郭濤

就在幾天前，F(xiàn)acebook CEO扎克伯格啟程去歐盟“道歉”了。試想，如果歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）在“臉書(shū)門(mén)”爆發(fā)之前便已生效，F(xiàn)acebook會(huì)不會(huì)被罰得“傾家蕩產(chǎn)”？

2018年5月25日，GDPR正式生效。之前，各大安全和數(shù)據(jù)保護(hù)廠商以及媒體等都在“打預(yù)防針”，甚至將GDPR稱(chēng)為“史上最嚴(yán)數(shù)據(jù)保護(hù)條例”，因?yàn)橐坏┯衅髽I(yè)觸碰紅線(xiàn)，罰款范圍是1000萬(wàn)到2000萬(wàn)歐元，或者企業(yè)全球年?duì)I業(yè)額的2%到4%。

就在5月24日，“歐盟GDPR的影響與應(yīng)對(duì)”高峰論壇在北京舉行，相關(guān)專(zhuān)家、企業(yè)代表等近兩百人就GDPR實(shí)施將引發(fā)的熱點(diǎn)問(wèn)題進(jìn)行探討。

據(jù)悉，歐盟之所以頒布這一新規(guī)，主要考慮：為歐盟公民提供更多使用自己的個(gè)人資料的權(quán)力；加強(qiáng)數(shù)字服務(wù)提供者與他們所服務(wù)的人之間的信任；為企業(yè)提供明確的法律框架，通過(guò)在歐盟單一市場(chǎng)上制定統(tǒng)一的法律來(lái)消除任何區(qū)域差異。GDPR不僅將適用于所有歐盟的企業(yè)，而且那些與歐盟做生意的企業(yè)也要遵守。當(dāng)前，中國(guó)企業(yè)正涌起一股“出海潮”，不可避免會(huì)與歐盟的企業(yè)打交道。那么中國(guó)企業(yè)對(duì)GDPR到底了解多少？

GDPR是懸在頭上的劍

記者的一位朋友在一家知名外企從事市場(chǎng)方面的工作。在得知記者準(zhǔn)備寫(xiě)一篇關(guān)于GDPR的文章，他極為關(guān)注?！癎DPR和你的工作有關(guān)系嗎？”記者漫不經(jīng)心地在微信中問(wèn)了一句?！瓣P(guān)系重大！我們?cè)谑袌?chǎng)方面所有的數(shù)據(jù)都要符合GDPR的要求?！迸笥堰@樣回答。

中國(guó)的企業(yè)們聽(tīng)到了嗎？GDPR真不是鬧著玩的。安全廠商Sophos去年下半年曾在英國(guó)針對(duì)企業(yè)的IT決策者做過(guò)一項(xiàng)調(diào)查：超過(guò)半數(shù)的企業(yè)承認(rèn)對(duì)GDPR及其可能引發(fā)的財(cái)務(wù)風(fēng)險(xiǎn)并不了解。距歐盟如此之近的英國(guó)尚且如此，中國(guó)企業(yè)的情況更不容樂(lè)觀。

GDPR的官方網(wǎng)站（www.gdpreu.org/compliance/fines-and-penalties/）顯示，GDPR開(kāi)始實(shí)施后，數(shù)據(jù)泄露將不再是企業(yè)聲譽(yù)受損或營(yíng)業(yè)額下降這么簡(jiǎn)單，違反 GDPR，輕者將被處以1000萬(wàn)歐元或者上一年度全球營(yíng)收2%的罰款，兩者取其高；重者將被處以2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入4%的罰款，兩者取其高。決定罰金有十大標(biāo)準(zhǔn)，包括侵權(quán)的性質(zhì)、意圖、緩解措施、預(yù)防性措施、歷史、合作、數(shù)據(jù)類(lèi)型、通知、認(rèn)證及其他。

Sophos的調(diào)查數(shù)據(jù)顯示，超過(guò)25%的企業(yè)聲稱(chēng)，如此重罰會(huì)讓他們徹底倒閉（如果企業(yè)規(guī)模不足50人，將有超過(guò)一半的企業(yè)受罰后會(huì)關(guān)閉）；40%的IT決策者表示，如果遭罰，裁員將不可避免。

