我们生活在日新月异的快节奏社会。在过去的十年,数据极大“改变”了我们的生活。但是在不久的将来,数据可能会“颠覆”我们的生活。在这一趋势当中,企业和组织必须要作出牺牲和改变,才能与时俱进、检验并紧跟新技术、与科技俱进。
缘于对网络安全、数据安全的重视,《网络安全法》在2017年6月1日起正式施行,对企业加强网络安全建设提出了要求和约束。对于走出国门的国内企业和入驻中国的全球企业来说,除了中国的《网络安全法》,还需要了解近日即将正式施行的欧盟《通用数据保护条例》(GDPR)。
或许对大家来说,GDPR已不是一个陌生的概念。相反,它早就渗透到了人们的生活当中。因为早在2012年,欧盟委员会便提出立法倡议通过GDPR,意在对1995年的数据保护条例作出全面改革。从立法倡议到具体方案,GDPR的落地经历了一段艰难而又漫长的旅程。很快,它将以惊人的速度进入人们的生活。在历经了数不清的会谈磋商、实况报道、建议听取与辩论探讨后,GDPR的过渡期即将在2018年5月结束。届时,任何企业组织违反条例的行为都将面临严厉处罚。
在两年的过渡期间,人们已经对GDPR的规定有了一定的了解。虽然条例所涉及的法令和文件之多令人惊讶,但鉴于条例影响范围之广,这也就不足为奇了。
新颁布的GDPR条例适用于所有处理及储存欧盟公民个人数据的企业,并将对它们的数据处理方式带来深刻影响。而在如今这个无边界的数据时代中,GDPR也必将影响到欧洲之外的企业。也就是说,任何与欧洲合作伙伴有往来的企业都将受到GDPR管制。虽然现在“英国脱欧”可能是唯一一个比GDPR更热门的话题,但是脱欧几乎不会对GDPR有任何影响。因为正式脱离欧盟后,英国同样需要遵守GDPR条例。
值得关注的是,违反GDPR的企业组织需要支付高额罚金:罚金为前一财年全球总营业额的4%,或最高2,000万欧元,以较高的数额为准。那么,在离条例正式实施仅剩的几周里,确认企业是否合规就显得至关重要。甚至,确认两次、三次、四次……再多次都不为过。毕竟,不是所有企业都有能力承担因“冒险”或“心存侥幸”而导致企业违规并产生的天价罚金。
除此之外,在最后的倒计时期间,以下几点还需引起企业的广泛关注:
上下一心,“全面戒备”
在GDPR即将全面正式启动之际,一些企业或组织正在或已经任命了专门负责数据保护的人员。近来,IT PRO网站上刊登的一篇文章便分析了企业和组织争先恐后任命数据保护专员的现象。
虽然一些企业进度稍有落后,但是任命数据保护专家无疑是“一石二鸟”的明智之举。一方面,在这一特殊时期,数据保护专员能在为确保企业满足GDPR合规要求提供支持。另一方面,他们还是数据保护的行家。数据保护专员能为企业提供数据备份和使用相关工具的专业建议,降低企业在遭受数据攻击时可能蒙受的损失。
哪怕没有任命数据保护专员的打算,企业也需让所有雇员意识到,GDPR条例的实施关系到每一个人。换句话说,企业或组织内的所有关键利益相关方都应清楚了解新条例的要求与效力,以及GDPR将对企业组织运行产生的影响。
组织数据审计
到了这一关键时刻,所有企业都应清楚了解自身储存个人数据的内容、地点、方式、来源、储存这些数据的原因以及获取数据的方式。因为这些可能就是地方GDPR执行机构关心的问题。
那些不够了解自身所储存处理的数据的企业最好尽快做好准备,对上述问题作出解释。因为在2018年5月,所有企业都需对自己的数据处理活动作出合理解释。而对于那些违反条例或无法备份托管数据保证数据安全的企业,官方绝不会宽大处理。高额的罚金并非玩笑。很快,就会有违规的企业成为“前车之鉴”,以儆效尤。
重审个人隐私权
GDPR带来了一系列重大改变,其中之一便是公民将对个人数据享有更大的权利。而这又意味着什么呢?以谷歌为例,在过去3年间,用户要求谷歌删除与其相关搜索引擎结果的请求高达240万次。随着GDPR的实施,人们将会更加意识到自身的数据权利。那么,未来谷歌将收到的结果删除要求数量无疑会急剧增加。
不仅个人的存在感会大大提升,民众还将有权获取个人数据,或要求企业为其提供个人数据(以他们能理解的格式)。反观企业,为了不在满足民众数据需求上花费过多精力,并且在必要时能够找到所需数据,企业需确保使用合理方法为每个数据点定位。
制定方案应对数据泄露
根据GDPR的数据泄露通知要求,企业必须在发现数据泄露的72小时内通知相关部门。但是在发生数据泄露后,企业往往为配合各项调查、采取补救措施而焦头烂额。所以,72小时很可能转瞬而过。
因此,企业最好事先制定合理的方案。如此一来,未来一旦发生数据泄露,企业便能迅速察觉、报告并采取相关措施。
在这一情况下,各类软件工具的作用就得到了凸显——一些软件工具能够帮助企业更加精准地定位备份数据的储存地点,进而为企业提交合规报告节省宝贵的时间;而修复软件能轻松解决相关数据因恶意软件无法使用的问题。
Veeam可以从各方面帮助实现GDPR合规
Veeam已经有了很好的仪表板和报告功能,可以帮助验证是否符合GDPR的某些条款,Veeam在计划外中断之后快速恢复数据访问和可用性方面的能力是市场领先的。同样,Veeam的备份验证功可确保企业能够评估为恢复而保存的数据的有效性,以满足GDPR这方面的要求。
Veeam建议所有客户进行一次GDPR差距分析,评估在合规方面的现状。从数据流映射开始,提供所有个人可识别信息(PII)的位置,开始评估过程,包括谁有权访问,在哪里提高效率,数据应移动到哪里等等。接下来,Veeam会提供更多协助用户制定GDPR合规计划的信息,这些用户既会有要走出去的国内企业,也有将入驻中国的全球企业。
在当代社会,数据正在成为我们最宝贵的财富。毫无疑问,企业应在提升数据可用性、数据质量、数据安全方面不断改进,在壮大业务的同时保证合规。
关于作者
施勤(Jimmy Shi)
施勤是 Veeam 中国区总经理,负责 Veeam 在中国市场的销售、联盟合作伙伴以及 ProPartner 业务。
施勤是 IT 行业内备受认可的商业领袖,在横跨多个技术供应商推动业务发展和人员管理方面拥有丰富经验。
在加入 Veeam 之前,施勤在 Citrix 任职,帮助公司建立了中国区业务,并在过去的 9 年中对业务发展发挥了重要作用。他同时担任华北、华东和华南地区的区域总监。在加入Citrix 之前,施勤是苹果公司华东地区总监,在中国建立了公司的 Pro&Enterprise 业务。他通过与包括戴尔和惠普在内的大型技术供应商合作而累积了丰富经验。
施勤在上海任职,他拥有同济大学工商管理学士学位。
