您的业务是否来自欧洲国家？如果您的答案是肯定的，那么您应该完全了解欧洲的新数据隐私法 - GDPR。如果你不知道它肯定会影响你。

在本文中，我们将讨论有关GDPR是什么，它将如何影响您的数据收集方法以及如何使您的网站符合GDPR的所有内容。

点击此处，查看《全球：通用数据保护法规（GDPR）合规性要求》

什么是GDPR？

GDPR代表通用数据保护法规。它基本上是一个数据隐私和保护法规，从2018年5月25日开始推出。

GDPR专门设计的唯一目的是为生活在欧洲国家的人们提供更好的个人数据保护或个人身份信息（PII）。为了以完美的方式实施监管，如果企业不遵守规定，个人数据的具体义务将强制执行主要文件。

在涉及数据隐私时，GDPR是消除个人数据泄露并在收集和使用数据之前需要获得用户同意的重要一步。

GDPR的主要影响

欧洲个人获得更多权利：

欧盟居民有权要求提供其存储的个人数据的副本。他们还可以向企业请求删除他们的个人数据。

合规义务和增强执法：

收集个人数据以实施所需策略或安全协议的任何组织都需要在需要收集个人数据的每个场景中征得用户的同意。GDPR规定的这项规定正在严格执行。如果公司不遵守这些规定，最终可能会支付高达2000万英镑2000万欧元的罚款或年收入的4％。

数据泄露通知：

如果组织遇到任何类型的数据泄露，他们必须将其报告给数据保护机构。

那么，现在是时候了解为了使您的网站GDPR友好而需要实施的变更 -

表格：有效选择

邀请用户订阅获取简报或询问联系信息的表单必须具有默认的“否”设置或应保留为空白。它允许用户选择退出而不会遇到任何困难。

“读者摘要”采用这种方法作为结账过程中不可避免的一部分。弹出窗口为读者提供了“是/否”选项，以便它可以提供验证此GDPR规则的证据。

分析您组织当前对数据的使用：

向自己提出一些重要问题，因为答案将帮助您确定是否必须担心GDPR实施

• 你收集用户的数据了吗？
  

• 你收集数据背后的原因是什么？

• 你如何使用这些数据？

• 您是否遵循安全的数据收集方法？

• 您是否与任何人分享您的用户数据？

请求您的用户同意：

您需要确保无论何时您的网站要求用户提供个人数据，都应该明确要求用户同意。

如果您在不知道如何使用数据的情况下收集用户的数据，那么您需要纠正这种情况。您应该允许用户选择加入并选择数据的使用方式。

如果您使用选择加入表单来收集用户的数据，则应该让您的用户知道如何使用数据。此外，您应该允许具有选项的人取消订阅。

向收集数据的人提供权利：

根据GDPR的规定，您应该向您正在使用其数据的人员提供完全的权利。您的用户有权要求您删除数据，或者他们可以要求您提供其个人数据的副本。

在数据泄露之前准备好一个好的计划：

GDPR为组织提供72小时的时间来报告数据泄露事件。确保您在数据泄露的不必要情况下有一个很好的计划。

确定您是数据控制器还是数据处理器：

根据实体是否可以定义为数据控制器或数据处理器，GDPR具有不同的规则。现在，您可能想知道数据控制器和数据处理器是什么。那么，数据控制器是一个实体，它确定收集哪种类型的信息以及如何使用它们。数据处理器的工作是处理数据控制器给出的数据。

如果您计划开始为您的企业提供 Web开发服务或应用程序开发服务，则需要确保您的网站或应用程序完全符合GDPR标准。只需遵循上述规定，即可与欧盟境内的用户进行顺畅的业务运营。

除了上述内容之外，您还需要考虑：

保持对数据的控制权

确保只有在适当的情况下，授权用户才能访问和处理数据。控制要求在第 5、25 和 32 条有所体现。这包括：

• 仅为授权目的处理数据

• 确保数据的准确性和完整性

• 最大限度地减少个人身份暴露

• 实施数据安全措施

除非用户或进程提供适当的密钥，否则加密操作应使数据处于不可读取状态。根据 GDPR，这种简单的控制方法可以使数据处理仅限于授权使用，并限制通过其数据即可识别个人身份的次数。加密还可以防止未经授权的数据操控；限制授权用户的数据访问以及监控密钥的使用，这可以大大降低未经授权擅自更改数据的能力。妥善使用加密及其访问控制的组织可以证明其数据的完整性。

