欧盟GDPR从5月25日开始正式实施。GDPR对数据泄漏有非常重的处罚条例。同时,欧盟企业也希望法规的实施能够促使数据市场更快更好的发展,使相关业务有法可依。GDPR立法针对个人数据保护的核心问题包括:
第一,数据分布的问题
在接触过的客户中,有70%-80%不知道自己的数据在哪里,更没有详细的数据地图。而数据地图,我们认为是做个人数据保护的前提,也是非常关键的内容。
第二,数据应用检测
目前不管是个人还是企业,往往会关注个人的敏感数据的保护,但今时今日,大量不敏感的信息通过数据组合,就会得到大量有价值的信息,所以不敏感信息同样具有重要价值。怎么能够看到这些数据有没有被非法使用?一定要知道有哪些人用了你的数据最终他使用这些数据是为了获得什么?做到这点的时候,我们才能看到这个数据有没有被滥用,个人数据有没有被泄露。
第三,数据流动监测
目前国内,对于数据的流向,数据流到哪里?数据流向目标市场是否安全?数据流出之后是否可追溯?目前这个领域基本都是空白,没有人对流出后的数据进行任何的追溯、审计或者相应保护。
第四,真实数据最小化原则
我们都是搞信息安全,都知道,我们提了很多年的权限最小化原则,我们给每个人的权限应该是他用于工作的最小权限,以此来保障权限不被滥用。数据应用的时候也应该提倡这样的原则,真实数据最小化的原则。现在数据应用有一个非常简单的办法,充分利用数据脱敏数据,只保留需要使用的数据,将其他数据脱敏,从而保证真实数据的最小化。
第五,全生命周期的审计和评估
这里的审计和评估,是从评估到改善,到再评估,再改善,反复循环的过程。目前国内对于数据进行评估的业务还属于空白。国际上许多企业已纷纷开展此项业务。
