歐盟GDPR即將生效,物聯(lián)網(wǎng)企業(yè)遵從GDPR合規(guī)性的10個(gè)步驟
圖片來(lái)源:https://pixabay.com/photo-3222692/
GDPR給物聯(lián)網(wǎng)發(fā)展帶來(lái)了巨大的挑戰(zhàn)。Kate O Flaherty提出了企業(yè)物聯(lián)網(wǎng)10點(diǎn)計(jì)劃,旨在保護(hù)您的企業(yè),尤其是您的客戶。
一旦歐盟的一般數(shù)據(jù)保護(hù)條例(GDPR)于2018年5月25日生效,企業(yè)如果發(fā)生數(shù)據(jù)泄露可能要面臨高達(dá)年收入百分之四的罰款,同時(shí),英國(guó)也會(huì)將其納入法律條文范圍。在信息時(shí)代,尤其是Facebook /劍橋Analytica“違規(guī)”等丑聞發(fā)生之后,監(jiān)管機(jī)構(gòu)更是非常重視數(shù)據(jù)保護(hù)。
對(duì)于物聯(lián)網(wǎng)(IoT)而言,GDPR合規(guī)性更具挑戰(zhàn)性,因?yàn)楂@得在物聯(lián)網(wǎng)網(wǎng)絡(luò)中處理個(gè)人數(shù)據(jù)的知情同意可能很困難。此外,GDPR主張“隱私設(shè)計(jì)”,這是物聯(lián)網(wǎng)設(shè)備之前所不悉知的,盡管最近行業(yè)和政府在積極采取行動(dòng)來(lái)改變這種情況。
但遵守并不是不可能的,事實(shí)上,物聯(lián)網(wǎng)企業(yè)在保護(hù)數(shù)據(jù)方面更加積極,隨著用戶信任的增加,商業(yè)獲益也將增加,GDPR可能會(huì)扮演競(jìng)爭(zhēng)區(qū)分的角色。
那么,在GDPR法規(guī)實(shí)施之前,企業(yè)必須考慮的10件事情是什么?
1、了解您收集和處理的數(shù)據(jù)
專家建議物聯(lián)網(wǎng)應(yīng)用企業(yè)評(píng)估他們收集的信息是否為個(gè)人數(shù)據(jù)。但請(qǐng)注意:如果您不收集個(gè)人信息,那并不意味著您不在法規(guī)的約束范圍之內(nèi)。
正如EMEA安全培訓(xùn)專家、網(wǎng)絡(luò)安全倡導(dǎo)總監(jiān)Adrian Davis所指出的那樣:“如果您僅僅是從物聯(lián)網(wǎng)設(shè)備收集傳感器數(shù)據(jù),不要以為您不受GDPR約束,你應(yīng)該知道你的數(shù)據(jù)在哪里、它是如何受到保護(hù)的以及如果出現(xiàn)問(wèn)題該怎么辦。”
安全支付供應(yīng)商N(yùn)uggets創(chuàng)始人兼首席執(zhí)行官Alastair Johnson認(rèn)為一些企業(yè)需要重新考慮他們?nèi)绾未鎯?chǔ)數(shù)據(jù)。他認(rèn)為諸如客戶端加密和區(qū)塊鏈等技術(shù)可能有助于保護(hù)企業(yè)。
“在發(fā)生數(shù)據(jù)泄露事件時(shí),這種類型的技術(shù)堆??梢詼p輕企業(yè)可能面臨有關(guān)GDPR的罰款風(fēng)險(xiǎn):企業(yè)數(shù)據(jù)庫(kù)中沒(méi)有存儲(chǔ)任何用戶數(shù)據(jù)供惡意者偷盜。”
2、了解知情同意
根據(jù)GDPR要求,在處理個(gè)人數(shù)據(jù)時(shí)必須征得知情同意。但是,律師事務(wù)所Shulmans LLP的助理Helen Goldthorpe指出,處理數(shù)據(jù)有幾個(gè)方面,其中知情同意“僅僅是其中一個(gè)”,另外還包括合同要求和合法利益,例如,數(shù)據(jù)是否用于維護(hù)員工安全。
3、知曉知情同意和GDPR適用于整個(gè)供應(yīng)鏈