GDPR可謂懸在企業(yè)頭頂上的一把利劍。我們很多人都有類(lèi)似的“慘痛”經(jīng)歷：每天被各種“買(mǎi)房嗎”“買(mǎi)基金嗎”的電話(huà)騷擾；信用卡從未離身，錢(qián)卻被一筆筆地盜刷；個(gè)人身份信息、照片甚至飯店的住宿記錄在網(wǎng)上就可以被輕易查到……可能我們大多數(shù)人還沒(méi)有遭受因信息泄露而導(dǎo)致的巨額經(jīng)濟(jì)損失，所以也就這樣默默忍受了，但是信息泄露終究是一個(gè)巨大的隱患，隨時(shí)可能被引爆。GDPR的巨額罰款不是最終目的，與其亡羊補(bǔ)牢，不如提早進(jìn)行保護(hù)和防御。一句話(huà)，我們必須繃緊信息保護(hù)這根弦了。GDPR也許正是個(gè)轉(zhuǎn)變的信號(hào)和契機(jī)。

滿(mǎn)足GDPR也不是那么難

Commvault公司將GDPR對(duì)數(shù)據(jù)保護(hù)提出的相關(guān)要求歸納為三點(diǎn)：第一，正確地使用數(shù)據(jù)；第二，確保數(shù)據(jù)的訪問(wèn)安全；第三，保證數(shù)據(jù)的可用性。

GDPR要求企業(yè)將更大范圍的數(shù)據(jù)納入到數(shù)據(jù)管理體系中，特別是那些企業(yè)邊緣的個(gè)人數(shù)據(jù)，而且不僅要保證數(shù)據(jù)的可用性，更需要對(duì)數(shù)據(jù)具有足夠的洞察力以確保合規(guī)。高效、簡(jiǎn)化、統(tǒng)一地實(shí)現(xiàn)數(shù)據(jù)保護(hù)的需求，將是每個(gè)企業(yè)面臨的挑戰(zhàn)。

要滿(mǎn)足這么多關(guān)于數(shù)據(jù)保護(hù)的新要求，企業(yè)有可能為此要設(shè)置新的工作崗位、招聘相應(yīng)的人才等。“企業(yè)的GDPR合規(guī)之路何其漫長(zhǎng)。鑒于其重要性和長(zhǎng)遠(yuǎn)影響，企業(yè)高管確實(shí)應(yīng)該從現(xiàn)在開(kāi)始分步驟地進(jìn)行規(guī)劃，以降低風(fēng)險(xiǎn)，杜絕后患?！盨ophos公司中國(guó)區(qū)總經(jīng)理鐘明輝表示。

其實(shí)，降低風(fēng)險(xiǎn)也并不像想象中那樣復(fù)雜，只要企業(yè)把該做的都做到位就可以在很大程度上防范數(shù)據(jù)泄露，比如確保所有操作系統(tǒng)和軟件更新至最新版本，對(duì)敏感數(shù)據(jù)實(shí)施加密，教育所有員工有關(guān)網(wǎng)絡(luò)釣魚(yú)和其他社交工程網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。此外，還要部署一個(gè)有效的防病毒和相關(guān)惡意軟件解決方案，以減少因黑客攻擊和惡意軟件造成的違規(guī)風(fēng)險(xiǎn)。

下決心易，付諸行動(dòng)難。很多時(shí)候，如果沒(méi)有法律強(qiáng)制要求采取行動(dòng)，可能很難促使企業(yè)花費(fèi)精力和金錢(qián)去整合數(shù)據(jù)，更遑論實(shí)施嚴(yán)格的數(shù)據(jù)保護(hù)。從這個(gè)角度說(shuō)，GDPR來(lái)得很及時(shí)。

三未信安的一位專(zhuān)家表示，GDPR重點(diǎn)是保護(hù)個(gè)人隱私數(shù)據(jù)，企業(yè)信息系統(tǒng)必須采取技術(shù)和管理的措施，滿(mǎn)足保護(hù)個(gè)人隱私數(shù)據(jù)的要求。作為技術(shù)領(lǐng)先的密碼產(chǎn)品和數(shù)據(jù)安全方案供應(yīng)商，三未信安可以為企業(yè)提供基于密碼技術(shù)的信息安全解決方案，包括具有數(shù)據(jù)全生命周期加密保護(hù)的系列產(chǎn)品，能夠幫助企業(yè)達(dá)到GDPR的要求。

中國(guó)企業(yè)不能置身事外

可能有的中國(guó)企業(yè)會(huì)說(shuō)，GDPR是適用于歐盟企業(yè)的，中國(guó)企業(yè)或許可以“置身事外”。世界早就是個(gè)地球村，在中國(guó)開(kāi)展業(yè)務(wù)的企業(yè)，很可能明天就要走向國(guó)際。中國(guó)企業(yè)在歐洲提供服務(wù)肯定要遵守該條例。更具體的說(shuō)，在歐盟成員國(guó)有法人實(shí)體的公司，以及在歐盟沒(méi)有設(shè)立實(shí)體公司，但因?yàn)闃I(yè)務(wù)關(guān)系而持有歐盟居民個(gè)人資料的公司都“籠罩”在GDPR之下。中國(guó)企業(yè)只要在歐盟成員國(guó)境內(nèi)開(kāi)展業(yè)務(wù)，就必須保護(hù)歐盟成員國(guó)民眾的個(gè)人資料與隱私，即使公司業(yè)務(wù)范圍不在歐盟境內(nèi)，但只要公司有任何來(lái)自歐盟成員國(guó)的客戶(hù)，都必須遵守GDPR，一旦違反，將面臨嚴(yán)厲的處罰。

