很多企业每天都会处理大量个人数据。大多数情况下，个人很少或根本不知道有多少个人数据存储在多少家企业的数据库中。随着企业存储个人数据越来越多，数据丢失或泄露的风险也会增加。为了避免这些安全风险，许多团体呼吁制定以下法规：

• 在个人数据处理和保留过程中，设置高隐私保护策略和高安全标准。
• 为个人提供更多的知情权和控制权，以了解和控制谁拥有自己的个人数据，如何收集，保留多长时间以及用于什么目的。

一，GDPR 个人数据保护领域的革命性举措

《通用数据保护条例》（GDPR），是欧盟最新的个人数据保护法，旨在保护欧盟地区的个人敏感数据安全，为个人提供更多的知情权和控制权。

GDPR中有99章和173个条款，确定了各组织必须遵守的所有义务和要求。该法规已于2018年5月25日全面生效。

GDPR 个人数据保护领域的革命性举措

二，名企泄露相关案例

• 英国航空公司

当应该航空公司的官方网站将用户重定向到一个欺诈网站时，超过500000名客户的个人数据被泄露。

该公司因其过时安全措施遭到了巨额罚款。

• 万豪国际

2014年由于喜达屋酒店系统遭到黑客破坏，超过3亿用户的个人数据遭到泄露，

尽管万豪国际在2016年收购了喜达屋酒店，但由于缺乏严格的安全措施，黑客的行为直到2018年底才被发现。

• Google Inc

Google Inc公司因违反GDPR第5，6，13和14条而遭到罚款。

其中的原因就包括了，谷歌公司对于个人数据的使用，对目标用户缺乏透明度，用户缺乏知情权和控制权，且未获得用户的同意。

案例

三，GDPR适用人群包含哪些?

• 欧盟的所有企业
• 处理欧盟居民个人数据的企业（无论该企业在何处）
• 向欧盟国家的人民提供商品或服务的企业（无论该企业在何处）

四，GDPR都会保护哪些信息？

GDPR侧重于保护和确保欧盟公民的个人数据和个人敏感数据安全。那么个人数据和敏感个人数据之间有什么区别呢？

• 个人数据

可用于直接或间接识别个人身份的任何数据均被归类为个人数据。示例：姓名、位置、身份证号码、电子身份信息、收入等。

• 个人隐私数据

必须被额外保护的特殊类别的个人数据被归类为敏感个人数据。例如：生物特征信息、性取向、种族、基因信息、政治观点和医疗信息。

应该如何处理个人数据？

五，应该如何处理个人数据？

GDPR定义了应该如何处理个人数据的六项重要原则：

• 以合法、公平和透明的方式处理（合法、公平和透明）。
• 仅为特定、明确和合法目的而收集。数据的进一步处理不应与这些初始目的相冲突（目的限制）。
• 充分、相关且仅限于必要的内容（数据最小化）。

• 准确，并在必要时保持最新（数据准确性）。
• 数据主体一旦被用于其原始目的（存储限制），就无法识别数据主体。
• 以确保个人数据安全的方式进行数据处理。这包括通过实施所需的技术和组织措施（数据完整性和机密性）防止意外丢失、破坏或损坏。

不遵守GDPR的后果是什么？

一旦违反GDPR规定，组织可能会因违规而面临各种处罚。可能的后果包括：

• 暂停所有数据处理。
• 支付高达其全球年营业额的4%或2000万欧元（以较高者为准）。
• 其他制裁，包括警告、谴责和纠正令。

六，5步完成您的GDPR合规之旅

GDPR旨在规范组织如何收集、存储、处理和传输个人数据。以下五步行动计划提供了一套整体方案，帮助您实现GDPR合规。

• 发现

知道个人数据在哪。

实现GDPR合规性的第一步是确定个人数据的存放位置。发现组织的个人数据清单是GDPR合规性的先决条件。在数据发现阶段，您需要知道：

• 个人数据存储的位置和形式。
• 存储的个人数据类型。
• 谁有权访问个人数据，包括何时、何地以及如何使用个人数据。

管理

• 管理

管理个人数据的共享和使用方式。

发现个人数据后，下一步是在组织内建立个人数据保护机制。强制执行策略、规则和法规，以确保数据处理、共享和存储技术符合GDPR。在此阶段，组织必须要回答如下问题：

• 持有这些个人数据的法律依据是什么？
• 是否与第三方共享任何个人数据？原因是什么？
• 如何处理个人数据？
• 个人数据可以被保存多久？
• 我们如何跟踪数据主体的个人数据？

安全

• 安全

保护数据免遭丢失、误用和破坏。

GDPR要求以确保数据安全的方式存储、处理和共享数据。根据组织存储的个人数据的类型、上下文、位置和数量，您可能需要实施加密、假名化和匿名化等措施以降低数据暴露的风险。在此阶段，您需要问自己几个问题：

• 有哪些技术和组织措施来保护个人数据？
• 您能否实时检测并响应系统过滤或数据泄露？
• 是否定期进行数据保护影响评估？
• 您的组织在处理数据泄露通知流程方面有哪些规定？
• 是否有数据安全事件响应计划？

审计

• 审计

生成报告以证明符合GDPR合规要求。

GDPR要求组织记录所有数据处理、共享和保留活动。根据组织的行业和规模，您可能需要遵守不同级别的合规要求。

您的组织需要验证是否能够实现如下目标：

• 可以确保个人数据的机密性、完整性和可用性。
• 可以提供审计跟踪，以建立问责制并授权取证分析。
• 可以处理数据主体的擦除请求和其他请求。

• 复习和重复

定期检查并调整合规流程。

实现GDPR合规不是一蹴而就的，这是一个持续的过程，需要不断应对不断更新的合规条款、不断变化的技术和数据隐私要求，以便在任何时候都能满足合规要求。

DataSecurity Plus的数据发现功能可帮助您创建和维护分散在文件服务器上的个人数据清单。它有助于定位各种类型的个人数据，如信用卡详细信息、姓名、年龄、位置其他个人识别信息（PII）。了解个人身份数据存储的位置、方式和原因不仅有助于GDPR，而且还有助于符合HIPAA和PCI DSS等法规合规性标准。

DataSecurity Plus来自卓豪ManageEngine产品线，目前正在广泛被国内外企业用户所选择，它能对企业文件服务器内部存在的信息进行审计，发现非法侵占个人信息行为并及时进行通知，锁定其位置，方便企业相关管理人员进行处理，对企业内部文件审计以及个人信息安全保护提供巨大帮助。保证企业顺利通过合规审查，为企业健康发展给予强有力支持。

多起个人信息泄露案件警示我们每个人，每家企业，要时刻保持个人信息保护意识，维护个人信息安全，保证企业信息合规不应该停留于纸面，更应该付诸行动。DataSecurity Plus作为一款企业文件审计及数据安全解决方案，一定能让更多企业免于信息外泄，顺利通过合规审查。