GDPR给物联网发展带来了巨大的挑战。Kate O Flaherty提出了企业物联网10点计划,旨在保护您的企业,尤其是您的客户。
一旦欧盟的一般数据保护条例(GDPR)于2018年5月25日生效,企业如果发生数据泄露可能要面临高达年收入百分之四的罚款,同时,英国也会将其纳入法律条文范围。在信息时代,尤其是Facebook /剑桥Analytica“违规”等丑闻发生之后,监管机构更是非常重视数据保护。
对于物联网(IoT)而言,GDPR合规性更具挑战性,因为获得在物联网网络中处理个人数据的知情同意可能很困难。此外,GDPR主张“隐私设计”,这是物联网设备之前所不悉知的,尽管最近行业和政府在积极采取行动来改变这种情况。
但遵守并不是不可能的,事实上,物联网企业在保护数据方面更加积极,随着用户信任的增加,商业获益也将增加,GDPR可能会扮演竞争区分的角色。
那么,在GDPR法规实施之前,企业必须考虑的10件事情是什么?
1. 了解您收集和处理的数据
专家建议物联网应用企业评估他们收集的信息是否为个人数据。但请注意:如果您不收集个人信息,那并不意味着您不在法规的约束范围之内。
正如EMEA安全培训专家、网络安全倡导总监Adrian Davis所指出的那样:“如果您仅仅是从物联网设备收集传感器数据,不要以为您不受GDPR约束,你应该知道你的数据在哪里、它是如何受到保护的以及如果出现问题该怎么办。”
安全支付供应商Nuggets创始人兼首席执行官Alastair Johnson认为一些企业需要重新考虑他们如何存储数据。他认为诸如客户端加密和区块链等技术可能有助于保护企业。
“在发生数据泄露事件时,这种类型的技术堆栈可以减轻企业可能面临有关GDPR的罚款风险:企业数据库中没有存储任何用户数据供恶意者偷盗。”
2. 了解知情同意
根据GDPR要求,在处理个人数据时必须征得知情同意。但是,律师事务所Shulmans LLP的助理Helen Goldthorpe指出,处理数据有几个方面,其中知情同意“仅仅是其中一个”,另外还包括合同要求和合法利益,例如,数据是否用于维护员工安全。
3. 知晓知情同意和GDPR适用于整个供应链
安全企业Clearswift的高级副总裁Guy Bunker说,许多物联网企业没有意识到客户可以撤销知情同意并且有“被遗忘的权利”(让他们的所有数据永久被删除)。 当知情同意撤回时,您的供应商也必须删除此信息。
“物联网企业需要思考的不仅仅是获得知情同意,他们需要考虑如果撤回知情同意并且客户要求删除所有的数据时会产生什么影响。在某些情况下,你可能需要做大量的工作。”
4. 记录你所做的一切,以达到GDPR的要求
这些法规要求企业记录他们所有的数据处理过程。(ISC)2的Davis说,这样做的好处在于:“如果你有问题并接受调查,你可以证明你做了所有应该做的事情,但它还是出状况了。”
事实上,正如科技研究集团Gigaom的分析师Jon Collins所解释的那样,GDPR的出台并不是为了找企业的麻烦,它的目的是防止滥用数据。他说:“知晓你的所作所为,说出你正在做的事情,并且按照你所说的去做,这是一个非常好的检查方法,如果你是那种真正希望做正确事情的企业组织,那么监管就不会找你的麻烦。”
5. 意识到隐私设计的重要性
隐私设计是GDPR的规定之一,在物联网中,不仅仅是后端系统,对所有的设备和软件都同样适用。
Synopsys Software Integrity Group安全策略师Steve Giguere解释说:“仅通过保护物联网设备无法实现GDPR合规性,因为它们通常仅仅只是更大生态系统的一部分。”
“安全和隐私政策必须建立并应用于收集个人信息的物联网设备以及传输和处理数据的网络和后端系统。”
Shulmans LLP的Goldthorpe补充说,产品“需要从头开始开发”。例如,她说:“您应该有能力删除数据以符合主体访问权限。”
“另外,请尽早了解设备如何收集数据,因此如果被问到,你才知道如何进行解释。使用较旧的设备时,请决定是否需要一并收集该数据。”
6. 基本的安全方法将有助于您遵守合规性
Clearswift的Bunker说,基本的安全方法,例如确保所有系统都是打补丁的非常重要。“由于物联网世界很脆弱,保持这些系统的最新状态非常重要,但这些基本的东西常常被忽视。即使你拥有世界上最好的系统,如果有人仍然在内部犯错误,那就可能造成违规。”
Gigaom的Collins说,这也适用于制造系统。“如果你现在还没有考虑到确保这些安全性,那么你最好快点开始。”
“许多物联网企业只考虑到非常低级别的数据安全性,例如加密,他们没有考虑更复杂的攻击,例如拒绝服务(DoS)和数据被操纵,以及围绕此过程的一些其他流程。”
7. 将GDPR看作是一个商业竞争区分因素
正如我们在剑桥Analytica和Facebook丑闻中看到的那样,信任是数据保护未来不可或缺的一部分。Bunker表示:“GDPR并不是用来罚款的,而是用于增加企业的信任度,如果你做得对,那信任就会增加,从而获得竞争优势。”
8. 记住GDPR合规性时刻在进行
即使你认为你的企业组织已经符合了监管要求,重要的是要记住GDPR合规不是终点,它时刻都正在进行中。“在某些方面,这更有价值,”Bunker说。
这不仅仅是符合要求即可,而是应该越来越好。
9. 考虑聘请数据保护官员
数据保护官员(DPO)将是公共当局的强制性要求,对于任何其核心活动包括大规模定期和系统监测数据的企业来说,都是强制性要求。
这意味着任何大规模的物联网使用企业都可能需要聘用DPO作为GDPR合规的一部分,当然,这需要一位高级责任人。
在进行任命时,Goldthorpe建议组织应该采取措施避免任何利益冲突:“理想情况下,如果您是一个大型企业,将DPO置于合规职能范围内是合理的。”
10. 随时准备作出回应
Davis说,随时准备好经过测试、排练和更新的管理计划用于应对任何违规行为也是明智之举。 “GDPR可能通知你在72小时内需要提交报告 ,那么无论如何你都应该这样做。”
准备您的回复也适用于GDPR的其他方面,例如主体访问请求。作为其中的一部分,Bunker问道:“如果有人提出了主体访问请求,那么作为一个企业,您可以多快得到这些数据并作出回应?”
业界观点
正如Kate O'Flaherty和我们的专家小组所说的那样,请记住:GDPR不是一个终点,而是一个持续的过程。
还有一点我们需要考虑:请记住,许多消费者可能会将GDPR视为一个维护自己权益的机会 ,特别是在揭示Facebook对通话数据的记录以及剑桥分析企业的丑闻之后。
鉴于类似的新闻报道,不可避免某些客户可能会要求查看证据,证明数据是为了自己的利益而收集的(GDPR的进一步规定)并且用于合理的目的。其他人可能会坚持将他们的数据从系统中永久删除。从5月25日起,你将别无选择,只能照做。
毕竟,GDPR的引入是为了保护消费者和公民的权益,重新调整信息经济中的平衡,监管机构认为这种平衡远远超出了企业的商业利益,并且防止大规模窃取私人数据。
