酷应用

什么，找咨询机构太贵？何不来个GDPR自检，分析报告一点就有！

百家作者：36氪 2018-06-21 04:23:08

GDPR（一般数据保护条例）作为欧盟甚至全球有史以来最严格的条例，将会在2018年5月25开始正式生效。由于条例本身与欧盟公民息息相关以及条例本身规定的高额的罚金，GDPR在今年的热度基本不亚于区块链，人工智能这些新兴科技。那今天，敝人就也谈谈自己对于GDPR的一些想法，还请各位大侠轻拍。

当然，对于GDRP这么严肃的话题，我作为一个外行人，还是需要借助一些工具来和各位看官一起来看看：

1. GDPR是什么；

2.GDPR对我（企业）有什么影响。

在正式开始之前，想来讲几句题外话，很多看官可能会有疑惑，因为我们又不是欧洲公民，业务又都是在中国开展，GDPR跟我有什么关系？这可能是很多人脑中蹦出的第一个疑问。那其实GDPR不同于原来传统的地域管辖范围内的法案，它具有长臂管辖权，按照GDPR的要求，欧盟没有设立实体公司，但因为业务关系而持有欧盟居民个人资料的公司，都是在管辖范围之内的。举个不恰当的例子，假设某旅游公司提供一个中国游的7日深度游套餐，并且页面信息都可以在国外被访问到。那只要有欧洲公民购买了该公司的服务，并提供了具有唯一标识其个人身份的相关数据，比如他的护照信息，居住地，联系方式等，那原则上该旅游公司也已经进入了GDPR条例的管辖范围。

但现在最头疼的一件事情是，虽然公司知道GDPR的重要性，但对于公司中维护和掌握数据终端的IT部门来说，现在棘手的问题在于，数据安全确实是他们需要考虑的问题，但解读GDPR条例并将条例拆解成可以跟公司业务以及各个部门相关的安全举措确并不在他们的职责范围以及能力范围之内。那如何让客户知道GDPR到底是什么（以公司业务部门，IT部门同事都能理解的方式告知），GDPR会对于公司造成哪些方面的约束是目前横亘于GDPR条例到公司选择的安全组件之间巨大的一个鸿沟。

那微软作为云服务的提供商，以及其一贯积极应对客户所关心的安全问题，也在第一时间改进自身提供的服务和产品，做到GDPR合规，同时微软将产品组和法务团队连接到了一起，针对客户碰到的上述问题制作了一份问卷——GDPR Detailed Assessment。这份问卷中已较为浅显的方式给出相关的问题，客户只需回答是或否。在完成整份问卷之后，问卷会将不同维度，不同权重的问题结果进行分析，利用Power BI 生成一份分析报告，给出公司在不同方面的具体分数，并给出相应的安全措施。

本文接下来会为各位看官在完成上述问卷提供对应的分解参考：

首先我们可以看到每个问题会由以下几个模块组成：

其中每个问题由于涉及到的内容和法律条款的不同，希望会有公司中不同的人员来进行回答并针对每个判断型回答后给出一些备注，介绍公司的对应情况。

纵向来看的话，问卷会从4个维度进行评分，分别是发现，管理，保护和报告，你需要完成从这四个维度展开的共150多道问题，回答，是，否，或者不清楚。其中所有的问题也会分为两个不同的等级。所有的这些问题都会根据下图中所列的方面进行层级展开，首先每个方面会有一个1.0的引导问题，来帮公司做个引导性的判断，之后点开该问题的附属问题，则会从更细节的点来进行提问。

当完成所有题目的回答之后，只需要将数据表导入到对应的Power BI模板中（不要慌，文末压缩包里有引导教程），就可以生成一份精美的报告：

分析报告中的第一页上，你会有一个对于目前，公司应对GDPR的安全评估的打分，这个分数是通过所有问题的回答，结合每个问题不同的权重加权得到的。

第二页上你会看到不同的四个维度的一个打分情况，并给出对应需要改进的环节。之后针对每个不同完成度的问题，问卷中会给出不同的微软的安全组件来相应的完成每个问题中所涉及到的应对GDPR相应条例中的内容。

那再了解到整个评估表和对应的分析报告的组成之后，下面我会花比较大的篇幅来具体解读评估表中四个维度所涉及到的各方面的问题，具体的解读顺序会根据上文提到的评估表中每个维度的各个方面，结合其中的问题来进行一一展开：

