前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >GDPR 带来的数据安全思考

GDPR 带来的数据安全思考

作者头像
用户1682855
发布2019-08-30 16:09:08
2K0
发布2019-08-30 16:09:08
举报
文章被收录于专栏:前沿技墅

盖国强 中国地区首位Oracle ACE和ACE总监,曾获评"中国首届杰出数据库工程师",拥有近20年数据行业咨询和实践经验,著有《深入解析Oracle》《循序渐进Oracle》等技术书籍;2011年创立云和恩墨公司,致力于以『数据驱动,成就未来』为使命,为企业和用户提供卓越的数据产品和服务。

当我们置身于网络世界之中时,一切的行为都将会被记录下来,互联网企业还会通过用数据描绘的“用户画像”让用户具象化、真实化。事实上,在数据面前,我们每个人都只是在穿着皇帝的新衣。

那么,如何面对这些让人细思极恐的数据世界?欧盟制定了《通用数据保护条例》(General Data Protection Regulation,GDPR)。

欧盟议会于 2016 年 4 月通过了 GDPR,规范欧盟成员国以及任何与欧盟各国进行交易或持有公民(欧洲经济区公民)数据的公司存储和管理个人数据的方式。这项法规在 2018 年 5 月 25 日生效。

然而在 GDPR 生效之后,一些新闻报道称:为遵守刚生效的 GDPR,美国网站屏蔽了5亿欧洲居民。

Bloombergquint 网站的报道更是使用了 Blocking 500 Million Users Easier Than Complying With GDPR(屏蔽 5 亿用户比遵守 GDPR 更容易)这样的标题。

GDPR 于 5 月 25 日生效后,众多美国网站纷纷拒绝了来自欧洲的访客。值得注意的是,欧洲有 5 亿居民,是美国人口的 1.5 倍。

拒绝或暂时拒绝欧洲访客的知名网站包括 Los Angeles Times、Chicago Tribune、New York Daily News 和Instapaper。

USA TODAY 则选择为欧洲访客专门制作一个 GDPR 版本的网站,删除了所有跟踪脚本和广告,结果美国版本的网站大小有 5.2MB,而 GDPR 版本的只有 500KB,页面加载速度也从 45 s 减少到 3 s,JS 脚本数量从 124 个减少到 0 个,请求的网址数量也从 500 多个减少到 34 个,简直就像是最初启用了 Adblocker的效果。

通过这样的事件,我们大约可以知道一个网站到底采集了多少用户数据。

那么 GDPR 到底是什么?为什么实施起来困难重重,让美国企业选择了简单粗暴的拒绝访问。

GDPR 的本质是赋予欧盟公民个人信息保护的基本权利,其核心是使个人数据的收集、存储及使用有更高的透明度,并对其加强管控。在这个条例的约束下,只要是收集欧盟公民数据的企业就要受到 GDPR 的管辖。

GDPR 主要完成了以下几大使命:

  1. 明确公民的数据权利和隐私权。
  2. 明确并扩大了数据保护范围。
  3. 规范数据收集企业的数据保护及使用权责。

这其中的数据安全事故通知条款规定,在数据安全事故(比如数据泄露)发生之后,应当在 72 小时内向监督机构报告。

GDPR 提高了处罚标准,对于重大违规事件的罚款可高达 2000 万欧元或前一财年全球收入的 4%。

GDPR 进一步扩大了数据保护范围,以下种种信息都在保护范围内:

  • 公民基本的身份信息,如姓名、地址和身份证号等。
  • 网络数据,如位置、IP 地址、Cookie 数据和 RFID 标签等。
  • 医疗保健和遗传数据。
  • 生物识别数据,如指纹、虹膜等。
  • 种族或民族数据。
  • 政治观点。
  • 性取向。

公民的数据权利被强化保护,条例中有 4 条提到了“用户许可”:

  • 在用户许可的情况下处理数据,数据控制者应能够证明数据主体同意处理其个人数据。
  • 如果用户许可是在书面声明中也涉及其他事项的情况下提出的,则同意书应明确指出该许可区分于其他事项。同意书应使用清晰明了的语言,方便用户理解和区分。构成违反本法规的此类声明的任何部分均不具有约束力。
  • 数据主体有权随时撤回其许可。撤回许可不应影响撤回前基于许可的其他处理的合法性。撤销用户许可应该同授予时一样容易。
  • 用户许可必须是自由做出的。这意味着数据主体在做出许可时,其选择是真实的,例如,不存在受到胁迫或者欺诈的风险。如果数据主体受到数据控制者的影响(例如,数据控制者是数据主体的雇主,或者是一个公共权威),则考虑到此类关系的性质,许可并不被认为是自由做出的。

