本文共字，预计阅读时间。

本周早些时候，Facebook宣布即将成立一个新的隐私中心，帮助公司应对四个月后即将生效的欧洲GDPR数据监管新规。一周后就是数据隐私日，Facebook的声明恰好体现了美国公司在5月25日最晚期限到来前的准备不足。

许多公司并没有关注GDPR，因为他们认为这个规定只适用于欧盟境内公司，或者说他们想看看Facebook或者Google有何举动，然后再做打算。在这里我们有必要提醒各位：只要你隶属于一家美国公司并且经手欧盟公民的个人信息，那GDPR对你就适用。违规后果严重，罚款最高可达2000万欧元或该公司全收收益的4%，取两者中较大值。

GDPR需要团队配合，公司里的每个人都有责任保护数据并了解该监管规则。今天在这篇文章中，我们就简单跟各位聊聊这个话题。

角色与责任

GDPR虽然需要团队配合，但确保合规高效则需要精确分配角色与责任以及部门间联动。以下是每个组织都该知道的三个主要合规参与方。

控制者：这个职务或部门决定目标、条件以及处理数据的方法，但本身并不实际处理数据。同时该职位或部门还负责外部承包商合规并向有关部门及时汇报数据泄漏事件。

处理者：这个职位或部门替控制方处理信息，应由第三方或公司职员担任。处理者应该遵循控制者制定的合同并遵守保密规定。同时，控制者需要利用技术和组织控制手段保护数据，并提供资料证明合规。

数据保护员（DPO）：数据保护员监管合规并和数据保护监管部门保持沟通。DPO向公司最高层管理人员汇报，通常拥有风控经验。注意，DPO不能参与数据处理，否则会造成利益冲突。该职务受保密条款限制。

因为GDPR规定范围不只是网络安全，以下是确保合规所需要的其他业务部门：

法律：GDPR法律事务大部分有关监管范围的定义、公司的易遭攻击点和数据是否被合理使用。法律部门同时还需从合同上确保一切有序进行，比如确保合同中有相关条款规定第三方合规。

IT：IT部门任务量最重。他们需确保IT系统、服务和技术能够保护客户数据并且符合监管规定。

安全：违反GDPR将遭致大额罚款，因此网络安全部门必须尽可能减少数据泄漏风险。最佳做法是在下文提到的六大网络安全点基础上整合努力。

未来规划：以数据为中心的安全项目

各国和机构可能对个人信息有不同的定义，但按照GDPR的定义，个人信息指的是可以被用来识别一个人身份的数据，比如姓名、邮件地址、银行账号信息、社交媒体信息、健康信息等等。GDPR主要关注此类个人信息的搜集、处理和流动，因此合规的最佳做法就是建立以数据为中心的信息安全项目并按以下六点评估。

数据管理：理解并履行你所在机构的GDPR义务。了解哪些数据受监管以及为什么被用来支持业务功能的该数据是重要的。随后再采取其他行动比如分类、管理介入权或制定专门保护措施。

数据分类：为现行管理分析并分类相关数据。数据分类过程即存放数据并将之分类至某一类目（如高度限制、限制、内部使用、公开），这样才能基于相关的业务和监管风险进行相应程度的数据保护。

数据发现：将敏感数据存放在机构内部并为现行管理建立架构。机构必须清楚知道他们受监管数据的存放位置，无论是云端、本地、内部或第三方，有结构或无结构，以及它们被使用的方式。

数据接入：决定谁对数据有和应该有接入权并相应处理请求。知道这一关键信息可以帮助企业保护数据的商业需求并保证除计划目的外数据没有被滥用

数据处理：实施信息安全保护并为可能的泄漏事件做好准备。机构必须明白手上数据以及公司内部、公司之间和应用之间互相流动的数据所伴随的风险，并实施恰当的保护措施。最重要的是，恰当的数据处理在发生意外导致泄漏事件时可以帮助你决定哪些是最重要的，因为GDPR要求公司发生泄漏事件72小时内通报。

数据保护：设立恰当的安全项目保护敏感数据。GDPR要求机构采取技术和组织手段确保与风险相适应的保护程度，但没有具体规定如何实施。

严格监管的带来更多裨益

GDPR对于许多美国机构来说是太过强大的对手，后者根本不敢与之抗衡，更无论输赢。我们不应该将GDPR视为无法解决的难题，相反，它其实能够为公司建立一个有效的安全项目提供机会打下基础（人员、流程和技术）。毕竟，如果你拥有了完善的安全项目，那监管合规包括GDPR合规自然而然就实现了。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文版权归原作者所有，如有侵权，请联系删除。