GDPR督促企業重新思考數據保護策略

■ 施勤

《通用數據保護條例》（GDPR）已經在5月正式實施，您的企業是否能夠滿足GDPR的要求呢？根據英國政府對數字、文化、媒體和體育等行業進行的最新的一項調查顯示，如果答案是肯定的，那么您的企業就屬于少數的精英企業了。

該項調查設置的問題主要圍繞企業如何積極應對GDPR即將帶來的變化，以及更普遍意義上的，他們如何應對網絡安全。調查結果顯示，大部分企業如果要符合GDPR的要求，還需要很長的時間作出變革，任重而道遠。同時令人驚訝的是，僅有38%的受訪組織表示對GDPR有所耳聞，而且，僅有略高于四分之一(27%)的組織真正在運營方面作出了改變，為適應新的條例出臺做準備，以應對這一新條例的挑戰。

對于作出積極變化的企業，在他們所采取的應對舉措中，最常見的是推出新政策或更新現有政策(36%)，其次是加強人員培訓(21%)。而相應的創建或更改備份計劃(7%)、安裝或更新殺毒軟件(6%)、甚至網絡安全服務外包(5%)等舉措卻少之又少。

最大的問題是，我們在此所討論的企業僅占很小的一部分。圍繞著GDPR合規存在著一個更普遍的問題——大家僅將其視為一個“IT問題”。很多企業似乎要么自信心膨脹，認為自身已經擁有充分的數據處理能力；要么漠不關心，認為GDPR合規事不關己——這就完全不得要領了。在GDPR合規的準備和進行過程中，整個公司上下都應該參與進來。相當重要的一點是，GDPR不合規的企業往往會面臨巨額罰款，而這會影響公司的每個員工。

GDPR實際上比它看起來更重要，從1995年起數據保護法律就沒有進行任何更新，但實際上行業狀況已經發生了翻天覆地的變化。在當今的2018年，企業采集和存儲個人數據的方式毫無疑問已與過去迥然不同了。

這么看來，GDPR似乎來得已經相當晚了。各大企業應積極支持這一條例，將其視為一個契機來更新企業自身與數據保護的整個關系，使之更加適合企業未來的發展；同時還應將其作為一個方法論在企業內部實施，融入到組織的構架根基中——而非僅僅是馬后炮，或者將其僅僅視為IT部門的責任。

要實現GDPR合規，有一個非常簡單的途徑框架。以下所示的五大步驟就是Veeam為準備GDPR合規所采取的流程。現在，我們將這個流程分享給大家，希望大家也能成功完成GDPR合規之旅。

了解您的數據

如果您的企業擁有或持有歐盟公民的數據——正式名稱為個人身份信息(PII)，那么GDPR就適用于您的企業。這意味著如果您在2018年5月25日后被發現不合規，就將面臨罰款。因此，這一合規之旅的最佳起點就是去了解您是否持有這類數據，如果持有，則了解該類數據存儲于何處。您可就您所持有的所有數據創建一個可視圖表，這可幫助您構建一個全方位的視角，實現更好的監察。

很多企業之所以并未充分重視GDPR——或者僅是認為其與自己無關，其中另一個原因可能是對這類數據缺乏了解。這可能是因為他們認為自身并不持有任何這類數據（提示：如果您聘用了歐盟市民員工，則您就已經持有了這類數據），或者沒有意識到所持有這類數據的廣度和范圍（提示：個人數據并非僅僅是姓名和地址）。這正是合規之旅上需首先了解您的數據的原因。

管理您的數據

一旦已全面了解了您所采集和持有的所有相關數據，那么就應該調查一下哪些人可獲取這類數據，以及這類數據的使用狀況。您的企業內可能有不同的團隊和部門可以采用不同的方式訪問這類相同的數據，并將其用于不同的目的。無論這是市場營銷團隊輸入的有關潛在客戶的數據，并將其與銷售團隊分享，還是HR團隊處理有關其自身員工的數據，您都有必要執行有關個人數據處理的標準化程序和工作流，而且必須確保僅在員工業務職能所必需時，才為相應員工提供訪問權限。

管理您的數據指的是充分了解您的組織內——甚至是組織外部——有關這些數據的一舉一動。您的GDPR合規性也取決于您所合作的任何第三方供應商的合規性，因此，您有責任確保他們也遵守這些規則。千萬不可在將數據轉移出公司后，就對此類數據的管理情況睜一只眼閉一只眼。

保護您的數據

一旦對您的數據實現了良好的監督，并執行了標準化的管理流程，則應確保落實適當的安全控制舉措，以保護這類數據——但這并不僅僅意味著加密。為實現合規，您不能僅僅是采取安全措施后，就以為高枕無憂了；GDPR要求您持續監控和審慎盡職，而且在發生數據泄露時，第一時間采取行動。

的確，科技在這一合規之旅中將發揮重要作用，但是僅僅是科技本身并不能幫您實現合規。如要在全公司范圍內推行新的數據保護方法，需要綜合運用安全技術、標準化工作流、內部教育、訪問控制、備份解決方案等等。掌握擁有訪問權限的人員清單、訪問地點和時間，同時進行頻繁的審計和監控，有助于您顯著提升數據泄露的響應速度——因為即使每個人都盡最大努力，但數據泄露可能仍然不可避免。

文字記錄和遵守

GDPR最熱門的話題之一是推行數據請求，這意味著個人將有權要求更正或刪除與其相關的數據。屆時企業將需遵循這些請求，并踐行這一承諾——因此您對您所持有的數據及其存儲位置的明確了解才會如此至關重要。

持續遵守GDPR還需對您所采集的數據內容、其使用目的及其在您公司儲存的時長進行記錄和審計。當進行這一步驟時，我們應問問自身以下問題：我們幾個月前所采集的數據時至今日是否還有意義？對于已轉移至別處的數據，我們是否仍然可以查詢到？我們的第三方供應商是否仍然保持合規？

持續改進

不斷監控和審計您的數據保護流程可以有助于您實現不斷審查和完善。誠然，GDPR是一件界限分明的事情，但是我們所生活的數字世界是一個不斷發展和拓展的世界，我們應該假設數據隱私和保護責任將持續增加——因此，企業應做到持續改進，以確保永遠保持合規。

GDPR不應被視為在2018年5月前應勾選的一個復選框；相反，企業應將其視為一個契機，以重新思考其當前及未來的整個數據保護策略。這是企業適應未來的一個機遇——應該緊緊抓住，不要讓其在指尖溜走。