数据保护是一个热门话题，尤其是在Facebook和Equifax破产之后。然而，它一直是企业安全主管和合规官员认真关注的主题。

Facebook和剑桥分析(Cambridge Analytica)丑闻是数据滥用后果的一个很好的例子，也提醒我们，需要制定强有力的数据监管法律，而不是自我监管或指导方针。政府控制和私人控制公共数据的困境一直是一个争论的问题，并且将继续如此。然而，GDPR将对负责持有公共数据的组织带来大量的检查和控制。

GDPR(通用数据保护条例)将通过帮助恢复对使用个人数据的组织失去的信任，对组织和消费者都发挥至关重要的作用。这意味着为组织实施严格的规则，并在不遵守和违规的情况下，以潜在的严重后果为后盾。遵守GDPR要求的不仅仅是基本的数据丢失预防或数据丢失后报告。它还要求组织设定预先定义的协议和预防措施，以防止数据的丢失。它还建议组织使用预测工具来预测攻击，并采取适当的行动来防止潜在漏洞的利用。

GDPR的实施:何时实施，对谁实施?

• 从2018年5月25日起，GDPR将对所有在欧盟(EU)设有办事处、在欧盟国家开展业务(即使总部设在其他地方)的组织，或直接或间接参与欧盟公民数据管理的公司实施。基本上，所有涉及处理、存储或传输欧盟公民个人数据的组织都有义务遵守GDPR，无论它们位于哪里。
• 另外，本规定替代数据保护指令95/46/EC并增加了各种条款和检查点，比早期的数据保护指令严格得多。
• 它还扩大了数据保护的定义和受监管的数据类型，包括基因、医疗、经济、文化和社会数据。
• GDPR将评估数据保护和整体安全水平，以确定该组织是否受GDPR法规的覆盖。

GDPR的主要挑战

GDPR新法规面临的主要挑战:

• 在GDPR下，法规是复杂的，有近500条要求，将影响治理和网络安全。
• 组织必须在得知任何违规行为后72小时内通知当局。这就需要更好的数据泄露检测和快速响应能力。然而，许多组织目前难以在给定的时间框架内识别和调查数据泄露，这导致了能见度差距，拖延了调查。此外，非标准化流程和缺乏检测异常的有效分析进一步影响了时间框架。
• GDPR的实现必须从应用程序的初始开发阶段开始。所有开发人员都必须添加额外的层，以测试漏洞，因为应用程序漏洞可能导致意外或无意的数据丢失。应用程序开发人员需要在设计过程中重新考虑风险和隐私，安全专业人员需要找到更好的方法来保护当前使用的应用程序。
• 在28个不同的欧盟国家，违反GDPR的行为将被处以高达2000万欧元的罚款，或该公司全球年收入的4%，以较大者为准。因此，如果小规模企业违反规定，将面临罚款问题。此外，GDPR中还单独讨论了处罚，其中还包括:
  1. 对不遵守客户同意条款的处罚。
  2. 对不遵守保存记录的处罚。
  3. 处罚也适用于两个控制者¹和处理器²．因此，云提供商也不例外，因为他们可以是数据处理器。
• 这些法规的采用不仅会增加组织的整体数据管理和云服务成本，还会增加每台设备的物联网服务成本，到目前为止，这一成本一直相对较低。中国的全球参与者尤其需要确保物联网模块内嵌密钥(硬件安全)，以确保认证和强大的云安全。

消费者同意针对Vizio窥探用户观看习惯的诉讼，仅以220万美元和解。然而，根据GDPR，此类情况的惩罚和影响将会高得多。

• 从2014年开始，Vizio生产的电视能够自动追踪消费者正在看什么，并将数据传回服务器。Vizio走在前面一步，通过远程安装跟踪软件对老款机型进行改造。FTC和AG声称，所有这些都是在没有通知消费者或得到他们同意的情况下进行的。
• Vizio收集了屏幕上的像素，并将其与电视、电影和商业内容的数据库相匹配。Vizio还识别了来自有线或宽带服务提供商、机顶盒、流媒体设备、DVD播放器和无线广播的观看数据，这些数据每天从数百万台电视中产生多达1000亿个数据点。
• Vizio将消费者的观看历史卖给广告商，将个人观看习惯卖给内容提供商。该公司甚至将消费者的IP地址提供给数据聚合器，然后由数据聚合器将该地址与单个消费者或家庭进行匹配。Vizio与第三方签订的合同禁止重新识别消费者和家庭的姓名，但允许提供大量其他个人信息，例如性别、年龄、收入、婚姻状况、家庭规模、教育程度和房屋所有权。Vizio让这些公司能够跨设备追踪和锁定其消费者。
• Vizio不得不支付220万美元和解一项诉讼，该诉讼指控Vizio秘密收集用户数据并将其出售给第三方。
• 如果这种情况发生在欧盟，并且根据GDPR，处罚将更加严厉。

资料来源:联邦贸易委员会诉Vizio Inc. (No. 2:17-cv-00758) 2017

GDPR带来了什么?

• 物联网应用和解决方案将产生巨大的数据，其中一些可能是个人数据。物联网生态系统的可持续增长将取决于这些数据的安全。GDPR的实施将对物联网生态系统的平稳发展起到至关重要的作用。
• GDPR正在改变保护客户数据的意识水平，并增加收集客户数据的问责制。同时，提高消费者群体的信心和组织的声誉。
• 标准化安全政策，严格执行数据保护措施，使机构对需求有所准备，并为核心业务计划做好准备。然而，GDPR的主要目标不仅是为组织提供“准备使用”的指导方针，而且还对组织进行每日检查，以确保他们选择数据丢失通知而不是良好的媒体。
• 数字化竞赛已经促使许多组织采用基于云的数据管理。然而，这些数据的存储要么没有加密，要么缺乏访问云服务的多因素身份验证。然而，在GDPR实施后，所有这些组织都将负责，不仅是在数据丢失的情况下，而且在数据保护的协议和方法上。
• GDPR不仅将为该计划制定治理框架，并协助技术实施活动，还将成为网络安全解决方案提供商的营销和广告流行语。

前景:

数据的使用有可能改变一个国家的观点，影响个人的选择，这些选择超越了对隐私的关注。未来，数据将是最有价值的资产之一，对其的保护将是强制性的。数据获取的攻击率总是趋向于增加。然而，GDPR等法规确保了组织机构会重视安全。除了GDPR和其他合规法规外，政府和行业主管部门，如美国国家标准与技术研究院(NIST)，正在加紧对物联网制造商实施隐私、安全和安全法规。此外，GDPR的实施已经在世界范围内产生了连锁反应，例如，中国的《个人信息安全规范》已经在2018年5月1日实施，印度的《数据保护法规》已经在制定中。

业界正在分析GDPR的优缺点。然而，我们相信这将推动组织增加额外的安全级别，一些人认为这是不必要的开支。在数据安全的组织预算和数据保护方面的员工培训方面的重大变化将是强制性的。总的来说，GDPR将使组织保持警惕——出错的潜在成本已经变得更大了。

控制人(Controller)指单独或与他人共同确定个人数据处理的目的和方法的自然人或法人、公共当局、机构或其他机构;如果这种处理的目的和方法由欧盟或成员国法律确定，则可由欧盟或成员国法律规定控制人或指定控制人的具体标准。

处理器是指代表控制者处理个人数据的自然人或法人、公共当局、机构或其他机构。