安全企業(yè)Clearswift的高級(jí)副總裁Guy Bunker說(shuō),許多物聯(lián)網(wǎng)企業(yè)沒(méi)有意識(shí)到客戶可以撤銷知情同意并且有“被遺忘的權(quán)利”(讓他們的所有數(shù)據(jù)永久被刪除)。 當(dāng)知情同意撤回時(shí),您的供應(yīng)商也必須刪除此信息。
“物聯(lián)網(wǎng)企業(yè)需要思考的不僅僅是獲得知情同意,他們需要考慮如果撤回知情同意并且客戶要求刪除所有的數(shù)據(jù)時(shí)會(huì)產(chǎn)生什么影響。在某些情況下,你可能需要做大量的工作。”
4、記錄你所做的一切,以達(dá)到GDPR的要求
這些法規(guī)要求企業(yè)記錄他們所有的數(shù)據(jù)處理過(guò)程。(ISC)2的Davis說(shuō),這樣做的好處在于:“如果你有問(wèn)題并接受調(diào)查,你可以證明你做了所有應(yīng)該做的事情,但它還是出狀況了。”
事實(shí)上,正如科技研究集團(tuán)Gigaom的分析師Jon Collins所解釋的那樣,GDPR的出臺(tái)并不是為了找企業(yè)的麻煩,它的目的是防止濫用數(shù)據(jù)。他說(shuō):“知曉你的所作所為,說(shuō)出你正在做的事情,并且按照你所說(shuō)的去做,這是一個(gè)非常好的檢查方法,如果你是那種真正希望做正確事情的企業(yè)組織,那么監(jiān)管就不會(huì)找你的麻煩。”
5、意識(shí)到隱私設(shè)計(jì)的重要性
隱私設(shè)計(jì)是GDPR的規(guī)定之一,在物聯(lián)網(wǎng)中,不僅僅是后端系統(tǒng),對(duì)所有的設(shè)備和軟件都同樣適用。
Synopsys Software Integrity Group安全策略師Steve Giguere解釋說(shuō):“僅通過(guò)保護(hù)物聯(lián)網(wǎng)設(shè)備無(wú)法實(shí)現(xiàn)GDPR合規(guī)性,因?yàn)樗鼈兺ǔH僅只是更大生態(tài)系統(tǒng)的一部分。”
“安全和隱私政策必須建立并應(yīng)用于收集個(gè)人信息的物聯(lián)網(wǎng)設(shè)備以及傳輸和處理數(shù)據(jù)的網(wǎng)絡(luò)和后端系統(tǒng)。”
Shulmans LLP的Goldthorpe補(bǔ)充說(shuō),產(chǎn)品“需要從頭開(kāi)始開(kāi)發(fā)”。例如,她說(shuō):“您應(yīng)該有能力刪除數(shù)據(jù)以符合主體訪問(wèn)權(quán)限。”
“另外,請(qǐng)盡早了解設(shè)備如何收集數(shù)據(jù),因此如果被問(wèn)到,你才知道如何進(jìn)行解釋。使用較舊的設(shè)備時(shí),請(qǐng)決定是否需要一并收集該數(shù)據(jù)。”
6、基本的安全方法將有助于您遵守合規(guī)性
Clearswift的Bunker說(shuō),基本的安全方法,例如確保所有系統(tǒng)都是打補(bǔ)丁的非常重要。“由于物聯(lián)網(wǎng)世界很脆弱,保持這些系統(tǒng)的最新?tīng)顟B(tài)非常重要,但這些基本的東西常常被忽視。即使你擁有世界上最好的系統(tǒng),如果有人仍然在內(nèi)部犯錯(cuò)誤,那就可能造成違規(guī)。”
Gigaom的Collins說(shuō),這也適用于制造系統(tǒng)。“如果你現(xiàn)在還沒(méi)有考慮到確保這些安全性,那么你最好快點(diǎn)開(kāi)始。”
“許多物聯(lián)網(wǎng)企業(yè)只考慮到非常低級(jí)別的數(shù)據(jù)安全性,例如加密,他們沒(méi)有考慮更復(fù)雜的攻擊,例如拒絕服務(wù)(DoS)和數(shù)據(jù)被操縱,以及圍繞此過(guò)程的一些其他流程。”
