歐盟的GDPR，被大家稱為是目前這個星球上最先進和最嚴(yán)格的隱私保護制度，將于2018年5月25日生效，注意啦，只剩百余天了！

這將影響到歐盟中所有企業(yè)及與歐盟有業(yè)務(wù)來往的企業(yè)的運營。在調(diào)查中，有高達96%的公司承認他們并不理解GDPR的規(guī)定。不了解GDPR新規(guī)，如果不小心違反了，后果將會非常嚴(yán)重！什么是GDPR，在數(shù)據(jù)保護方面的規(guī)定又是什么？小向?qū)娼庾x。

2016年4月27日，歐盟議會通過了《一般數(shù)據(jù)保護條例》（以下簡稱GDPR）法律條例并將在2018年5月25日生效。該條例旨在加強對歐盟境內(nèi)居民的個人數(shù)據(jù)和隱私保護。此外，它還將通過統(tǒng)一數(shù)據(jù)和隱私條例來簡化對跨國企業(yè)的監(jiān)管框架。它將取代1995年頒布的《數(shù)據(jù)保護指令》，是近三十年來數(shù)據(jù)保護立法的最大變動。

GDPR新規(guī)是在28個歐盟成員國統(tǒng)一實施生效的，這將使28個歐盟及歐洲經(jīng)濟共同體成員國的隱私保護法更具有一致性和現(xiàn)代性。GDPR的合規(guī)要求是相當(dāng)高的，需要大多數(shù)企業(yè)投入大量的人力、財力才能得以實現(xiàn)。

目前，對于GDPR的正面闡釋，是公司企業(yè)可通過給消費者一種自身數(shù)據(jù)被合理存儲和保護的安全感，來贏得消費者的信任。GDPR不是一個負擔(dān)，相反，它被視為在世界第二大貿(mào)易集團（歐盟）增加業(yè)務(wù)的好機會。

GDPR要求：
① 在歐盟成員國有法人實體的公司；
② 在歐盟沒有設(shè)立實體公司，但因為業(yè)務(wù)關(guān)系而持有歐盟居民個人資料的公司。

也就是說：

GDPR要求：

① 公司必須設(shè)立一個數(shù)據(jù)保護官（Data Protection Officer，DPO）。數(shù)據(jù)保護官必須直接匯報給最高管理層，其職責(zé)是監(jiān)管和規(guī)范數(shù)據(jù)負責(zé)人和數(shù)據(jù)處理者的數(shù)據(jù)活動。
② 公司需要保留用戶數(shù)據(jù)監(jiān)管信息，并定期刪除無關(guān)數(shù)據(jù)。
③ 公司必須部署合適的工具用以保護數(shù)據(jù)，以防數(shù)據(jù)丟失、損壞或泄露。當(dāng)發(fā)生任何數(shù)據(jù)泄露相關(guān)事件，數(shù)據(jù)管控者與數(shù)據(jù)處理者需要在72小時內(nèi)進行報告。
④ 公司處理個人數(shù)據(jù)必須要有合法理由，包括數(shù)據(jù)主體的同意、為了簽訂或履行合同需要、遵守法定義務(wù)的需要、為公共利益或行事政府授權(quán)以及為追求數(shù)據(jù)控制者的合法利益等；
⑤ 當(dāng)用戶不再希望個人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒有合法理由保存該數(shù)據(jù)，用戶有權(quán)要求刪除數(shù)據(jù)。
⑥ 用戶有權(quán)并可以無障礙的將其個人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個信息服務(wù)提供者處轉(zhuǎn)移至另外一個信息服務(wù)提供者處。

⑧ 公司處理16歲以下兒童的個人數(shù)據(jù)，必須獲得該兒童父母或監(jiān)護人的同意或授權(quán)。各成員國可對上述年齡進行調(diào)整，但是不得低于13歲。
⑨ 公司需要實現(xiàn)數(shù)據(jù)的“缺省保護隱私”，即這種數(shù)據(jù)保護的隱私設(shè)計需要有默認的兩個原則，一是數(shù)據(jù)采集與數(shù)據(jù)使用目的的一一對應(yīng)原則；二是數(shù)據(jù)采集的最小化原則。

GDPR的處罰規(guī)則是：

對于違反GDPR的行為，嚴(yán)重違規(guī)者罰金將會是上限2000萬歐元或該企業(yè)全球年營業(yè)額的4%（以兩者較高者為準(zhǔn)）；一般違規(guī)者罰金將會是上限1000萬歐元或該企業(yè)全球年營業(yè)額的2%（以兩者較高者為準(zhǔn)）。

