《通用數(shù)據(jù)保護(hù)條例》把更好地管理個(gè)人數(shù)據(jù)的責(zé)任放到了企業(yè)身上。但他們知道GDPR定義的個(gè)人數(shù)據(jù)都在哪兒?jiǎn)?有些領(lǐng)域可是很容易被忽視掉的。

歐盟的GDPR將極大改變公司企業(yè)對(duì)待數(shù)據(jù)保護(hù)的態(tài)度與方法，安全團(tuán)隊(duì)響應(yīng)度退居次席，{加粗}找出個(gè)人數(shù)據(jù)存放點(diǎn)的速度和準(zhǔn)確度被提上前臺(tái)。個(gè)人數(shù)據(jù)問題成為公司企業(yè)最擔(dān)心的問題。(編者注：這也是BigID之所以獲得RSA創(chuàng)新沙盒冠軍的關(guān)鍵原因)

5月25日正式生效的閘門即將落下，很多企業(yè)卻依然持有大量個(gè)人可識(shí)別信息(PII，從cookie數(shù)據(jù)到設(shè)備標(biāo)識(shí)符再到IP地址都屬于PII范疇)，這些信息廣泛分布在現(xiàn)場(chǎng)系統(tǒng)和云端。在你進(jìn)入這個(gè)模糊的世界之前，你要確定你的業(yè)務(wù)是數(shù)據(jù)控制器還是處理器。

PII是什么?該如何使用?

GDPR之下，個(gè)人數(shù)據(jù)處理涵蓋范圍比之前的本地?cái)?shù)據(jù)保護(hù)法規(guī)要廣。GDPR第2條即聲明，該條例適用于全部或部分通過(guò)自動(dòng)化方式進(jìn)行的個(gè)人數(shù)據(jù)處理，以及除自動(dòng)化方式之外構(gòu)成或擬構(gòu)成歸檔系統(tǒng)一部分的個(gè)人數(shù)據(jù)處理。

于是，個(gè)人數(shù)據(jù)的定義到底是什么?

第4條中，個(gè)人數(shù)據(jù)指“與已識(shí)別或可識(shí)別自然人(數(shù)據(jù)主體)相關(guān)的任何信息;可識(shí)別自然人是可被直接或間接識(shí)別，特別是可被姓名、ID號(hào)、位置數(shù)據(jù)、在線ID或特定于該自然人的物理、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份的多種因素參照的自然人。”

也就是說(shuō)，個(gè)人數(shù)據(jù)包括了IP地址和cookie數(shù)據(jù)，GDPR又引入了諸如主體查閱請(qǐng)求(SAR)、被遺忘權(quán)/刪除權(quán)、數(shù)據(jù)可移植性等新概念。歐盟公民如今有權(quán)知道自己被收集了什么數(shù)據(jù)，而PII廣泛存在于從電子郵件和社交平臺(tái)到人力資源(HR)、人力資源管理(HCM)和顧客關(guān)系管理(CRM)系統(tǒng)的事實(shí)，也成為了公司企業(yè)的擔(dān)憂之源。

范圍界定是第一步

無(wú)論公司規(guī)模是大是小，弄不清數(shù)據(jù)存放位置都是個(gè)大麻煩。那英國(guó)酒吧連鎖店Wetherspoons做個(gè)例子，這家公司明顯刪除了其50萬(wàn)+的電郵營(yíng)銷數(shù)據(jù)庫(kù)并從頭再來(lái)，大概是覺得自己不會(huì)再得到許可，也無(wú)法恰當(dāng)?shù)毓芾聿⒈Ｗo(hù)好那些個(gè)人數(shù)據(jù)了。

當(dāng)時(shí)這家公司在發(fā)給媒體《連線》的聲明中稱：“權(quán)衡之下，我們甚至連客戶的電子郵件地址都不愿持有。我們持有的客戶信息越少，與這些數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)就越小。”

