2018年5月生效的欧盟《通用数据保护条例》(GDPR)震撼了全球的企业,尤其是在欧盟,各组织争相在合规期限前充分达标。两年后,人们看到,拥有欧洲子公司的跨国公司或被迫遵守规定或面临巨额罚款。
很明显,当我们展望GDPR的未来时,该规定对企业和对数据保护的追求产生了持久的影响,但是新规定并没有像许多人希望的那样成功。
GDPR的初衷
GDPR主要目的是为消费者提供更强的个人数据隐私保护,其次要目标是通过实施从欧洲开始的统一保护来简化对国际业务的监管。GDPR旨在进一步把欧盟定位为全球技术的领导者,并为制定严格的公司税政策开辟道路。
然而,GDPR的实施并不顺利。为了保护公民的个人信息,政府制定了严格的法规,规范数据在欧洲以外的传输。通过规定企业的数据管理,赋予人们个人数据保护权。这引发了大规模的招聘浪潮——各地的企业都在招聘合规经理,以监督新的GDPR法规,并确保客户数据得到妥善管理,以避免罚款。对违规行为处以巨额罚款,对大公司来说是一种麻烦,对小公司来说也是一种潜在的威胁。
GDPR没有做什么
制定该法律的明确意图是实施强有力的数据保护政策,以更好地保护个人数据。但GDPR在两个已被预测的领域表现不佳:它未能显著刺激欧洲经济,也没有在终端用户中逐渐增强信任,使他们相信自己的数据更安全或更私密。各公司开始急于弄清楚如何处理这一规定,并恰当地核实数据的处理是否符合新法律的规定,以及如果客户要求拿到自己的数据备份,数据是否可以恢复或删除。
虽然增加了隐私条款,但没有简单的方法来追踪企业是否真的在做出改变,。且在客户方面,现在一个新的烦恼和额外的“点击”需求是必需的,但用户无法知道这一步是否对保护隐私有用,也无法知道每次浏览器启动时都会弹出的“接受cookie”表单背后到底是什么。
GDPR的影响:世界发生了三大变化
任何重大法规的颁布都会迎来不同的挑战。自2018年GDPR实施以来,全球商业格局发生了三个重要变化。
1、数据隐私保护现在比以往任何时候都更重要,不仅在欧洲,而且在全世界范围内。数据保护具有许多层,但支持该保护的核心技术之一是加密,最近由于GDPR和美国的《加州消费者隐私保护法》(CCPA),加密的需求激增。事实上,波耐蒙研究所(Ponemon Institute)最近的一项研究显示,在19年度,48%的受访者表示,他们的企业制定了一个整体加密计划,将在整个企业内持续存在。而10年前这一比例还不到30%。
2、现在,可以更加详细地了解发生漏洞的时间和地点。据报道,欧洲主管部门在GDPR实施后的第一年收到了近65000个数据泄露通知,以及超过200000个有关组织数据保护做法的投诉。各地的组织都在增加网络技术要求的安全措施,以避免与客户数据泄露相关的公众关注和潜在的公关噩梦。
3、随着监管的加强和对数据泄露的担忧加剧,加密技术的采用达到峰值,加密密钥管理已成为数据保护过程中的一个关键要素。企业密钥管理系统对于有效地集中创建和管理所有密钥,确保数据免受外部威胁以及满足GDPR法规的要求至关重要。世界上每个使用加密的应用程序还需要一个密钥管理器来管理谁应该访问数据和有关该数据的使用过程,以确保只有负责数据管理的人员才有访问权。
GDPR的未来
显然GDPR肯定会随着时间的推移而继续发展,并且由于该法律的出台,世界出现了一些新的趋势。公司将继续遵循严格监控的趋势,以确保达到合规性,避免面临巨额罚款;企业会寻找新的方法,通过在整个企业范围内(从边缘到数据中心再到云)使用密钥管理系统(KMS)实施加密,来寻找经济实惠的方式来保护个人身份信息。当然,组织也会建立更好的政策与公民沟通,设计流程使人们能够控制自己的数据,明确数据存储位置应在何处,以及发布保护和检索的指南。
*本文出自SCA安全通信联盟,转载请注明出处。(SCA安全通信联盟原创文章对外开白,欢迎加微信MrYe9173751开白)