Discover（发现）

发现这个维度主要是去分析怎么去发现公司中对每个数据个体的数据作了哪些方面的搜集以及具体的存放地址，只有建立了对应的数据发现机制，才能够进而对数据的处理行为进行跟踪和对数据进行保护。

D.1：需要企业能够识别出个人数据在企业中的存储位置，不论是云端还是本地服务器上，或者是第三方的存储机构（比如个人网盘，企业网盘），举个例子：如果一个欧盟公民到公司应聘，他在面试整个过程中他提供的电子及纸质简历在整个公司中的留档位置是否可以完整的甄别出来。

D.2：对于收集到的个人数据，能够依据不同的数据来源及数据本身进行敏感程度的分类，更进一步整个分类过程能否做到自动分类。

D.3：公司是否具有记录个人数据被何时，何地，出于什么目的被使用的记录清单，这里的个人数据针对包含该份数据中部分或完整内容的所有副本。需要注意的是，该份记录清单需要包含个人数据每次被使用的目的及使用范围，以便数据主体申请知晓自己的数据被公司使用的记录时能够作为直接的依据材料提供。同样的，这份记录清单能否实现自动更新。

Manage（管理）

根据条例的要求，数据主体会被赋予更大的权利来控制他们的个人数据如何被获取和使用。例如，数据主体可以请求组织分享与他们相关的数据，将数据转移到其他服务，纠正数据错误，或者限制某些数据在某些场合下被进一步处理。甚至在某些情况下，这些请求必须在固定的时间段内解决。因此为了完成公司或企业对数据主体的义务，你需要清楚你的组织处理的是什么类型的数据，如何处理以及处理的目的。

M.1: 公司是否已经开展了数据监控管理的机制存在。比如说，对于公司内部个人数据的使用和分享是否在整个公司各部门间都达成了一致或者形成了相关规定；对于数据隐私和保护是否有相应的公司的条例来进行管控；如果公司对于个人数据的获取会涉及到未成年用户的信息，那对于该部分信息的获取是否有了额外的保护机制和监管机制；是否有针对隐私数据的盗取相关的响应机制。另外，针对欧盟规定的个人隐私数据的获取，是否具体对应的法律依据和解释。

M.2: 是否以简洁，清晰的语言告知客户他的数据是会被如何使用，如果用户的数据不是直接通过数据个体进行收集，如果告知数据个体数据被收集并被用于何种用户。另外当公司将数据用于新的使用目的，是否有相应的机制告知到客户并征得客户的同意。

M.3: 如果用户提交申请到企业，要求中止对于自己个人数据的一切服务，能否做到与该数据及其副本相关的服务的自动中止，并给到用户相关中止动作的证明。

M.4: 如何清晰的说明如何处理客户数据并得到客户的同意，针对客户的隐私数据，如何做出进一步的说明。针对儿童的数据授权使用，如何根据条例要求得到对应监护人的准许。

M.5 : 根据GDPR条例，数据主体（用户）具有一系列的数据操作权利，比如数据遗忘权，知情权，转移权等。因此企业需要构建一套跟数据主体的沟通平台和机制，能够通过平台本身或相关人员及时响应客户的相关请求。

M.6: 当数据个体要求公司修改个人数据时，公司能否实现对该用户所有数据的实例进行更正，并给与用户相关的更正记录。

M.7: 当数据主体要求删除个人数据时，是否有相关受训人员能够判断该请求是否应该被满足，并且是否有相应的平台和技术可以在得到准许删除的命令之后，自动的删除该份个人数据的所有实例都能被删除。

M.8: 根据条例，数据主体（用户）有权利要求企业提供自己的个人数据，用于其他公司和企业服务的使用。因此公司需要有套通用且结构化的数据模板，能够提供给数据主体（用户）作为副本用于其他服务。

M.9 根据条例，数据主体（用户）有权利要求企业停止或限制对于自身个人数据的处理。因此企业是否有能力及时通知及管控到所有拥有该数据处理权限的人员暂停对于个人数据的处理。并且将数据的暂停，限制，恢复处理的过程和原因都能自动通知到数据主体（用户）。