GDPR經(jīng)歷了四年的討論才獲得歐盟批準(zhǔn)并于5月25日正式實(shí)施。其條款詳盡復(fù)雜，可以說(shuō)是歐美截至目前最嚴(yán)格的一部關(guān)于個(gè)人數(shù)據(jù)保護(hù)的條例。它把信息安全中關(guān)于隱私保護(hù)的范疇和重要性提升到一個(gè)前所未有的高度。綠盟科技認(rèn)為，GDPR對(duì)于世界各國(guó)政府制訂或修訂自己國(guó)內(nèi)的個(gè)人信息保護(hù)法規(guī)具有積極的參考意義。我國(guó)2018年5月1日正式實(shí)施的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)在編制過(guò)程中也參考了GDPR。中國(guó)企業(yè)應(yīng)該認(rèn)真研讀GDPR、《信息安全技術(shù) 個(gè)人信息安全規(guī)范》等條例和規(guī)范，或咨詢(xún)第三方機(jī)構(gòu)，并投入相應(yīng)資源以滿(mǎn)足條例和規(guī)范的監(jiān)管要求。

GDPR的影響力將輻射全球。Veritas 2017 GDPR報(bào)告顯示，全球47%的企業(yè)都擔(dān)心無(wú)法趕在GDPR條例生效之前滿(mǎn)足合規(guī)要求。更令人擔(dān)憂(yōu)的是，只有31%的企業(yè)認(rèn)為他們達(dá)到了GDPR的要求。

Veritas公司大中華區(qū)總裁楊晨告訴記者，很多企業(yè)并不十分了解企業(yè)內(nèi)部數(shù)據(jù)的管理權(quán)歸屬。企業(yè)高管常常認(rèn)為CIO是負(fù)責(zé)GDPR的關(guān)鍵人物，而CIO又認(rèn)為這是高管的職責(zé)。公平地說(shuō)，這需要多個(gè)職能部門(mén)的配合。企業(yè)需要在創(chuàng)建合規(guī)和數(shù)據(jù)治理文化時(shí)，徹底改變思維模式。確保GDPR合規(guī)性不只是CIO一個(gè)人的職責(zé)，而是需要所有部門(mén)的共同努力。Veritas今年發(fā)布的《全球消費(fèi)者數(shù)據(jù)隱私報(bào)告》顯示，90%的中國(guó)消費(fèi)者會(huì)聯(lián)合親朋好友共同抵制未能保護(hù)個(gè)人數(shù)據(jù)的企業(yè)，88%的消費(fèi)者聲稱(chēng)會(huì)向監(jiān)管機(jī)構(gòu)舉報(bào)泄漏隱私的企業(yè)。有趣的是，消費(fèi)者也會(huì)“獎(jiǎng)勵(lì)”妥善保護(hù)個(gè)人數(shù)據(jù)的公司。91%的中國(guó)消費(fèi)者就表示，他們更愿意向個(gè)人數(shù)據(jù)有保障的可靠公司購(gòu)買(mǎi)更多產(chǎn)品或服務(wù)。

中國(guó)的個(gè)人消費(fèi)者都行動(dòng)起來(lái)了，那么中國(guó)的企業(yè)呢？記者也采訪了幾家國(guó)內(nèi)的公有云服務(wù)商，他們是業(yè)務(wù)國(guó)際化的先鋒，但他們對(duì)GDPR的問(wèn)題諱莫如深，不愿置評(píng)。

總而言之，企業(yè)應(yīng)該將GDPR視為一種新機(jī)制，并以此為原則，負(fù)責(zé)任地使用和管理企業(yè)數(shù)據(jù)，同時(shí)更要負(fù)責(zé)地對(duì)待客戶(hù)和供應(yīng)商。GDPR的重要性和深遠(yuǎn)影響力更體現(xiàn)在，它不僅可以促進(jìn)企業(yè)建立遵守?cái)?shù)據(jù)隱私法規(guī)的文化，還能幫助企業(yè)贏得更多信任，增進(jìn)與消費(fèi)者之間的互信。

GDPR早就應(yīng)該來(lái)了！