划重点！GDPR的三个关注焦点

隐私保护一直都是信息安全领域的一个内容，随着欧盟委员会于2016年4月14日投票通过了商讨四年之久的《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR），隐私保护与伴随而来的数据安全在近两年成为了历次国际性安全会议中不可或缺的议题，在2018年4月的RSA2018会议中也有多个会议议题与此相关。

GDPR虽然是欧盟颁发制订的标准（其监管对象为欧盟管辖区域内的机构、在欧盟开展业务的机构以及收集和处理欧盟公民个人信息的机构），但由于其合规监管要求高，条款详尽复杂，因此在通过欧盟委员会审批后获得了全球企业界的高度关注。绿盟君认为关注的重点主要集中在三个方面。

一、认真考虑自身在欧盟管辖区域内运行和开展业务的风险；

二、从研究和借鉴的视角提升自身的隐私数据安全保护能力；

三、结合GDPR要求调整或完善自有产品以满足监管和市场要求。

在前两个方面，以美国为例，来自Ovum公司的报告显示2/3的美国公司相信GDPR的正式实施将要求他们重新考虑他们在欧洲业务的安全策略。85%的美国公司甚至认为GDPR法规将使美国公司与欧洲公司相比在隐私保护方面处于劣势。

普华永道（PWC）最近对来自美国公司（受调查公司的员工均超过500人）的200名CIO、CCO和CMO等进行了一次调查。该调查报告表明92%受调查的美国公司认为GDPR是首要优先考虑的数据保护要求。71%的被调查者表示他们的公司准备开始应对GDPR，23%表示还未开始准备应对。6%的人表示已完成应对。

考虑到GDPR的监管处罚力度和有效禁令的威胁，在欧洲大量投资的美国公司已考虑调整他们在欧盟的业务。64%的高管报告说，他们减少GDPR曝光的首要策略是欧洲数据中心的集中化。超过一半的人（54%）表示，他们计划取消欧洲个人数据，以减少对隐私数据的接触。此外，32%的受访者计划减少在欧洲的业务，而26%的人打算完全退出欧盟市场。

在隐私保护建设方面，根据2017年12月Solix Technologies发布的调查报告显示38%被调者反馈他们处理的个人数据在数据生命周期的每一个阶段都没有受到对滥用和未经授权访问的保护，此外，64%的机构也没有任命数据保护官（DPO）,因此急需结合GDPR的要求来展开数据安全隐私保护建设。

PWC的研究报告表明，受调查的美国机构愿意投入巨额资金已应对和满足GDPR的合规要求。其中，68%的美国公司计划花费100-1000万美元，9%的公司甚至计划花费超出1000万美元的预算。

图：微软公司Office365的合规分析界面

在RSA2018展会中，除了有多个会议主题涉及GDPR和隐私保护的内容外，还有不少厂家均针对GDPR的要求对自身的产品进行改善。例如，微软公司在其Azure云平台中特别强调了对隐私保护的保护措施和声明，而一些包括安全防护类、数据/行为分析类、安全漏洞与安全配置检测类、安全认证类的设备厂家纷纷在其产品中增加了与GDPR有关的功能项，这些功能项包括专门针对隐私数据的防护策略和组件（如Checkpoint）、隐私数据在机构网络中流动的监测与分析（如BigID）、针对GDPR的安全基线评估项（如Titania），以及输出对标GDPR合规要求的专业分析报告（如Evident）。

图：RSA2018展会中一场关于GDPR的演讲

GDPR的影响无所不在，就连一些通常认为合规不怎么覆盖的领域如软件代码安全检测领域也有厂家（如Veracode）在其宣传材料和现场演示中宣称他们的产品可以针对GDPR的要求对代码中隐私数据安全保护的机制进行评估和审计。

就目前来看，国外（欧美）大量的安全厂家显然是十分关注GDPR，并确实为此对产品进行了新一轮的开发与更新完善，虽然GDPR和我国国内绝大部分的机构产生的交集很少，但国外安全厂家这种对合规的关注和产品更新的市场态度值得我们国内安全厂家学习。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP