浅谈GDPR技术措施中的五个关键场景

几天前，国外调查机构的一项调查发现，在所有受访公司中，只有20%的公司完全符合要求GDPR标准，53%正处于实施阶段，27%尚未开始实施。虽然GDPR合规还有很长的路要走，但与去年的调查结果相比，过去十个月取得了很大的进展。

最近沸沸扬扬Google、Facebook等待著名的互联网制造商被起诉，一旦这些企业因新规定而失败，他们将面临超过50亿美元的罚款，许多在欧盟成员国有业务的国内企业也无法满足要求GDPR合规性和暂停业务只是开始。不得不说，人们对个人隐私数据保护的重视正成为影响企业经营发展的重要因素。作者还认为，欧盟GDPR它将成为世界各地学习互联网安全立法的典范。就中国而言，《 *** 安全法》于2017年6月1日正式颁布实施，第四十条至第五十条阐述了作为数据处理者和管理者的责任和义务。我相信，在不久的将来，中国也将出台更具体的细则和规定来支持 *** 安全法的实施，提高数据主体的权益。

今年5月25日，GDPR欧盟地区正式全面实施，虽然只是欧盟地区实施的法律，但也引起了国际广泛关注。国内安全圈也不例外，一度出现了半个多月的讨论热潮。

在过去的两个月里，我偶尔会在一些平台上看到几篇文章GDPR的文章，但是绝大多数的内容仅仅停留在讨论这部法律的规定有多么严苛，对企业提出了哪些新的要求，极少有文章在实际性的探讨企业通过哪些手段去满足GDPR合规要求(也可能是因为中国在欧洲做生意的企业不多，很多企业不需要为了GDPR改造和优化自己的业务系统)。

昨日看到Freebuf关于推广GDPR简要介绍了课程的视频和开始GDPR如果你还不知道一些背景，GDPR可以直接去看看是什么。

企业组织应为GDPR准备哪些技术措施？

主讲人结合GDPR合规要求从数据流传的几个主要过程中逐一阐述IBM对此的认知和建议。

对应的五个关键技术措施场景：

场景1：发现和分类个人数据

高爽老师说，在GDPR在引入之前，许多企业已经对这些数据进行了一些实践，但这些实践大多是一次性的，没有长期的机制。个人数据收集后，企业内部流动性很强。许多业务链接需要这些数据的支持。只有通过梳理和记录文档的形式不持久，也没有办法动态发现个人数据中的风险。企业需要一套方案或技术手段来对数据进行分类（属性、标签等），并应用于后续的各种安全策略。

场景2：识别和修复数据系统安全风险

也就是说，数据周围的环境安全问题。首先是数据所依赖的环境、数据库、大数据系统等。企业需要不断动态地发现这些基础设施中的安全漏洞。除胸痛设施外，还应监控能够接触到这些数据用户（相关数据库和应用程序账户）的权限，及时发现越权账户并避免处理。

场景3：如何处理跟踪数据？

也就是说，有必要监控数据在内部各个环节的流通过程，发现非法访问并发出警报，并采取隔离措施。用户变更并完全删除个人数据以满足和确认。不仅要保护主动收集的用户信息，还要保护和跟踪从其他数据源收集的数据。

场景四：跟踪数据主体的访问权、更正权、删除权等权利

及时响应数据主体（个人）的要求（纠正、删除等）。这需要一套标准化的合规流程来整合所需的信息和流程链接。

场景五：组织需要有能力管理和通知安全问题（包括事件调查）

即：应急响应，各企业数据泄露后的应急处理也是GDPR本条规定，企业必须在72小时内向监管机构报告。

通过这段视频，作者从技术场景的角度感到满意GDPR对合规性要求有一定的了解(稍微吐槽一下，硬广略多，期待大厂专家多分享干货，少卖广告)“出海”毕竟，国内企业处理公共个人数据乎有什么实际意义？……当然，作为一名多年的大数据从业者，作者对如何帮助企业满足国内法律要求也有一般的技术理念，可以满足GDPR合规要求必须符合国内法律要求，你说呢？