7、將GDPR看作是一個(gè)商業(yè)競(jìng)爭(zhēng)區(qū)分因素
正如我們?cè)趧駻nalytica和Facebook丑聞中看到的那樣,信任是數(shù)據(jù)保護(hù)未來(lái)不可或缺的一部分。Bunker表示:“GDPR并不是用來(lái)罰款的,而是用于增加企業(yè)的信任度,如果你做得對(duì),那信任就會(huì)增加,從而獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。”
8、記住GDPR合規(guī)性時(shí)刻在進(jìn)行
即使你認(rèn)為你的企業(yè)組織已經(jīng)符合了監(jiān)管要求,重要的是要記住GDPR合規(guī)不是終點(diǎn),它時(shí)刻都正在進(jìn)行中。“在某些方面,這更有價(jià)值,”Bunker說(shuō)。
這不僅僅是符合要求即可,而是應(yīng)該越來(lái)越好。
9、考慮聘請(qǐng)數(shù)據(jù)保護(hù)官員
數(shù)據(jù)保護(hù)官員(DPO)將是公共當(dāng)局的強(qiáng)制性要求,對(duì)于任何其核心活動(dòng)包括大規(guī)模定期和系統(tǒng)監(jiān)測(cè)數(shù)據(jù)的企業(yè)來(lái)說(shuō),都是強(qiáng)制性要求。
這意味著任何大規(guī)模的物聯(lián)網(wǎng)使用企業(yè)都可能需要聘用DPO作為GDPR合規(guī)的一部分,當(dāng)然,這需要一位高級(jí)責(zé)任人。
在進(jìn)行任命時(shí),Goldthorpe建議組織應(yīng)該采取措施避免任何利益沖突:“理想情況下,如果您是一個(gè)大型企業(yè),將DPO置于合規(guī)職能范圍內(nèi)是合理的。”
10、隨時(shí)準(zhǔn)備作出回應(yīng)
Davis說(shuō),隨時(shí)準(zhǔn)備好經(jīng)過(guò)測(cè)試、排練和更新的管理計(jì)劃用于應(yīng)對(duì)任何違規(guī)行為也是明智之舉。 “GDPR可能通知你在72小時(shí)內(nèi)需要提交報(bào)告 ,那么無(wú)論如何你都應(yīng)該這樣做。”
準(zhǔn)備您的回復(fù)也適用于GDPR的其他方面,例如主體訪問(wèn)請(qǐng)求。作為其中的一部分,Bunker問(wèn)道:“如果有人提出了主體訪問(wèn)請(qǐng)求,那么作為一個(gè)企業(yè),您可以多快得到這些數(shù)據(jù)并作出回應(yīng)?”
業(yè)界觀點(diǎn)
正如Kate O'Flaherty和我們的專家小組所說(shuō)的那樣,請(qǐng)記?。篏DPR不是一個(gè)終點(diǎn),而是一個(gè)持續(xù)的過(guò)程。
還有一點(diǎn)我們需要考慮:請(qǐng)記住,許多消費(fèi)者可能會(huì)將GDPR視為一個(gè)維護(hù)自己權(quán)益的機(jī)會(huì) ,特別是在揭示Facebook對(duì)通話數(shù)據(jù)的記錄以及劍橋分析企業(yè)的丑聞之后。
鑒于類似的新聞報(bào)道,不可避免某些客戶可能會(huì)要求查看證據(jù),證明數(shù)據(jù)是為了自己的利益而收集的(GDPR的進(jìn)一步規(guī)定)并且用于合理的目的。其他人可能會(huì)堅(jiān)持將他們的數(shù)據(jù)從系統(tǒng)中永久刪除。從5月25日起,你將別無(wú)選擇,只能照做。
畢竟,GDPR的引入是為了保護(hù)消費(fèi)者和公民的權(quán)益,重新調(diào)整信息經(jīng)濟(jì)中的平衡,監(jiān)管機(jī)構(gòu)認(rèn)為這種平衡遠(yuǎn)遠(yuǎn)超出了企業(yè)的商業(yè)利益,并且防止大規(guī)模強(qiáng)占私人數(shù)據(jù)。