公司企業(yè)需先認(rèn)清自己是數(shù)據(jù)處理者還是數(shù)據(jù)控制者，以及自己手中到底掌握著哪些數(shù)據(jù)。第一步就是識(shí)別出誰(shuí)有權(quán)訪問PII數(shù)據(jù)，以及他們是控制者還是處理者。數(shù)據(jù)的位置也是需要掌握的，比如是不是基于云的郵件系統(tǒng)。接下來(lái)就是查清這些數(shù)據(jù)的風(fēng)險(xiǎn)和安全狀況，確定自動(dòng)化處理過(guò)程。理解那些影響公司的覆蓋GDPR的法律也是正確符合GDPR規(guī)定的重要一步。

找出非預(yù)期PII的步驟

GDPR列出了個(gè)人數(shù)據(jù)處理的6條法律原因：同意、合約、法律義務(wù)、切身利益、公共任務(wù)和合法權(quán)益。一旦識(shí)別出手中PII及其位置，公司就需要為持有這些PII或改變處理過(guò)程找到法律依據(jù)，以便及時(shí)停止引入不需要的PII。

首先，怎樣找出PII?核心運(yùn)營(yíng)系統(tǒng)之外，以下地方是PII最有可能藏身的：

• 云App，包括那些為經(jīng)公司允許的
• 在線文件共享服務(wù)
• 可移動(dòng)載體
• 實(shí)體存儲(chǔ)(文件柜)
• 第三方/供應(yīng)鏈提供
• 臨時(shí)文件
• 沙箱/測(cè)試系統(tǒng)
• 備份系統(tǒng)
• 雇員設(shè)備

GDPR是真正的數(shù)據(jù)保護(hù)條例，無(wú)論是模擬數(shù)據(jù)還是數(shù)字?jǐn)?shù)據(jù);所以我們?cè)撟龅牡谝患戮褪呛蟪芬徊剑h(huán)顧所有可以寫下、打印、掃描或創(chuàng)建資料，并將資料存儲(chǔ)為數(shù)字內(nèi)容的地方。影子IT會(huì)含有很多本不應(yīng)出現(xiàn)在那兒的個(gè)人數(shù)據(jù)，還有可移動(dòng)USB記憶棒和備份系統(tǒng)也是藏匿個(gè)人數(shù)據(jù)的潛在地方。

真的是必須各個(gè)地方都翻找一遍，字面意義上的“各處”，包括文件柜、第三方存儲(chǔ)、文件服務(wù)器等等。弄清個(gè)人數(shù)據(jù)都是些什么是第一步，所以信息分類是前置條件，只有分類了才會(huì)在看到數(shù)據(jù)時(shí)知道是不是個(gè)人數(shù)據(jù)。有些公司企業(yè)不得不二次返工個(gè)人數(shù)據(jù)查找過(guò)程就是因?yàn)闆]在一開始就規(guī)范化自己查找的東西。

或許，Cambridge Analytica 丑聞之后，供應(yīng)鏈也將很快感受到GDPR的效力：供應(yīng)鏈絕對(duì)是個(gè)需要重點(diǎn)翻找的地方。備份和檔案柜也應(yīng)該找找。同時(shí)，應(yīng)謹(jǐn)記：GDPR正好降臨在人類知識(shí)大遷移進(jìn)程的中間。

所謂的大遷移，指的是從現(xiàn)場(chǎng)存儲(chǔ)轉(zhuǎn)移到云存儲(chǔ)。遷移本身不是什么壞事，通常都能降低存儲(chǔ)開支或者避免硬盤存儲(chǔ)空間告急。因此，大多數(shù)企業(yè)都是一股腦整體遷移，連所遷內(nèi)容里都有些什么都不完全了解。肯定會(huì)有各種各樣的敏感個(gè)人數(shù)據(jù)在無(wú)意間被搬到了云端。

