GDPR剑将出鞘，企业该怎么办?

　  被称为“史上最严数据保护条例”的欧盟《通用数据保护条例》(GDPR，General Data Protection Regulation)将于5月25日生效，距离今天不足半月。但据 Sophos 去年下半年在英国针对 IT 决策者的一项调查显示，超过半数的企业承认对 GDPR 及其可能引发的财务风险并不了解。在离欧盟如此之近的英国尚且如此，中国企业的情况也不容乐观。

　　不合规的代价

　　根据 GDPR 官网(www.gdpreu.org/compliance/fines-and-penalties/)，GDPR开始实施之后，数据泄露将不再是企业声誉受损或营业额下降这么简单了。如果违反 GDPR，轻者将被处以1千万欧元或者上一年度全球营收2%罚款，两者取其高;重者将被处以2千万欧元或者企业上一年度全球营业收入4%罚款，两者取其高。决定罚金有十大标准，即侵权的性质、意图、缓解措施、预防性措施、历史、合作、数据类型、通知、认证和其他。GDPR官网对这些标准都有详细的解释。

　　这样的处罚对任何企业而言都是一记重创，Sophos 调查者中超过25%的企业声称如此处罚会让其彻底倒闭;如果企业规模不足50人，将有超过一半的企业受处罚后会关闭。而且 40%的 IT 决策者表示裁员将不可避免。

　　如何准备

　　要满足这么多关于数据保护方面的新要求，而且有可能为此还要设置新的工作岗位、招聘相应的人才等等，企业的 GDPR 合规之路何其漫长。虽然不可能放下手里所有工作来应对 GDPR，但鉴于其重要性和长远影响，企业高管确实应该开始分步骤地进行规划，以降低风险，杜绝后患。

　　其实，降低风险并不复杂。企业只需确保最基本的设置到位，就可以很大程度防范数据泄露。这些基础设置包括：确保所有操作系统和软件更新至最新版本、对敏感数据实施加密、教育所有员工有关网络钓鱼和其他社交工程网络攻击的风险。 此外，还要部署一个有效的防病毒/恶意软件解决方案，以减少因黑客攻击和恶意软件造成的违规风险。

　　根据 Sophos 的调查，欧洲的部分企业已经采取措施为GDPR做准备，42%的企业相信他们会在截止日期前合规，但问题是：

　　· 只有42%的企业设立了“数据保护专员”一职;

　　· 只有44%的机构设定好了程序，当客户行使“被遗忘权”或反对数据处理时能够删除个人数据

　　· 不到一半的企业能够在数据泄露后72小时内报告- 这是法律的一项关键要求

　　有监管的好处

　　在如今这个数字化时代，企业和个人的很多数据都存在网络之上，有一个统一的数据安全法规进行约束是有实际意义，也是非常必要的。

　　虽然有企业会抱怨为了 GDPR 合规会增加不少成本，但想想不合规的后果，那些成本就完全不足一提。设定罚款是为了确保企业认真对待，而且会真正采取行动。只要真的做到位了，不但不会遭受罚款，还能让企业运营更加安全。这对个人、企业、消费者都有好处。

　　如果没有法律要求采取行动，很难促使企业费力去整合数据，务求令数据易于查找，匿名化，报告和了解。加大在数据安全性方面的投入，能够帮助企业降低品牌和声誉损失的风险，使企业能够确定敏感数据的存储位置，减少重复数据，并为企业提供宝贵的消费者见解，从而增强企业竞争力。

　　无论如何，GDPR就要来了。企业应该马上行动起来，相信在不远的将来今天的投资都会获得回报。

　　###

　　作者介绍：

　　钟明辉(Tony Chung)先生, 现任Sophos 中国区总经理，拥有超过15年企业IT应用管理和网络安全市场经验。Tony目前负责Sophos中国区的业务营运工作，包括渠道及销售管理和产品相关事项。

　　在加入Sophos之前，Tony曾担任Crescendo Networks的中国区总经理，负责中国区所有销售、渠道、营销与运营管理等方面工作。

　　Tony还曾担任群柏数码的中国区销售总监，负责公司的政策执行及业务策略等整体管理。

(本文不涉密)
责任编辑：路沙

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。