歐洲“通用數據保護條例”(General Data Protection Regulation，GDPR)已經于當地時間5月25日正式生效。這項制定時間長達七年的監管法規，將對從科技到廣告、從醫藥到銀行在內的各行各業帶來徹底改變。

　　什么是GDPR？

　　該法規將接替“1995年數據保護條令”——該條令迄今為止是歐盟處理數據的最低標準。隨著GDPR的生效，它將顯著增強一些權利：個人用戶將擁有更多權利要求公司披露或刪除他們持有的個人數據；監管機構將能夠首次在整個歐盟范圍內協同工作，而不是在每個轄區內開展單獨行動；并且監管機構的執法行動將更具震懾力，現在最高罰款金額可以達到2000萬歐元或者公司全球營業額的4%。

　　誰會受到管制？

　　GDPR會影響每家公司，但影響最嚴重的將會是那些持有并處理大量消費者數據的公司，包括科技公司、營銷商以及連接他們的數據中介。

　　即使只是遵守數據訪問和刪除的基本要求，也會給一些公司帶來很大的負擔，因為這些公司以前可能根本沒有工具來整理他們持有的數據。

　　但是影響最大的將會是那些商業模式依賴于大規模獲取和利用消費者數據的公司。GDPR要求用戶明確表示同意他們的數據使用方式——如果使用情況發生變化也必須征求其他同意。

　　它如何影響科技巨頭？

　　全球的大型公司已經更新了他們的網站從而遵守GDPR要求。Facebook推出了一系列工具，通過統一隱私選項并構建“訪問您的信息”工具，使用戶能夠在其網站上查找、下載和刪除特定數據，從而“讓用戶更好地控制其隱私”。該公司還強迫所有用戶都要同意新的服務條款，并借此機會推動他們選擇面部識別技術。

　　蘋果公司則披露了其隱私控制政策，該公司聲稱與競爭對手不同，它從一開始就沒有收集太多用戶數據，因此為了遵守GDPR要求并不需要做太多改變。谷歌采取了不同的方式，該公司悄悄更新了其產品和隱私政策，并且沒有對此進行大肆宣揚。

　　這對普通用戶意味著什么？

　　用戶對于企業進行交易將擁有前所未有的影響力。如果個人開始大量利用GDPR，通過拒絕同意對某些數據的使用，要求從數據中介那里獲取個人信息，或者完全從網站上刪除他們的信息，這可能會對數據產業產生巨大影響。

　　長期影響是什么？

　　即使沒有來自用戶方面的壓力，新法案賦予歐盟信息專員的權力，也將導致將舊數據用于新用途時的數據處理更加小心謹慎。

　　但是也有可能這會鞏固占據主導地位的公司的勢力。一家新的創業公司可能很難說服用戶同意大量的數據收集，但是如果像Facebook這樣的公司提供一個不容討價還價的交易，那么它可能會迅速獲得數百萬用戶的同意。

　　這是全球性的嗎？

　　GDPR只適用于歐盟，但是考慮到市場規模，許多公司正在考慮在全球范圍內應用這些條款——可以理解為一種必要的公關手段。例如，蘋果公司與Facebook的隱私工具都是全球性的，雖然后者承諾無法在全球范圍內遵循GDPR的各方面條款，并稱這些規則可能會與其他司法管轄區的隱私法規相沖突。

　　企業如何滿足GDPR要求？

　　Ovum認為，企業無法通過一個單一解決方案就能實現滿足GDPR要求。如今的IT環境過于多樣化并且非常復雜，通過單一軟件是無法滿足GDPR所有條款要求的，企業需要通過多種軟件解決方案的集成來實現。

　　這是因為，GDPR最顯著的特性之一是其廣泛性。與大多數僅限于單一行業的其他法規不同，GDPR在其覆蓋范圍內是橫向的，它將對IT堆棧的所有層面產生影響。遵守該法規將帶來跨部門的挑戰，它將涉及跨部門的協調；該發規律不僅是技術性的，而且也適用于人員和流程。鑒于此，Ovum建議企業將合規性分為三個不同的類別來幫助確定所需的合規軟件：

　　.技術合規性：企業如何能夠滿足法規中的技術要求，例如加密、匿名化和系統高可用性？

　　.證明合規性：企業如何向監管機構證明其符合技術要求？記錄保存、文檔記錄和軟件透明度是至關重要的。

　　.流程合規性：企業內現有的以人為中心的流程與監管目標的吻合程度如何？如果不利用現有的流程和工作流程的話，孤島化的軟件幾乎無法支持合規性。

　　Ovum數據和企業智能高級分析師Paige Bartley表示，市場上大部分的供應商都關注于如何實現第一類：也即技術合規性。但是，如果企業無法向監管機構證明其實際上符合技術要求，那么即使對技術合規性作出最嚴謹承諾也是徒勞的。這就是為什么證明合規性和流程合規性是法規中對技術要求的關鍵補充。流程尤其難以通過軟件來實現；最好的合規工具將是利用現有的由人員驅動的流程和工作流程，而不是試圖建立自己的流程。

　　GDPR合規解決方案兩大陣營

　　作為一項法規，GDPR是技術不可知且以過程為中心的。除了少數如加密和系統高可用性等標準安全措施作為參考外，該法規并沒有提及特定的技術。Ovum表示，這么做自然有其理由：技術的發展速度遠遠超過監管和法律框架的制定速度。如果監管機構認可或者依賴于特定技術的可行性，那么它可能很快就過時了，并且無法履行其保護數據主體的信息和權利的職責。盡管如此，技術將是滿足GDPR要求的關鍵組成部分。畢竟，這些規定與數據保護有關，而數據要在基于技術的系統中進行存儲和處理。

　　實際上，遵循GDPR要求有兩個主要組成部分：數據資產的直接技術控制，以及可重復人員流程的存在和文檔記錄。兩者相互依存，不可孤立。

　　鑒于這些需求的混合性，提供GDPR相關解決方案的供應商格局大體上演變為兩個陣營：采用基于技術的方法陣營和采用基于流程的方法陣營。這兩種方法通常都依賴于軟件為任務管理和人與數據的交互提供集中接口，但是它們的目標和執行往往不同。盡管廣泛的概括作用有限，但是一些產品使用了重疊的方法，其大體區別如下：

　　.基于技術的方法，取決于基于技術的機制來滿足特定的技術需求，例如數據加密。數據處理和數據操作的自動化很常見。這些解決方案可能會為產品用戶分配嚴格的角色，并且通常會使用它們自己的預置工作流程和模板。數據資產的直接技術控制通常是主要目標。

　　.基于流程的方法，很大程度上依賴于企業內部的現有角色、工作流程和處理流程，技術只是一個推動者而不是主要機制。手動處理數據(例如對數據的政策分配)通常是必須的。這些解決方案可能提供靈活的、可定制的工作流程，并且可能采用企業內現有的角色而不是在產品中強加自己的角色。對流程進行存檔和記錄，而不是進行直接數據控制，通常是該方法的主要目標。Ovum分析師Paige Bartley認為，這兩種方法沒有正誤。鑒于監管范圍廣泛，并且混合涵蓋了技術和流程要求，建議企業采用兩種解決方案的混合方式，而這具體將取決于需要符合哪些條例。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