)據(jù)保護條例》(GDPR)正式生效�����。盡管這是現(xiàn)代社會保護個人數(shù)據(jù)與安全邁出的重要一步�,但在國內外的許多媒體報道中,GDPR中的一些條款被誤讀或是錯誤理解��,引起了一些用戶�����、公司����、學者的恐慌。目前��,世界各地的企業(yè)可能都已經(jīng)在GDPR條例的嚴格隱私保護下運營著��,但其具體需求和相關術語的差異使得安全專家不得不加班加點工作����,以確保自身企業(yè)滿足其合規(guī)性要求�����。
舉例來說,很多企業(yè)一直在努力弄清楚GDPR第25條中的要求��,即在考慮了“最新水平”(state of the art)�、實施成本、處理的性質�����、處理的范圍����、處理的語境與目的,以及處理給自然人權利與自由帶來的傷害可能性與嚴重性之后��,控制者應當在決定處理方式時和決定處理時����,應當采取“合適的”技術與組織措施,并且在處理中整合必要的保障措施����,以便符合本條例的要求和保護數(shù)據(jù)主體的權利����。
根據(jù)趨勢科技最近針對1000名IT決策者進行的調查結果顯示�����,人們對“最新水平”(state of the art)這一術語的含義普遍感到困惑����。其中,30%的受訪者將其定義為從現(xiàn)有市場領先者處購買安全產(chǎn)品����;17%的受訪者認為是使用通過獨立第三方測試的產(chǎn)品;16%的受訪者認為是根據(jù)分析師報告選擇的產(chǎn)品�;還有14%則認為其指的是初創(chuàng)企業(yè)所提供的創(chuàng)新產(chǎn)品或技術。
此外�����,GDPR第25條中針對“合適的”技術和組織措施所舉的例子——即控制者可以采取匿名化�,一種設計用來實施數(shù)據(jù)保護原則(比如數(shù)據(jù)最小化原則)的措施——也成為了澳大利亞在內的一些國家所爭論的焦點,在大學研究人員證明數(shù)據(jù)能夠被匿名化之后����,政府將不得不提供大規(guī)模的匿名醫(yī)療保險福利計劃(MBS����,澳大利亞國家健康保險計劃)數(shù)據(jù)轉儲��。
那么�,GDPR期待客戶實施的“最新水平”(state of the art)安全技術又是何意呢?
很顯然����,客戶并不知道如何將這一措辭正確地落實實踐����。為了在GDPR條例正式實施前全面理解其要求,趨勢科技公司每兩周就會舉行一次“GDPR消防演習”�����,其揭示了安全策略固有的復雜性往往是立法機構在起草法案時的模糊措辭造成的�����,而且這些法案中對于安全響應所提供的實踐指導內容非常有限��。
如果說發(fā)生了泄露事件,那么試圖找出我們要披露的信息將會是一場噩夢����。因為無論是內部工作還是客戶研討會都已經(jīng)突出表明,人們對于“應該披露哪些人的泄露信息”��、“如何披露”以及“誰負責批準內部報告”等等問題仍然缺乏明確的認知�����。
這些經(jīng)驗是由多家公司共同分享的�����,此外�����,據(jù)最新數(shù)據(jù)顯示����,歐洲公司預計,在未來6個月內GDPR數(shù)據(jù)需求可能會猛增�����,但是員工對于如何處理這些數(shù)據(jù)仍然缺乏理解。
研究表明���,良好的政策可以有助于贏得客戶的信任���,進而推動更廣泛的信息共享和應用,但是目前�,很多公司仍然在處理內部分歧,因為他們試圖創(chuàng)建一個連貫的內部思路���,來全面闡述GDPR及其相關的隱私保護要求����。
對政策的要求和義務缺乏一致意見�����,往往會使企業(yè)各部門之間的觀點產(chǎn)生分歧�����。例如營銷部門和人力資源等部門對于法律和其他方面一定會有不同的看法����。
內部的沖突分歧也會讓董事會成員陷入困境,因為在尋求新的重大政策方向之前����,董事會成員很可能需要依靠內部成員達成的共識作為參考。
盡管GDPR條例也對董事會提出了要求�����,但是在很多情況下�����,董事會只會說“放膽去做�����,我會支持你的想法����。”其實��,在GDPR實施之前組織的客戶研討會上����,大多數(shù)客戶都是帶著書面披露政策來的�����,這些披露政策通常是具有法律效用的�。但是�,當這些“有備而來”的客戶進行實戰(zhàn)演習時卻意識到,制定實際說明比他們披露政策所闡述的還要困難得多�����。
所謂“政策”����,無論是其創(chuàng)建還是執(zhí)行,更大程度上涉及的是合規(guī)問題���,而不是作為技術解決方案����。例如微服務容器(microservices containers)��,它們存在并將隨著工具集和API的發(fā)展而發(fā)展�����。對安全性進行討論是一種意識進步的體現(xiàn)����,我們最擔心的情況往往是“安全性未在討論之列”。首席安全官(CISO)則需要說服團隊將安全性置于優(yōu)先位置��,以便在未來的發(fā)展中占據(jù)絕對優(yōu)勢����。
