10位安全专家谈企业对GDPR的那些误解

身份管理和数据保护领域的意见领袖们认为，围绕GDPR（一般数据保护条例）的讨论过于罚款、对人力资源和财务等部门的曝光、对金融服务公司的影响以及让营销部门陷入瘫痪。该法规于2016年4月获得欧盟通过，将于本周五也就是5月25日开始生效。该法规旨在让欧盟公民和居民拥有对他们个人数据使用方式的更大控制权。

用户会发现，清除数据的权利并不适用于所有情况，即使客户同意被收集某些数据，企业组织也会发现他们在能够与第三方分享哪些信息方面存在局限性。

下面就让我们来看看这10家供应商和解决方案提供商的首席执行官和技术负责人谈到的企业对GDPR那些最大的误解。

数据泄露的商业成本远远高于GDPR的任何罚款

位于美国马萨诸塞州沃尔瑟姆的Digital Guardian公司全球渠道副总裁Marcus Brown认为，数据泄露对公司声誉、客户关系和知识产权造成的影响和成本远远超过GDPR可能开出的任何罚款。

Brown说，GDPR是通过罚款来刺激企业以更好地保护公民数据的方式行事。尽管大家都在谈论罚款，但实际上与丢失数据和知识产权相关的风险更具破坏性。

他说，数据保护计划可以帮助企业保护他们的信息并遵守GDPR等法规的合规要求。

法规遵从并不是一次性的

位于旧金山的Okta公司副总法律顾问兼首席数据保护官员Tim McIntyre表示，当GDPR开始生效的时候，只是做一堆合规性并逐个确认勾选，这还远远不够。

McIntyre说：“这是一种生活方式的改变，公司需要以这种方式看待这件事。”

McIntyre表示，企业必须在5月25日法规生效之后，承诺做好所有必要工作以遵守GDPR。随着世界各地的其他司法管辖区通过类似于GDPR或者在GDPR基础上扩展了关键原则的立法，这些利害关系只会在未来几年愈加明显。

“我认为这将是一个具有里程碑意义的立法，”McIntyre说。

“同意要求”实际上会为市场营销人员创造更好的条件

位于俄勒冈州波特兰的Janrain公司首席执行官Jim Kaskade认为，市场营销人员担心GDPR严格规定的“同意要求”——也就是必须得到客户关于接受带有推广性质电子邮件的允许——将导致他们无法与客户进行全面的互动。

不过当用户在上下文背景给出同意的话，这可能会让企业在最终用户那里更有相关性。根据Kaskade的说法，只给用户发送他们同意接收的内容，这看起来更加可信，更容易与企业达成交易。

虽然企业不能再联系之前他们得到的一些客户，但Kaskade表示他们最在意的客户参与其中的可能性会更大。

“最终，CMO们还是可以掌控局面的，”Kaskade说。

即使企业得到允许收集到的数据也会有使用上的限制

位于美国凤凰城的BeyondTrust公司首席技术官Morey Haber表示，当数据不再需要时对数据进行清理，这个想法已被证明是一种不同的概念，尤其是当数据存储在数据仓库中并与第三方共享用于数据挖掘目的时。

Haber说，例如大多数超市都使用会员卡收集顾客购买了什么以及何时购买的各种信息。但是要说到与肉类包装商或谷物盒制造商分享这些数据时，可能实际情况比他们想象的更受限制。

为了解决这个问题，Haber表示，企业需要对他们的数据进行清点和标记，以便他们知道他们的敏感数据在哪里，以及是否包含GDPR最感兴趣的个人身份信息（PII）。

医疗组织受到的影响将比金融服务公司更深远

位于美国马萨诸塞州列克星敦的Imprivata公司产品管理总监Jaimin Patel表示，如果信用卡信息被盗取并在暗网上公布，可能只值几美元。但如果患者记录是从医疗机构被偷走的，最终在暗网上公布，每个记录都会价值数百美元。