測(cè)試系統(tǒng)中也會(huì)用到太多真實(shí)數(shù)據(jù)。對(duì)很多企業(yè)而言，非結(jié)構(gòu)化數(shù)據(jù)會(huì)是個(gè)盲點(diǎn)。共享文件夾、臨時(shí)硬盤等等都是盲點(diǎn)，沒什么簡(jiǎn)單的辦法可以搜索個(gè)人數(shù)據(jù)，個(gè)人數(shù)據(jù)是比更好理解的PII寬泛得多的一張網(wǎng)。

很多公司都會(huì)用第三方服務(wù)實(shí)現(xiàn)員工服務(wù)、工資發(fā)放、養(yǎng)老金、保險(xiǎn)等等。所有此類第三方公司都會(huì)持有客戶公司員工的大量敏感數(shù)據(jù)。不用戴著盡職審查的濾鏡看待這些公司，只需想想這些信息是怎么共享的就夠了。如果裝在加密附件里用電子郵件來(lái)回傳輸，那就不僅是坐等發(fā)往錯(cuò)誤地址的事故發(fā)生，還會(huì)導(dǎo)致更大的問題——該數(shù)據(jù)在內(nèi)部經(jīng)由電子郵件歸檔等途徑迅速增殖。

公司企業(yè)當(dāng)如何邁進(jìn)?

過(guò)程很重要!GDPR要求實(shí)現(xiàn)“恰當(dāng)?shù)募夹g(shù)性和組織性方法以維持適合風(fēng)險(xiǎn)的安全水平”。所以，想要證明公司具備恰當(dāng)?shù)姆椒ǎ琁T基礎(chǔ)設(shè)施和過(guò)程就需要被記錄在案，風(fēng)險(xiǎn)也需要作出評(píng)估。影子IT、滯留、權(quán)限、共享及訪問控制需要留心監(jiān)視，每個(gè)業(yè)務(wù)過(guò)程和GDPR對(duì)這些過(guò)程造成影響的方面都需要納入考慮范疇。

有兩個(gè)關(guān)鍵動(dòng)作應(yīng)優(yōu)先處理。第一個(gè)，設(shè)置管理項(xiàng)目風(fēng)險(xiǎn)和實(shí)現(xiàn)“初始安全”的過(guò)程。第二個(gè)，定義個(gè)人數(shù)據(jù)，執(zhí)行發(fā)現(xiàn)過(guò)程以找出BAU中的個(gè)人數(shù)據(jù)，然后以采用大量關(guān)鍵控制的分流過(guò)程執(zhí)行高層級(jí)的風(fēng)險(xiǎn)評(píng)估，實(shí)現(xiàn)個(gè)人數(shù)據(jù)所需80%的安全。比如說(shuō)，訪問控制審查、日志和監(jiān)視、漏洞管理等等就可以入選十大關(guān)鍵控制技術(shù)。

雖然加密和偽匿名技術(shù)很棒，但它們其實(shí)相當(dāng)不容易實(shí)現(xiàn)。這些技術(shù)用來(lái)保護(hù)數(shù)據(jù)很好，但如果使用不當(dāng)，也會(huì)給公司留下一種數(shù)據(jù)受到保護(hù)的錯(cuò)覺，而實(shí)際上數(shù)據(jù)早已流失。

太多公司企業(yè)其實(shí)連基礎(chǔ)工作都沒做好，比如某家跨國(guó)銀行就壓根不知道自己到底有多少臺(tái)服務(wù)器，這些服務(wù)器都是用來(lái)干什么的。這種企業(yè)恐怕談不上什么GDPR合規(guī)。最好把個(gè)人數(shù)據(jù)篩查和風(fēng)險(xiǎn)評(píng)估的優(yōu)先級(jí)置于任何特定技術(shù)性控制之上。ICO已經(jīng)充分提示了基于風(fēng)險(xiǎn)的方法。而要切實(shí)做到基于風(fēng)險(xiǎn)，查清風(fēng)險(xiǎn)概況是基礎(chǔ)。

公司企業(yè)還應(yīng)避免被供應(yīng)商牽著鼻子走，號(hào)稱提供“GDPR合規(guī)”的產(chǎn)品僅僅是給你針對(duì)某些特定問題的解決方案罷了。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文