GDPR驅動下一個技術十年
通用資料保護條例》(GDPR)——業務在歐洲或客戶是歐洲公民的任何公司或組織都受管轄,收集的所有個人資料都要妥善防護。而且GDPR對違規行為的處罰非常嚴厲,任何導致資料洩露的不合規行為都會遭到重罰,罰金可高至總營業額的 4% 。
GDPR本質上是基於監管的倡議,不是基於技術的。換句話說,該條例沒有指明必須使用什麼技術來保護個人可識別資訊(PII),只說了需要保護哪些東西以及怎樣保護。GDPR從來都沒有想驅動哪一種特定技術。儘管如此,GDPR無疑會在下一個十年裡影響資訊科技的發展。雖然現在就來判定GDPR的全部效應還為時過早,但有幾個因素可供預測時參考。
合規需要什麼?
GDPR專注於令公司企業採取合理的預防措施防止PII遭洩露。其中一些合規元素包括限制所收集資料的儲存,以及不收集處理過程中非必要的資料等協議。即便沒有GDPR,這些建議也有利於公司避免陷入困境。最小化資料儲存、只收集必需的資料、只在必要時持有資料,可以確保即便資料洩露發生,損失也能控制在最小。
Equifax就是持有大量敏感資料的典型代表,某些消費者的被盜PII甚至可追溯到幾十年前。除了持有大量資料,這家公司還沒有專人負責資料保護,雖然不少高管據說是注意到了那些漏洞。GDPR旨在通過要求每家公司都設定專門的資料管理員,來防止此類事件的發生。這能在公司內部建立其問責制度,維護所收集資料的完整性。
如果發生資料洩露,必須在72小時內通告消費者,並提供所有可能被洩資料的副本。於是,最小化資料儲存就能簡化該過程,也能平復消費者對於自身暴露度的擔心。
三大類要求
GDPR的要求主要分為三大類。
第一類是網路終端的安全改善。終端安全常被視為第一道防線,但也常常是最弱的一環。公司企業需從傳統防毒軟體推進到更為實質性的裝置防護,可能涉及從桌面電腦和膝上型電腦,到手機、平板或虛擬機器。
第二類要求是資料安全。最小化資料、只收集必需的資料、加密並限制訪問,以及設立內部負責人,都對公司有好處。當然,這些行動有賴於準確而及時更新的業務過程或資料分類專案。
最後,訪問安全。公司需強調最小特權訪問,不設超級管理員,沒有共享管理員賬戶,業務使用者僅能享有使用特定系統和工具完成工作所需的最小許可權。很多資料洩露從攻擊者染指某臺終端開始,但幾乎所有資料洩露都以攻擊者獲得管理員賬戶而告終。因此,訪問管理工作必須包括限制高度敏感資料的管理員許可權。
這三大類要求組成了GDPR合規的基礎。公司企業在這三個方面都合規的最佳方式,就是彌合基礎設施,減少資料足跡,以及指定專人或專門的團隊負責資料安全和實施新的規定。資料及業務過程發現可找出隱藏及冗餘的個人資料儲存庫,有助於GDPR合規的順利達成。
這對下一個十年的技術發展有何意義?
軟體開發人員會圍繞GDPR設計出新的安全產品和過程。其中就可能包括敏感資訊在超過一定時間後的強制轉儲。增加資訊收集及傳輸過程透明度的技術將會供不應求。GDPR將無可避免地強制要求新的以資料為中心的解決方案,因為這些新方案有助於公司企業儘可能地達到理想的防護水平,儘可能地合規。但要記得,合規一詞可不僅僅包含隱私;電子發現、保留、檢索、歸檔和銷燬都是GDPR合規中以資料為中心的要求。
對任何人來說,GDPR合規都不會是件輕鬆的事,但特定行業面臨的困難會尤其大。製藥和銀行業或許是困難的行業,因為他們收集和儲存的資訊最多。但不願意縮減資料保有量的組織才要面對艱難的現實:比及時轉儲PII並保持最小資料集的那些組織更容易成為黑客選擇下手的目標。有可能這些行業會試圖在其他領域投入更多,比如鎖定他們的終端。這種方法短時間內會有效果,但三類GDPR要求都齊頭並進均衡發展的組織才能走得更穩。
長期來看,GDPR會要求公司企業更妥善地處理他們的資料,包括減少資料收集量和縮減資料儲存時間。輔助資料管理和定時清除遺留資料的技術,在GDPR時代將迎來快速發展。
相關閱讀
ofollow,noindex" href="https://www.aqniu.com/news-views/35964.html">GDPR通用資料保護條例-要點總結