数据保护是一个热门话题，尤其是在Facebook和Equifax崩溃之后。然而，它一直是企业安全主管和法规遵循人员严肃关注的主题。

Facebook和剑桥分析(Cambridge Analytica)丑闻是数据滥用后果的一个很好的例子，也提醒我们需要强有力的数据监管法律，而不是自我监管或指导方针。对于公共数据，政府控制与私人控制的困境一直是一个争论的问题，而且将继续如此。然而，GDPR将对负责持有公共数据的组织进行大量检查和控制。

GDPR(通用数据保护条例)将通过帮助恢复对使用个人数据的组织失去的信任，对组织和消费者发挥至关重要的作用。这意味着对组织实施严格的规则，并在不遵守和违规的情况下承担潜在的严重后果。GDPR合规性要求的不仅仅是基本的数据丢失预防或数据丢失后报告。它还要求组织制定预先定义的协议和预防措施，首先防止数据丢失。它还建议组织使用预测工具来预测攻击，并采取适当的行动来防止潜在漏洞的利用。

GDPR的执行:何时、对谁?

• 从2018年5月25日起，GDPR将对所有在欧盟(EU)设有办事处、在欧盟国家开展业务的组织(即使总部设在其他地方)，或直接或间接参与欧盟公民数据管理的公司实施。基本上，所有涉及处理、存储或传输欧盟公民个人数据的组织，无论其总部位于何处，都有义务遵守GDPR。
• 此外，本规定取代数据保护指令95/46/EC并增加了各种条款和检查点，比以前的数据保护指令严格得多。
• 它还扩大了数据保护的定义和受监管的数据类型，包括遗传、医疗、经济、文化和社会数据。
• GDPR将评估数据保护和整体安全水平，以确定组织是否受GDPR法规覆盖。

GDPR的主要挑战

GDPR新法规面临的主要挑战:

• 根据GDPR，监管规定很复杂，有近500项要求将影响治理和网络安全。
• 企业必须在发现任何违规行为后72小时内通知有关部门。这就需要更好的数据泄露检测和快速响应能力。然而，许多组织目前正在努力在给定的时间框架内识别和调查数据泄露，这导致了可见性差距，从而推迟了调查。此外，非标准化的流程和缺乏有效的分析来检测异常，进一步影响了时间框架。
• 实施GDPR必须从应用程序的初始开发阶段开始。所有开发人员都必须添加一个额外的层，以测试漏洞，因为应用程序漏洞可能导致意外或无意的数据丢失。应用程序开发人员需要在设计过程中重新考虑风险和隐私，安全专业人员需要找到更好的方法来保护当前使用的应用程序。
• 在28个不同的欧盟国家，违反GDPR规定的罚款将高达2000万欧元，或该公司全球年收入的4%，以较大者为准。因此，小规模企业将面临违规罚款的担忧。此外，GDPR还单独讨论了处罚措施，其中还包括:
  1. 对不遵守客户同意条款的处罚。
  2. 不遵守保存记录规定的罚则。
  3. 处罚也适用于两个控制者¹和处理器²．因此，云提供商也不能幸免，因为他们可以是数据处理器。
• 这些法规的采用不仅会增加组织的整体数据管理和云服务成本，还会增加每台设备的物联网服务成本等，到目前为止，这些成本一直相对较低。中国的全球玩家尤其需要确保物联网模块嵌入密钥(硬件安全)，以确保身份验证和强大的云安全。

消费者同意:一起针对Vizio窥探用户观看习惯的诉讼，最终仅以220万美元和解。然而，根据GDPR，此类情况的处罚和影响将高得多。

• 从2014年开始，Vizio生产的电视可以自动跟踪消费者正在观看的节目，并将数据传输回服务器。Vizio领先一步，通过远程安装跟踪软件来改造旧型号。FTC和AG声称，所有这些都是在没有通知消费者或征得他们同意的情况下进行的。
• Vizio收集了屏幕上的像素，并将其与电视、电影和商业内容的数据库相匹配。Vizio还确定了来自有线或宽带服务提供商、机顶盒、流媒体设备、DVD播放器和无线广播的观看数据，这些数据每天从数百万台电视中贡献了多达1000亿个数据点。
• Vizio把消费者的观看历史卖给了广告商，把个人观看习惯卖给了内容提供商。该公司甚至将消费者的IP地址提供给数据聚合器，然后由数据聚合器将地址与个人消费者或家庭进行匹配。Vizio与第三方签订的合同禁止通过姓名重新识别消费者和家庭，但允许提供许多其他个人信息，例如性别、年龄、收入、婚姻状况、家庭规模、教育程度和房屋所有权。Vizio允许这些公司在不同设备上跟踪和定位其消费者。
• Vizio不得不支付220万美元来解决一项诉讼，该诉讼指控该公司秘密收集用户数据并将其出售给第三方。
• 如果这件事发生在欧盟，根据GDPR，处罚将更加严厉。

资料来源:联邦贸易委员会诉Vizio Inc. (No. 2:17-cv-00758) 2017

GDPR带来了什么?

• 物联网应用和解决方案将产生巨大的数据，其中一些可能是个人数据。物联网生态系统的可持续增长将取决于确保这些数据的安全。GDPR的实施将对物联网生态系统的顺利成长发挥至关重要的作用。
• GDPR正在改变客户数据保护的意识水平，并增加收集客户数据的问责制。同时，提高消费者群体的信心和组织的声誉。
• 标准化的安全政策和严格的数据保护实践，将导致组织准备的需求和核心业务计划。然而，GDPR的主要目标不仅是为组织提供“随时可用”的指导方针，而且还对组织进行日常检查，以确保他们选择通知数据丢失而不是良好的新闻报道。
• 数字化的竞争已经促使许多组织采用基于云的数据管理。然而，大部分数据存储时没有加密或缺乏访问云服务的多因素身份验证。然而，在GDPR实施后，所有这些组织都将负责，不仅是在数据丢失的情况下，而且在数据保护的协议和方法上。
• GDPR不仅将为该计划制定治理框架，并协助技术实施活动，还将成为网络安全解决方案提供商的营销和广告流行语。

前景:

数据的使用有可能改变一个国家的观点，并影响个人的选择，超出隐私的范畴。展望未来，数据将成为最有价值的资产之一，其保护将是强制性的。针对数据获取的攻击率总是有增加的趋势。然而，像GDPR这样的法规确保了组织会注意安全。除了GDPR和其他合规法规外，各国政府和行业权威机构(如美国国家标准与技术研究院(NIST))正在加紧对物联网制造商实施隐私、安全和安保法规。此外，GDPR的实施已经在全球范围内产生了连锁反应，例如中国的《个人信息安全规范》已于2018年5月1日开始实施，印度的《数据保护监管法》已在制定中。

业内人士正在分析GDPR的优势和劣势。然而，我们相信这将推动组织增加额外的安全级别，一些人认为这是不必要的开支。在数据安全的组织预算和数据保护方面的员工培训方面的重大变化将是强制性的。总的来说，GDPR会让组织保持警惕——犯错的潜在成本已经变得更大。

控制者是指自然人或法人、公共当局、机构或其他机构，单独或与他人共同确定个人数据处理的目的和方式;如果此类处理的目的和方式由欧盟或成员国法律确定，则控制者或其提名的具体标准可以由欧盟或成员国法律规定。

处理者是指代表控制者处理个人数据的自然人或法人、公共当局、机构或其他机构。