① 了解企業(yè)擁有的數(shù)據(jù)及存儲位置

企業(yè)應(yīng)弄清楚自己掌握的是歐盟公民的什么數(shù)據(jù)，提前做好準(zhǔn)備，主動關(guān)注用戶敏感數(shù)據(jù)的走向。在 GDPR 明年開始實施的時候，對數(shù)據(jù)泄露的相關(guān)知識了解的越多，也就會越有準(zhǔn)備。

② 確保供應(yīng)鏈安全

大多數(shù)企業(yè)的供應(yīng)鏈都很長。比如一級金融機構(gòu)有15000家供應(yīng)商/合作伙伴，而這些合作伙伴大多都擁有金融機構(gòu)中的個人信息。在 GDPR 的實施下，數(shù)據(jù)擁有者和流通者都有義務(wù)保護歐盟公民的隱私。企業(yè)應(yīng)確保供應(yīng)商也有足夠的安全防范意識和控制措施。

③ 完善措施及響應(yīng)計劃

為滿足 GDPR 合規(guī)要求，企業(yè)可能需要在內(nèi)部部署和云基礎(chǔ)設(shè)施環(huán)境中部署一種或多種不同的加密方法，在數(shù)據(jù)安全專家中科同向團隊看來，可從以下方面著手：

? 服務(wù)器：包括對文件、應(yīng)用、數(shù)據(jù)庫和全磁盤虛擬機加密。
? 存儲：包括通過網(wǎng)絡(luò)連接存儲和存儲區(qū)域網(wǎng)絡(luò)加密。
? 介質(zhì)：通過磁盤加密。
? 網(wǎng)絡(luò)：例如通過高速網(wǎng)絡(luò)加密。

另外，還需要強密鑰管理以保護加密的數(shù)據(jù)，以及保證刪除文件和滿足用戶被遺忘權(quán)。企業(yè)還需要一種方式來驗證用戶身份和交易的合法性，以及證明合規(guī)性。所以當(dāng)前使用的安全控制措施一定要是可以證明和可以審計的。

④ 即刻制定符合 GDPR 法規(guī)的安全流程

企業(yè)需要提前建立好安全流程，在事件發(fā)生的時候才知道具體應(yīng)該怎么做。因為 GDPR 留給大多數(shù)企業(yè)的時間只有72小時，并且還要注意 GDPR 中還談到的公民數(shù)據(jù)的其他權(quán)利，包括數(shù)據(jù)提供權(quán)，刪除權(quán)，轉(zhuǎn)移通知權(quán)和用戶知情權(quán)。必要時可任命一名數(shù)據(jù)保護專員。

在數(shù)據(jù)保護領(lǐng)域具有10年經(jīng)驗的中科同向，能夠確保您的企業(yè)提供合規(guī)的一體化數(shù)據(jù)安全解決方案，全方位保護和管理數(shù)據(jù)并符合GDPR規(guī)則要求。

① 數(shù)據(jù)存儲位置可控：

中科同向數(shù)據(jù)存儲以云計算架構(gòu)部署，同樣，企業(yè)也可選擇兩地三中心的部署方式，是在歐盟還是本地由企業(yè)決定。

② 允許數(shù)據(jù)修改：

中科同向可為企業(yè)開放其存儲的個人數(shù)據(jù)，以便消費者進行修改，同時，能保證不會有因進行任何修改從而導(dǎo)致數(shù)據(jù)本身無法使用的風(fēng)險。

③ 數(shù)據(jù)加密：

中科同向所進行的數(shù)據(jù)存儲都是經(jīng)過自動的加密技術(shù)處理，且內(nèi)置管理密鑰，最大程度保障數(shù)據(jù)安全。

④ 防范勒索病毒：

中科同向高性價比的數(shù)據(jù)保護產(chǎn)品提供多種備份方式，并對操作系統(tǒng)不可見，即使被病毒感染的文件也不會感染到備份數(shù)據(jù)。

⑤ 數(shù)據(jù)恢復(fù)簡便、快速：

中科同向具有業(yè)內(nèi)領(lǐng)先的數(shù)據(jù)恢復(fù)技術(shù)CDP，高性能的容災(zāi)額可做到恢復(fù)時間目標(biāo)和恢復(fù)點目標(biāo)均為零（即RTO =0，RPO=0），保障業(yè)務(wù)的連續(xù)性。

⑥ 基于區(qū)塊鏈的存儲技術(shù)：

中科同向分布式數(shù)據(jù)存儲融合區(qū)塊鏈技術(shù)，由于分布式的特性，保證數(shù)據(jù)其他分布片段的數(shù)據(jù)不被修改，為數(shù)據(jù)安全多添一層防護。

★ ★ 結(jié)語：
在GDPR合規(guī)之路上，如您遇到問題，可隨時聯(lián)系中科同向技術(shù)團隊。為您的企業(yè)早日順利進軍歐洲市場，我們將全力支持直到完成合規(guī)流程！