《通用数据保护条例》把更好地管理个人数据的责任放到了企业身上。但他们知道GDPR定义的个人数据都在哪儿吗?有些领域可是很容易被忽视掉的。
欧盟的GDPR将极大改变公司企业对待数据保护的态度与方法,安全团队响应度退居次席,找出个人数据存放点的速度和准确度被提上前台。个人数据问题成为公司企业最担心的问题。(编者注:这也是BigID之所以获得RSA创新沙盒冠军的关键原因)
5月25日正式生效的闸门即将落下,很多企业却依然持有大量个人可识别信息(PII,从cookie数据到设备标识符再到IP地址都属于PII范畴),这些信息广泛分布在现场系统和云端。在你进入这个模糊的世界之前,你要确定你的业务是数据控制器还是处理器。
PII是什么?该如何使用?
GDPR之下,个人数据处理涵盖范围比之前的本地数据保护法规要广。GDPR第2条即声明,该条例适用于全部或部分通过自动化方式进行的个人数据处理,以及除自动化方式之外构成或拟构成归档系统一部分的个人数据处理。
于是,个人数据的定义到底是什么?
第4条中,个人数据指“与已识别或可识别自然人(数据主体)相关的任何信息;可识别自然人是可被直接或间接识别,特别是可被姓名、ID号、位置数据、在线ID或特定于该自然人的物理、生理、遗传、心理、经济、文化或社会身份的多种因素参照的自然人。”
也就是说,个人数据包括了IP地址和cookie数据,GDPR又引入了诸如主体查阅请求(SAR)、被遗忘权/删除权、数据可移植性等新概念。欧盟公民如今有权知道自己被收集了什么数据,而PII广泛存在于从电子邮件和社交平台到人力资源(HR)、人力资源管理(HCM)和顾客关系管理(CRM)系统的事实,也成为了公司企业的担忧之源。
范围界定是第一步
无论公司规模是大是小,弄不清数据存放位置都是个大麻烦。那英国酒吧连锁店Wetherspoons做个例子,这家公司明显删除了其50万+的电邮营销数据库并从头再来,大概是觉得自己不会再得到许可,也无法恰当地管理并保护好那些个人数据了。
当时这家公司在发给媒体《连线》的声明中称:“权衡之下,我们甚至连客户的电子邮件地址都不愿持有。我们持有的客户信息越少,与这些数据相关的风险就越小。”
公司企业需先认清自己是数据处理者还是数据控制者,以及自己手中到底掌握着哪些数据。第一步就是识别出谁有权访问PII数据,以及他们是控制者还是处理者。数据的位置也是需要掌握的,比如是不是基于云的邮件系统。接下来就是查清这些数据的风险和安全状况,确定自动化处理过程。理解那些影响公司的覆盖GDPR的法律也是正确符合GDPR规定的重要一步。
找出非预期PII的步骤
GDPR列出了个人数据处理的6条法律原因:同意、合约、法律义务、切身利益、公共任务和合法权益。一旦识别出手中PII及其位置,公司就需要为持有这些PII或改变处理过程找到法律依据,以便及时停止引入不需要的PII。
首先,怎样找出PII?核心运营系统之外,以下地方是PII最有可能藏身的:
GDPR是真正的数据保护条例,无论是模拟数据还是数字数据;所以我们该做的第一件事就是后撤一步,环顾所有可以写下、打印、扫描或创建资料,并将资料存储为数字内容的地方。影子IT会含有很多本不应出现在那儿的个人数据,还有可移动USB记忆棒和备份系统也是藏匿个人数据的潜在地方。
真的是必须各个地方都翻找一遍,字面意义上的“各处”,包括文件柜、第三方存储、文件服务器等等。弄清个人数据都是些什么是第一步,所以信息分类是前置条件,只有分类了才会在看到数据时知道是不是个人数据。有些公司企业不得不二次返工个人数据查找过程就是因为没在一开始就规范化自己查找的东西。
或许,Cambridge Analytica 丑闻之后,供应链也将很快感受到GDPR的效力:供应链绝对是个需要重点翻找的地方。备份和档案柜也应该找找。同时,应谨记:GDPR正好降临在人类知识大迁移进程的中间。
所谓的大迁移,指的是从现场存储转移到云存储。迁移本身不是什么坏事,通常都能降低存储开支或者避免硬盘存储空间告急。因此,大多数企业都是一股脑整体迁移,连所迁内容里都有些什么都不完全了解。肯定会有各种各样的敏感个人数据在无意间被搬到了云端。
测试系统中也会用到太多真实数据。对很多企业而言,非结构化数据会是个盲点。共享文件夹、临时硬盘等等都是盲点,没什么简单的办法可以搜索个人数据,个人数据是比更好理解的PII宽泛得多的一张网。
很多公司都会用第三方服务实现员工服务、工资发放、养老金、保险等等。所有此类第三方公司都会持有客户公司员工的大量敏感数据。不用戴着尽职审查的滤镜看待这些公司,只需想想这些信息是怎么共享的就够了。如果装在加密附件里用电子邮件来回传输,那就不仅是坐等发往错误地址的事故发生,还会导致更大的问题——该数据在内部经由电子邮件归档等途径迅速增殖。
公司企业当如何迈进?
过程很重要!GDPR要求实现“恰当的技术性和组织性方法以维持适合风险的安全水平”。所以,想要证明公司具备恰当的方法,IT基础设施和过程就需要被记录在案,风险也需要作出评估。影子IT、滞留、权限、共享及访问控制需要留心监视,每个业务过程和GDPR对这些过程造成影响的方面都需要纳入考虑范畴。
有两个关键动作应优先处理。第一个,设置管理项目风险和实现“初始安全”的过程。第二个,定义个人数据,执行发现过程以找出BAU中的个人数据,然后以采用大量关键控制的分流过程执行高层级的风险评估,实现个人数据所需80%的安全。比如说,访问控制审查、日志和监视、漏洞管理等等就可以入选十大关键控制技术。
虽然加密和伪匿名技术很棒,但它们其实相当不容易实现。这些技术用来保护数据很好,但如果使用不当,也会给公司留下一种数据受到保护的错觉,而实际上数据早已流失。
太多公司企业其实连基础工作都没做好,比如某家跨国银行就压根不知道自己到底有多少台服务器,这些服务器都是用来干什么的。这种企业恐怕谈不上什么GDPR合规。最好把个人数据筛查和风险评估的优先级置于任何特定技术性控制之上。ICO已经充分提示了基于风险的方法。而要切实做到基于风险,查清风险概况是基础。
公司企业还应避免被供应商牵着鼻子走,号称提供“GDPR合规”的产品仅仅是给你针对某些特定问题的解决方案罢了。