|
|
51CTO旗下网站
|
|
移动端

企业如何做好隐私保护,避免GDPR的处罚

不少CIO最近都接手一个用户隐私保护的工作,尤其是跨国企业。这是因为半年前欧盟启用了GDPR。

作者:阿郎来源:CIO进化论|2018-11-02 10:17

【51CTO.com原创稿件】不少CIO最近都接手一个用户隐私保护的工作,尤其是跨国企业。这是因为半年前欧盟启用了GDPR(通用数据保护条例),企业高管一般都认为CIO是负责GDPR的关键人物,所以CIO也就理所当然地扛起来了这个大梁。

然而这个工作和CIO关系确实不太大。一方面,GDPR的合规工作需要多个职能部门的配合;另一方面,这与CIO的主要职责几乎没什么交叉。

*图片来自包图网

GDPR 的影响是辐射到全球各地的,包括为欧盟公民提供服务和/或商品的中国企业。于是,不少中国的CIO不得不接下这个“烫手的山芋”。一但处理不好就有可能面临罚款,金额是2,000万欧元或全年总收入的4%,取高者。注意:是收入不是利润。Veritas认为应对的方法有以下5步,然而这里讲得比较笼统,并没有讲清楚保护什么,具体要采取什么措施。 

可是具体要保护哪些隐私,要怎么保护这些隐私,目前国际上的隐私保护能做到什么程度?这些才是CIO最关心的内容。

下面是根据Airbnb高级工程师李聪讲解的《隐私与系统架构》整理出来的,对于隐私保护的内容和方法讲得比较详细。

用户隐私包括物理隐私(例如身上长了个包不想为人所知)和信息隐私(本文的主角)。信息隐私涉及三个主体:一是Subject(信息本体),即拥有这个信息的人;二是Controller(信息保管方),即保有这个信息的企业或组织;三是(Processor)信息处理方,即可用接触到这个信息的企业和组织。

例如,一个人的身份信息存储在银行,这个人就是这个信息的Subject,银行是Controller,银行和会接触到这个信息的第三方公司就是Processor。

他们之间的关系是Subject许可后二者怎么使用隐私,而且可以知道他们掌握了自己哪些信息,还要可以随时能够拿走这些信息。另外Subject可以要求删掉自己的信息,Controller也要主动删除一定时间前的用户隐私。

但是,这些对于企业来说是很难做到的,就像他们掌握了用户哪些信息,可能自己都不知道。例如一位用户要是问谷歌都掌握了自己哪些消息,可能谷歌根本答不上来,因为它可能连用户家里上网的速度都保存了下来。

这一点做不到,后边的几点就更难做到了。那么,该怎么样才能做到这些要求呢?总的有以下四点。

确定自己需要用户哪些信息。例如,有些聊天软件必须要用户提供地理位置信息才能使用,这点设计就不合理;

制定隐私政策。公司根据需求和法律来制定信息收集和处理政策;

及时修改。对比目前的隐私政策和实际情况,及时进行修改;

实现。这一点接下来会讲到

有一个基本准则叫PbD(Private by design,隐私设计)设计得非常好,很多公司都在使用,里边有七条准则。

隐私在企业的生命周期应该有以下过程:设计-收集-处理-存储-修改-删除(或自动删除)。

隐私的粒度问题是比较具体的内容,要规划好每个API、数据库、Log和内存中都能保留哪些隐私,要怎么修改和删除这些内容。会不会有删除了这个位置的隐私,其他位置还保留着这些内容。

用户需要写入、修改和删除隐私内容时,要保证每个位置的信息同步。这对于任何企业都是非常困难的事,要实现还要很长的路要走。

为了保证信息安全很多企业都使用“3A准则”,即Authentication(认证)、Authorization(授权)和Audit(审计)。

用户和管理员登录时需要认证;调用和修改用户隐私时需要审核当前用户是否有授权;还需要对获取用户隐私的行为审计。这里需要提到一点,3A准则针对的对象不仅是人,还有机器。

隐私对企业的影响相当大,如果有了这方面的问题,会受到以下四方面影响:罚款、名誉、信任和市值。

最后说一下目前企业需要加强的地方。这里讲的比较多的是隐私信息泄露后的处理方式。

扫码查看更多CIO文章
 
加入【CIO & IT经理精英汇】微信交流群请联系群管理员(群管理员ID:CIOAge)。 申请入群请注明所在公司+职位。
 

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

【责任编辑:张昂 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

视频课程+更多

图解Python视频教程(高级篇)

图解Python视频教程(高级篇)

讲师:张荣超161603人学习过

VMware vSAN 6.6视频课程

VMware vSAN 6.6视频课程

讲师:郝旺25971人学习过

区块链全栈开发-以太坊DAPP开发实战

区块链全栈开发-以太坊DAPP开发实战

讲师:熊丽兵10297人学习过

读 书 +更多

Reversing:逆向工程揭密

本书描述的是在逆向与反逆向之间展开的一场旷日持久的拉锯战。作者Eldad Eilam以一个解说人的身份为我们详尽地评述了双方使用的每一招每一...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