这其实是在明确用户许可的获取过程,也是在规范这些用户许可的使用。在互联网上,因为一个“同意”而导致无穷尽的后果应该通过法律法规来避免。

GDPR 对数据泄露的行为会做出高额惩罚,同时对企业的数据管理角色及其责任进行了规范,这其中包括:

  • 数据控制员(Data Controller):明确个人数据的处理方式和目的,确保外部承包商能够遵守相关规定。
  • 数据处理员(Data Processor):可以是维护和处理个人数据记录的内部团队人员(如业务分析师),也可以是参与数据处理的任何外部服务提供商的员工。GDPR 要求数据处理员为违规行为负责。
  • 数据保护员(Data Protection Officer,简称 DPO):核心活动涉及处理或存储大量的欧盟公民数据、特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定 DPO,DPO 主要负责基于 GDPR 提供咨询意见,并向最高管理层报告。

必要的流程管控是提升安全性的重要手段,设置必要的岗位也非常重要。DPO 会逐渐成为数据安全领域的一个重要角色。

除了明确岗位职责,GDPR 还对数据存储安全保护提出了要求:

  • 明确数据保护方法。
  • 将安全性体现在与合作伙伴、服务提供商签订的合同上。
  • 对数据进行加密或假名化。
  • 制定对风险评估做出回应的安全措施。
  • 若想保留数据以进行额外处理,就必须采取相应的保护措施。

GDPR 特别将加密作为安全性要求。对于很多企业来说,做好加密工作是非常迫切的。要知道,很多泄密事件都是数据未加密存储导致的。

GDPR 生效以来,已经开始发挥威力,2019 年已针对 Google 做出一则判罚:

英媒称,法国 1 月 21 日首次援引欧盟严格的 GDPR,宣布向 Google 罚款 5000 万欧元。

据路透社报道,法国资料保护办公室 CNIL 称,Google 的隐私条款难以被用户理解,尤其在个人化广告上,用户难以管理个人资料如何被使用,因此被判决。Google 发表声明称,用户期待高度透明的数据运用及对隐私的自我控制,而 Google 也一直承诺确保达到预期,会研究判决再决定下一步行动。

报道称,两个团体去年 5 月代表约 1 万名民众发起诉讼,指出 Google 在 Android 系统的部分应用程序中表示除非用户同意条款否则不提供服务,这属于“强制用户同意”的行为。这是 GDPR 落实以来的首个案例。根据 GDPR 的规定,企业可被判罚 2000 万欧元或前一财年全球收入的 4%,以最高者为准。

其实不仅仅是互联网公司,传统企业同样面临着数据保护、数据加密的挑战。在中国,数据泄露的事件同样层出不穷。尤其是在使用数据库的环境下,数据备份、数据传输都需要置于可信的环境下,避免备份被窃取,数据被篡改。

无论如何,任何企业都需要不断加强数据安全和隐私保护的建设,GDPR 在某种程度上为企业加强了推动力。

本文选自《Oracle DBA手记 4,数据安全警示录(修订版)》。本书第一版最初写于 2012 年,转眼已有 8 个年头,当时还是 Oracle 10g 的天下,而现在 19c 已经发布。作品中对读者和企业而言最有价值的经验分享,来自作者这些年来的不断记录、不断完善,将职业生涯中的所见所闻,那些有关数据的风险和灾难如实地刻画下来,旨在给读者警示,引发思考,进而采取行动,制定原则,得以规避和防范问题。本文左下角阅读原文可以一键开启「警戒模式」,让你的数据,让你的团队,让你的企业,驶入数据安全斑马线!

内容简介:本书源于众多实践案例的总结,我们将大量的数据安全事件、数据库安全漏洞、Oracle数据库灾难恢复案例融合于一体,进行了详细的阐述和分析,并总结形成了指导企业规范运维、强化管理、规避灾难的指导原则。

通过概括总结形成的数据库运维原则,本书希望能够给企业运维管理者以警示,通过提前预防措施和规范化管理避免遭遇到书中描述的种种情形;此外,本书还通过复杂的Oracle数据库灾难恢复案例,深入阐述了数据库运行和工作的内部原理,希望能为读者的深入技术探索提供帮助。

本书既适合企业自动化和智能化运维的管理者参考,也适合深入学习数据库技术的读者学习探索。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-08-21,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 前沿技墅 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档