浅谈GDPR技术措施中的几个关键情景
发布时间:2022-05-20 09:48:23 所属栏目:安全 来源:互联网
导读:近期沸沸扬扬的Google、Facebook等著名互联网大厂被诉案,这些企业一旦因此新规被判输,将面临超过50亿美金的罚款,在许多在欧盟成员国有业务的国内企业也因为不能满足GDPR合规性而暂停业务,而这还只是刚刚开始。不得不说,如今人们对个人隐私数据保护的重
|
近期沸沸扬扬的Google、Facebook等著名互联网大厂被诉案,这些企业一旦因此新规被判输,将面临超过50亿美金的罚款,在许多在欧盟成员国有业务的国内企业也因为不能满足GDPR合规性而暂停业务,而这还只是刚刚开始。不得不说,如今人们对个人隐私数据保护的重视正在成为影响企业运行发展的重要因素,笔者也相信,欧盟的GDPR将会成为世界各国互联网安全立法学习的典范。就国内而言,2017年6月1日正式颁布实施的《网络安全法》,第四十至五十条阐述了做为数据处理者和管理者等角色的责任和义务。相信在不远的未来,国内也会出台更具体的细则条例来支撑网安法的落地,提升对数据主体的权益。 对应的五个关键技术措施场景: 场景一:发现和分类个人数据 高爽老师讲到,在GDPR出台前,很多企业对这些数据的梳理已经有了一些实践,但这些实践大都是一次性的,没有一个长效的机制。个人数据被采集后,在企业内部的流动性很强,很多的业务环节都需要这些数据的支撑,仅通过梳理记录文档的形式不持久,并且没有办法动态的发现个人数据中存在的风险。企业需要一套方案或技术手段,对数据进行分类(属性、标签等)处理,并且应用到后续的各种安全策略中。 场景二:识别、修复数据系统安全风险 也即数据的周边环境安全问题。首先是数据所依存的环境,数据库、大数据系统等,企业需要持续动态的发现这些基础设施中的安全漏洞问题。除了胸痛设施以外,还要对能够接触使用到这些数据用户(相关数据库、应用账户)的权限进行监控,及时发现越权账户并进行规避处理。 场景三:追踪数据是如何处理的 也即要监控数据在内部各个环节流转过程,发现违规访问行为并发出警报并采取隔离措施。用户变更、完全删除个人数据满足与证实。不仅要对主动采集的用户信息进行保护,对从其他数据源中搜集到的数据也要进行同样的保护跟踪措施。 场景四:追踪数据主体的访问权,更正权,删除权等权利 及时响应数据主体(个人)的要求(更正、删除等)。这需要一套标准化的合规的流程,将需要的信息和流程环节整合。 场景五:组织需要具备安全问题管理和通知的能力(包括事件调查) 即:应急响应,每家企业对数据泄露后的应急处理也是GDPR所关注的重点,在条文中规定企业须在72小时内向监管机构汇报。 通过这个视频,笔者对从技术场景角度满足GDPR合规性要求有了一定的了解(稍稍吐槽下,硬广略多,期待大厂专家能多分享干货,少卖广告),对于不“出海”的企业而言似乎用什么实际意义,毕竟国内企业对公众个人数据的处理……当然,作为一个大数据多年的从业者,笔者对如何帮助企业满足国内法律要求也有了大致的技术思路,能满足GDPR合规性要求的一定可以满足国内法律要求,你说呢? (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