GDPR給物聯網發展帶來了巨大的挑戰。Kate O Flaherty提出了企業物聯網10點計劃，旨在保護您的企業，尤其是您的客戶。

一旦歐盟的一般數據保護條例(GDPR)于2018年5月25日生效，企業如果發生數據泄露可能要面臨高達年收入百分之四的罰款，同時，英國也會將其納入法律條文范圍。在信息時代，尤其是Facebook /劍橋Analytica“違規”等丑聞發生之后，監管機構更是非常重視數據保護。

[[230579]]

對于物聯網(IoT)而言，GDPR合規性更具挑戰性，因為獲得在物聯網網絡中處理個人數據的知情同意可能很困難。此外，GDPR主張“隱私設計”，這是物聯網設備之前所不悉知的，盡管最近行業和政府在積極采取行動來改變這種情況。

但遵守并不是不可能的，事實上，物聯網企業在保護數據方面更加積極，隨著用戶信任的增加，商業獲益也將增加，GDPR可能會扮演競爭區分的角色。

那么，在GDPR法規實施之前，企業必須考慮的10件事情是什么?

1. 了解您收集和處理的數據

專家建議物聯網應用企業評估他們收集的信息是否為個人數據。但請注意：如果您不收集個人信息，那并不意味著您不在法規的約束范圍之內。

正如EMEA安全培訓專家、網絡安全倡導總監Adrian Davis所指出的那樣：“如果您僅僅是從物聯網設備收集傳感器數據，不要以為您不受GDPR約束，你應該知道你的數據在哪里、它是如何受到保護的以及如果出現問題該怎么辦。”

安全支付供應商Nuggets創始人兼首席執行官Alastair Johnson認為一些企業需要重新考慮他們如何存儲數據。他認為諸如客戶端加密和區塊鏈等技術可能有助于保護企業。

“在發生數據泄露事件時，這種類型的技術堆棧可以減輕企業可能面臨有關GDPR的罰款風險：企業數據庫中沒有存儲任何用戶數據供惡意者偷盜。”

2. 了解知情同意

根據GDPR要求，在處理個人數據時必須征得知情同意。但是，律師事務所Shulmans LLP的助理Helen Goldthorpe指出，處理數據有幾個方面，其中知情同意“僅僅是其中一個”，另外還包括合同要求和合法利益，例如，數據是否用于維護員工安全。

3. 知曉知情同意和GDPR適用于整個供應鏈

安全企業Clearswift的高級副總裁Guy Bunker說，許多物聯網企業沒有意識到客戶可以撤銷知情同意并且有“被遺忘的權利”(讓他們的所有數據永久被刪除)。 當知情同意撤回時，您的供應商也必須刪除此信息。

“物聯網企業需要思考的不僅僅是獲得知情同意，他們需要考慮如果撤回知情同意并且客戶要求刪除所有的數據時會產生什么影響。在某些情況下，你可能需要做大量的工作。”

4. 記錄你所做的一切，以達到GDPR的要求

這些法規要求企業記錄他們所有的數據處理過程。(ISC)2的Davis說，這樣做的好處在于：“如果你有問題并接受調查，你可以證明你做了所有應該做的事情，但它還是出狀況了。”

事實上，正如科技研究集團Gigaom的分析師Jon Collins所解釋的那樣，GDPR的出臺并不是為了找企業的麻煩，它的目的是防止濫用數據。他說：“知曉你的所作所為，說出你正在做的事情，并且按照你所說的去做，這是一個非常好的檢查方法，如果你是那種真正希望做正確事情的企業組織，那么監管就不會找你的麻煩。”

5. 意識到隱私設計的重要性

隱私設計是GDPR的規定之一，在物聯網中，不僅僅是后端系統，對所有的設備和軟件都同樣適用。

Synopsys Software Integrity Group安全策略師Steve Giguere解釋說：“僅通過保護物聯網設備無法實現GDPR合規性，因為它們通常僅僅只是更大生態系統的一部分。”

“安全和隱私政策必須建立并應用于收集個人信息的物聯網設備以及傳輸和處理數據的網絡和后端系統。”

Shulmans LLP的Goldthorpe補充說，產品“需要從頭開始開發”。例如，她說：“您應該有能力刪除數據以符合主體訪問權限。”

“另外，請盡早了解設備如何收集數據，因此如果被問到，你才知道如何進行解釋。使用較舊的設備時，請決定是否需要一并收集該數據。”

6. 基本的安全方法將有助于您遵守合規性

Clearswift的Bunker說，基本的安全方法，例如確保所有系統都是打補丁的非常重要。“由于物聯網世界很脆弱，保持這些系統的最新狀態非常重要，但這些基本的東西常常被忽視。即使你擁有世界上最好的系統，如果有人仍然在內部犯錯誤，那就可能造成違規。”

Gigaom的Collins說，這也適用于制造系統。“如果你現在還沒有考慮到確保這些安全性，那么你最好快點開始。”

“許多物聯網企業只考慮到非常低級別的數據安全性，例如加密，他們沒有考慮更復雜的攻擊，例如拒絕服務(DoS)和數據被操縱，以及圍繞此過程的一些其他流程。”

7. 將GDPR看作是一個商業競爭區分因素

正如我們在劍橋Analytica和Facebook丑聞中看到的那樣，信任是數據保護未來不可或缺的一部分。Bunker表示：“GDPR并不是用來罰款的，而是用于增加企業的信任度，如果你做得對，那信任就會增加，從而獲得競爭優勢。”

8. 記住GDPR合規性時刻在進行

即使你認為你的企業組織已經符合了監管要求，重要的是要記住GDPR合規不是終點，它時刻都正在進行中。“在某些方面，這更有價值，”Bunker說。

這不僅僅是符合要求即可，而是應該越來越好。

9. 考慮聘請數據保護官員

數據保護官員(DPO)將是公共當局的強制性要求，對于任何其核心活動包括大規模定期和系統監測數據的企業來說，都是強制性要求。

這意味著任何大規模的物聯網使用企業都可能需要聘用DPO作為GDPR合規的一部分，當然，這需要一位高級責任人。

在進行任命時，Goldthorpe建議組織應該采取措施避免任何利益沖突：“理想情況下，如果您是一個大型企業，將DPO置于合規職能范圍內是合理的。”

10. 隨時準備作出回應

Davis說，隨時準備好經過測試、排練和更新的管理計劃用于應對任何違規行為也是明智之舉。 “GDPR可能通知你在72小時內需要提交報告 ，那么無論如何你都應該這樣做。”

準備您的回復也適用于GDPR的其他方面，例如主體訪問請求。作為其中的一部分，Bunker問道：“如果有人提出了主體訪問請求，那么作為一個企業，您可以多快得到這些數據并作出回應?”

業界觀點

正如Kate O'Flaherty和我們的專家小組所說的那樣，請記住：GDPR不是一個終點，而是一個持續的過程。

還有一點我們需要考慮：請記住，許多消費者可能會將GDPR視為一個維護自己權益的機會 ，特別是在揭示Facebook對通話數據的記錄以及劍橋分析企業的丑聞之后。

鑒于類似的新聞報道，不可避免某些客戶可能會要求查看證據，證明數據是為了自己的利益而收集的(GDPR的進一步規定)并且用于合理的目的。其他人可能會堅持將他們的數據從系統中永久刪除。從5月25日起，你將別無選擇，只能照做。

畢竟，GDPR的引入是為了保護消費者和公民的權益，重新調整信息經濟中的平衡，監管機構認為這種平衡遠遠超出了企業的商業利益，并且防止大規模竊取私人數據。