Patel说，被盗的信用卡只能在坏人被抓之前被使用过很多次。但患者记录可以透露，某位知名人物的健康问题影响了他们的表现、工作或者预期寿命，这样就会有人知道了某家公司CEO因为疾病不久将离开人世而卖掉这家公司的股票。

“有人在想到数据泄露的时候，总会想到钱，而不会想到患者记录或患者数据。”

IT管理员发现他们自己正是法规瞄准的目标

位于美国马萨诸塞州牛顿的CyberArk公司EMEA地区消费者开发总监David Higgins认为，人们对GDPR的关注集中在最终用户身上，因为他们是处理数据的人。

但任何企业组织都有一个隐藏层，那就是IT管理员，因为他们可以访问关于系统运行的数据，Higgins这样表示。因此，想要窃取数据的攻击者会瞄准IT管理员，而不是人力资源或财务领导，因为前者通常有权限访问更有价值的数据。

Higgins说，例如数据库管理员很可能可以访问多个包含个人身份信息的数据库，这正是GDPR所关注的。企业组织需要从不可管理或不受控制的可见性，转向确保IT管理员只能在正确的时间以正当的理由才能访问。

监管机构并不打算对小过错征收高额罚款

位于美国科罗拉多Greenwood Village的InteliSecure公司首席技术官Jeremy Wittkop认为，GDRP规定最高罚款2000万欧元，或者企业年收入的4％，如此高额的罚款引发了企业的恐慌，让企业错误地认为监管机构会找上门，寻找任何小的违规问题，然后尽可能多地对他们开出罚款。

但是负责监督GDPR的委员会从一开始就表示，这些巨额罚款仅限于那些故意违规的企业，Wittkop说，对于那些存在很小违规问题的企业来说，罚款也会更少，或者他们要以更合作的态度遵守规则。

因此，GDPR背后的组织应该做一些简单的工作，比如收集大家关于基于网络格式的一致同意，然后找出生态系统中存在的差距，建立一个文件化的计划，来弥补这些差距。

静态检查清单是无法帮助企业保持合规的

位于美国密歇根州安阿伯Duo Security公司全球渠道副总裁Matt Smith马特史密斯表示，在应对动态IT环境和每天变化的安全情况时，还用静态清单来检查和评估GDPR合规性的话，那么从一开始就错了。

Smith说，最好是采用基于风险的框架，理解访问关键应用的方式，以及如何评估应用、用户和设备的风险状况。Smith说，这让企业组织能够更全面审视安全状况和访问控制，以不用让企业三个月就重新架构设计一次的多样化方式来保持合规。

根据Duo公司助理总顾问Kendra Mitchell的说法，企业应该利用GDPR来推动企业内部展开关于这对于有效的数据隐私和安全意味着什么的重要讨论。

最后期限之后将没有宽限期

位于美国休斯顿的Accudata Systems公司咨询服务负责人Paul Kendall认为，许多企业认为GDPR是从5月25日开始，实际上GDPR从2016年4月就生效了，企业有2年的时间来解决合规问题。

然而很多美国公司认为，5月25日之后仍将有宽限期，但欧盟可不是这么说的。不过Kendall认为，除非这些企业违规了，否则任何小公司都不可能立即就受到GDPR的审查。

Kendall说，欧盟可能会通过先审计某些大型美国公司来开始GDPR的执法工作，这些公司一直是他们的焦点。

用户将与那些高管制领域的公司就删除他们的数据作斗争

位于多伦多的SecureKey Technologies公司创始人兼首席执行官Greg Wolfond表示， GDPR与其他要求保留记录的现有法规之间存在相互影响。具体来说，GDPR并不是要告诉银行或电信公司摆脱用户数据，因为他们能对数据做什么和不能做什么，已经是处于被监管的状态。

GDPR更关注企业组织如何使用和共享客户数据，以及他们在得到或者未得到用户同意的情况下允许共享哪些内容。Wolfond说，例如银行有法定义务保留一段时间的记录，即使客户已经关闭了他们账户，因为税务当局或其他机构有可能要介入检查。

Wolfond认为，GDPR更侧重于得到关于与第三方分享用户信息的客户同意。