M.10 根据条例，数据主体（用户）有权利不接受企业对个人数据进行自动化处理，因此企业需要能够区分公司内部哪些个人数据处理流程是自动处理的，整个流程是否能够符合法律和合规的要求，并且给到用户有说服力的说明。针对自动处理的流程，是否有相应的策略和机制可以允许人工介入，并且允许数据主体对于自动处理个人数据的流程能够表达自己的观点。

M.11 企业需要任命一位数据保护管（DPO）来负责比如公司员工内对于隐私数据处理的培训，组织内对于数据隐私及其对应的合规部分的事务等，以及保持与公司内部及外部相关人员的沟通。

M.12 企业对于数据隐私安全是否具有对应的危险管理及响应措施，当数据隐私泄露危机出现时，是否有对应的机制能够快速定位该威胁，分级，并给出对应不同级别的补救方案。

Protect（保护）

每个企业都对数据安全有一定的认识并建立对应的安全保护措施，而GDPR则进一步提高了信息安全的标准。然后数据安全是个很多元，复杂的领域。有很多安全组件都是因为发生过数据中心被物理入侵或被黑客攻击等事件才产生的防范机制，并且这样的风险如仍旧会随着时间的推移层出不穷。因此制定风险管理计划，采取风险规避措施等才能确保公司的数据安全，保证公司的合规性。

P.1 企业是否已经意识到要发展技术，使用新的产品，完善或新增相关流程来实现数据和隐私的保护？比如企业是否已经具备建立限制访问，最简化搜集用户数据，加密个人数据等措施来保护个人隐私数据，比如企业是否将保护隐私数据作为一个核心标准，与公司的政策，规章制度以及公司文化相结合，来培养企业整体对于数据隐私的重视程度。

P.2 企业是否意识到了需要使用加密技术来加密特定的个人隐私数据，并且对于加密制定对应的触发条件？企业是否会定期调研新的加密技术来保证所使用的加密技术符合当前的一个网络安全环境。

P.3 企业是否制定了安全管控措施来保证个人数据的隐私性，完整性及可用性，并使用相应的技术，建立标准的流程和措施来保证以上三点。

P.4 企业对于潜在的数据泄露是否具体防范意识，是否具备相应的流程和技术能够从自己掌控的数据存储位置，不论是云端，本地还是第三方应用中监测到数据泄露，并在数据泄露发生时及时通知受影响的数据主体，相关监管部门，给出简洁，清晰的分析报告。

P.5 企业是否会定期检查公司的安全措施，不论是通过第三方，还是相关部门，是否有特定的人员和技术以及流程来执行这一措施。

Report（汇报）

GDPR条例中还有一处很大的不同点在于，它在个人数据透明度，问责制和记录保存方面提出了新的要求。企业不仅需要在处理个人数据的方式上对于数据主体更加透明，还需要积极透明的维护文档，来解释说明数据处理流程和使用个人数据的目的等。

R.1 企业是否具备相关的技术，人员和规章流程来记录所有需要被采集的个人数据以及企业中对于个人数据的所有动作，处理目的等信息。并且企业是否会有相关流程来证明其遵守相关的行为准则、标准、指导方针。

R.2 企业是否有对应的技术和规章流程来跟踪并记录个人数据流入及流出欧盟的整个过程。在不同的国家中，是否有对应的人员来支持数据跨国家流通的跟踪与记录。

R.3 企业如果存在使用第三方服务提供商存储或处理企业中的个人数据，企业是否具有一份将个人数据传输到第三方的流程清单，其中包括：记录第三方服务提供商处理个人数据的的过程，将保护个人数据的要求嵌入与第三方服务提供商的合同或者协议中，建立审计第三方服务提供商的机制并与其保持沟通。

R.4 企业是否能意识到在处理个人数据中的潜在风险，并且可以区分并定位到高危操作事件，同时企业应该建立一套数据保护影响分析流程（DPIAs）来应对这样的事件发生。

以上是对GDPR评估表的解读，希望通过本篇文章，你可以对企业在GDPR的合规方面有个大致的认识，了解到考虑数据安全，可以尝试从哪几个维度来进行考虑。

以上。

▼

GDPR评估套包下载链接：

https://github.com/MsCloudTech/GDPR?files=1（操作指南请参考文件名00-Microsoft GDPR Detailed Assessment-Delivery Guide-v3.2.docx；GDPR评估表请参考文件名03-Microsoft GDPR Detailed Assessment-Input-v3.3.xlsx）