GDPR的最大困難在于其定義的個人數據
責編:gltian |2018-05-15 10:15:11《通用數據保護條例》把更好地管理個人數據的責任放到了企業身上。但他們知道GDPR定義的個人數據都在哪兒嗎?有些領域可是很容易被忽視掉的。
歐盟的GDPR將極大改變公司企業對待數據保護的態度與方法,安全團隊響應度退居次席,找出個人數據存放點的速度和準確度被提上前臺。個人數據問題成為公司企業最擔心的問題。(編者注:這也是BigID之所以獲得RSA創新沙盒冠軍的關鍵原因)
5月25日正式生效的閘門即將落下,很多企業卻依然持有大量個人可識別信息(PII,從cookie數據到設備標識符再到IP地址都屬于PII范疇),這些信息廣泛分布在現場系統和云端。在你進入這個模糊的世界之前,你要確定你的業務是數據控制器還是處理器。
PII是什么?該如何使用?
GDPR之下,個人數據處理涵蓋范圍比之前的本地數據保護法規要廣。GDPR第2條即聲明,該條例適用于全部或部分通過自動化方式進行的個人數據處理,以及除自動化方式之外構成或擬構成歸檔系統一部分的個人數據處理。
于是,個人數據的定義到底是什么?
第4條中,個人數據指“與已識別或可識別自然人(數據主體)相關的任何信息;可識別自然人是可被直接或間接識別,特別是可被姓名、ID號、位置數據、在線ID或特定于該自然人的物理、生理、遺傳、心理、經濟、文化或社會身份的多種因素參照的自然人。”
也就是說,個人數據包括了IP地址和cookie數據,GDPR又引入了諸如主體查閱請求(SAR)、被遺忘權/刪除權、數據可移植性等新概念。歐盟公民如今有權知道自己被收集了什么數據,而PII廣泛存在于從電子郵件和社交平臺到人力資源(HR)、人力資源管理(HCM)和顧客關系管理(CRM)系統的事實,也成為了公司企業的擔憂之源。
范圍界定是第一步
無論公司規模是大是小,弄不清數據存放位置都是個大麻煩。那英國酒吧連鎖店Wetherspoons做個例子,這家公司明顯刪除了其50萬+的電郵營銷數據庫并從頭再來,大概是覺得自己不會再得到許可,也無法恰當地管理并保護好那些個人數據了。
當時這家公司在發給媒體《連線》的聲明中稱:“權衡之下,我們甚至連客戶的電子郵件地址都不愿持有。我們持有的客戶信息越少,與這些數據相關的風險就越小。”
公司企業需先認清自己是數據處理者還是數據控制者,以及自己手中到底掌握著哪些數據。第一步就是識別出誰有權訪問PII數據,以及他們是控制者還是處理者。數據的位置也是需要掌握的,比如是不是基于云的郵件系統。接下來就是查清這些數據的風險和安全狀況,確定自動化處理過程。理解那些影響公司的覆蓋GDPR的法律也是正確符合GDPR規定的重要一步。
找出非預期PII的步驟
GDPR列出了個人數據處理的6條法律原因:同意、合約、法律義務、切身利益、公共任務和合法權益。一旦識別出手中PII及其位置,公司就需要為持有這些PII或改變處理過程找到法律依據,以便及時停止引入不需要的PII。
首先,怎樣找出PII?核心運營系統之外,以下地方是PII最有可能藏身的:
- 云App,包括那些為經公司允許的
- 在線文件共享服務
- 可移動載體
- 實體存儲(文件柜)
- 第三方/供應鏈提供
- 臨時文件
- 沙箱/測試系統
- 備份系統
- 雇員設備
GDPR是真正的數據保護條例,無論是模擬數據還是數字數據;所以我們該做的第一件事就是后撤一步,環顧所有可以寫下、打印、掃描或創建資料,并將資料存儲為數字內容的地方。影子IT會含有很多本不應出現在那兒的個人數據,還有可移動USB記憶棒和備份系統也是藏匿個人數據的潛在地方。
真的是必須各個地方都翻找一遍,字面意義上的“各處”,包括文件柜、第三方存儲、文件服務器等等。弄清個人數據都是些什么是第一步,所以信息分類是前置條件,只有分類了才會在看到數據時知道是不是個人數據。有些公司企業不得不二次返工個人數據查找過程就是因為沒在一開始就規范化自己查找的東西。
或許,Cambridge Analytica 丑聞之后,供應鏈也將很快感受到GDPR的效力:供應鏈絕對是個需要重點翻找的地方。備份和檔案柜也應該找找。同時,應謹記:GDPR正好降臨在人類知識大遷移進程的中間。
所謂的大遷移,指的是從現場存儲轉移到云存儲。遷移本身不是什么壞事,通常都能降低存儲開支或者避免硬盤存儲空間告急。因此,大多數企業都是一股腦整體遷移,連所遷內容里都有些什么都不完全了解。肯定會有各種各樣的敏感個人數據在無意間被搬到了云端。
測試系統中也會用到太多真實數據。對很多企業而言,非結構化數據會是個盲點。共享文件夾、臨時硬盤等等都是盲點,沒什么簡單的辦法可以搜索個人數據,個人數據是比更好理解的PII寬泛得多的一張網。
很多公司都會用第三方服務實現員工服務、工資發放、養老金、保險等等。所有此類第三方公司都會持有客戶公司員工的大量敏感數據。不用戴著盡職審查的濾鏡看待這些公司,只需想想這些信息是怎么共享的就夠了。如果裝在加密附件里用電子郵件來回傳輸,那就不僅是坐等發往錯誤地址的事故發生,還會導致更大的問題——該數據在內部經由電子郵件歸檔等途徑迅速增殖。
公司企業當如何邁進?
過程很重要!GDPR要求實現“恰當的技術性和組織性方法以維持適合風險的安全水平”。所以,想要證明公司具備恰當的方法,IT基礎設施和過程就需要被記錄在案,風險也需要作出評估。影子IT、滯留、權限、共享及訪問控制需要留心監視,每個業務過程和GDPR對這些過程造成影響的方面都需要納入考慮范疇。
有兩個關鍵動作應優先處理。第一個,設置管理項目風險和實現“初始安全”的過程。第二個,定義個人數據,執行發現過程以找出BAU中的個人數據,然后以采用大量關鍵控制的分流過程執行高層級的風險評估,實現個人數據所需80%的安全。比如說,訪問控制審查、日志和監視、漏洞管理等等就可以入選十大關鍵控制技術。
雖然加密和偽匿名技術很棒,但它們其實相當不容易實現。這些技術用來保護數據很好,但如果使用不當,也會給公司留下一種數據受到保護的錯覺,而實際上數據早已流失。
太多公司企業其實連基礎工作都沒做好,比如某家跨國銀行就壓根不知道自己到底有多少臺服務器,這些服務器都是用來干什么的。這種企業恐怕談不上什么GDPR合規。最好把個人數據篩查和風險評估的優先級置于任何特定技術性控制之上。ICO已經充分提示了基于風險的方法。而要切實做到基于風險,查清風險概況是基礎。
公司企業還應避免被供應商牽著鼻子走,號稱提供“GDPR合規”的產品僅僅是給你針對某些特定問題的解決方案罷了。