多因素认证是任何场景下的第一道防线。强身份认证可以控制哪些用户访问了网络和网络内的资源。通过向个人分配凭证，组织可以跟踪对资源的访问以监控内部风险。多因素认证同样使得未授权用户更难访问敏感资源。对于已知和未知威胁，多因素身份验证都会增加数据访问的障碍，使组织更容易控制其数据。

数据安全性

GDPR 将安全性服务于隐私。安全性要求在第 6、25、28 和 32 条中有所体现。为了保护主体的隐私，组织必须实施：

• 有意和默认的数据保护
  

• 安全性作为合作伙伴和服务提供商的合同要求

• 加密或假名化

• 可对其风险评估做出回应的安全措施

• 若欲保留数据以进行额外处理，则采取保护措施

GDPR 特别将加密作为安全性要求。此外，组织需要进行风险评估，然后采取措施以减轻发现的风险。由于没有哪个组织可以识别其数据的所有风险，并且没有哪种周界安全方法是万无一失的，所以组织应该加密其数据以“防范泄露”。通过加密，无论是否存在泄露，数据都将受到保护。

多因素认证可以控制对用于处理数据的网络资源的访问。为了防止数据遭到未经授权的处理，组织可以分配并更改身份验证设置，以便在第一个实例完成后对额外处理加以限制。此举还可以减轻组织风险评估中发现的风险，或保护对与第三方合作伙伴共享的数据的访问。

删除权

即使在收集数据之后，个人依然对该数据有支配权和一定程度的控制权。“删除权”在第 17 和 28 条中有所体现。GDPR 求组织在以下情况下完全删除所有存储库中的数据：

• 资料对象撤销其许可（“被遗忘的权利”）

• 合作伙伴组织请求删除数据

• 服务或协议终结

当个人撤销对其数据的许可，组织需召回其分享的数据，或在服务期限结束时，组织需完全清除相关数据。这是一个很难达到要求，因为简单地删除数据并不能将其从磁盘上完全删除。为了完全符合规定，组织可以加密数据，然后删除密钥。这种数据删除方法将使数据完全永久不可读取。

风险减轻和尽职调查

组织必须对隐私和安全风险进行评估，并证明他们正在采取适当措施，以根据研究结果确保隐私安全。这些要求在第 2、24 和 28 条中有所体现。为了降低风险并进行尽职调查，组织必须：

• 进行全面的风险评估

• 实施措施以确保和证明合规性

• 积极帮助合作伙伴和客户遵守规定

• 展示全面的数据控制

当组织与合作伙伴或第三方服务签订合同时，组织不应放弃对数据安全的责任。事实上，组织将承担合同责任，帮助彼此实现安全性并降低风险。由于加密直接将安全性附加到数据上，因此可以保证数据的安全性，即便在组织的视线之外，也能保持对主要组织的控制权。

数据泄漏通知

当安全漏洞威胁到数据主体的权利和隐私时，组织需要通知客户及其监督机构。数据泄露通知要求在第 33 和 34 条中有所体现。根据 GDPR，组织有以下义务：

• 在 72 小时内通知其监督机构
  

• 描述数据泄露的后果

• 将泄露信息直接传达给数据主体

如果数据泄露导致不受保护的数据遭到暴露，组织将需要通知其所在地区的监管机构和受影响的客户。但是，如果数据得到加密并遵循了密钥管理最佳实践，组织可以避免执行这些通知义务。当数据主体的权利和自由处于危险之中时，通知仅作为一项要求存在。

点击此处，查看《全球：通用数据保护法规（GDPR）合规性要求》

为更好的服务中国客户走出国门，揽阁信息专门整理全球各国各地区的信息安全合规性要求。

欢迎您与揽阁信息联系并沟通，获取更多满足合规要求的信息安全产品与解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 使用HSM进行OVA和OVF签名：保护虚拟设备安全的关键

• 保护您的组织免受网络犯罪即服务（CaaS）攻击

• 使用Luna 7 Backup HSM备份密钥材料

• 云安全的 5 个支柱：保护您的数字视野

• 保护您的企业数据免受即将到来的网络风暴的影响