是什么让美国网站拒绝欧洲访问?- GDPR 带来的数据安全思考

当我们置身于网络世界之中,一切的行为都将会被记录下来,互联网企业还会通过『数据画像』让用户具象化、真实化,事实上,在数据面前,我们每个人都只是穿着皇帝的新衣

那么如何面对这些让人细思极恐的数据世界?欧盟做出了他们的表决,这就是 General Data Protection Regulation - GDPR (关注本公众号,对话栏回复 GDPR ,查看条例全文文档)。

欧盟议会于2016年4月通过了GDPR新规,规范欧盟成员国以及任何与欧盟各国进行交易或持有公民(欧洲经济区公民)数据的公司存储和管理个人数据的方式。这项法规在2018年5月25日生效。

然而在新规生效之后,一些新闻显示:『为遵守刚生效的 GDPR 美国网站屏蔽五亿欧洲居民』。Bloombergquint 网站的报道更是使用了『Blocking 500 Million Users Easier Than Complying With GDPR 』标题。

戏剧化的效果:

欧洲数据保护法 GDPR 于 5 月 25 日生效,众多美国网站纷纷选择站在广告商这边,拒绝了来自欧洲的访客。欧洲有五亿居民,是美国人口的 1.5 倍。 拒绝或暂时拒绝欧洲访客的知名网站包括 The Los Angeles Times、Chicago Tribune、The New York Daily News 和 Instapaper。 USA Today 则选择为欧洲访客专门制作了一个 GDPR 版本,移除了所有跟踪脚本和广告,结果美国版本的大小有 5.2MB,而 GDPR 版本只有 500KB,页面加载速度也从 45 秒减少到 3 秒,JS 脚本数量从 124 个减少到 0 个,请求的网址数量也从超过 500 减少到 34 个,简直就像是最初启用了 ad blocker 的效果。

现在我们知道一个网站到底采集了用户多少数据:

那么GDPR到底是什么?为什么实施起来困难重重,让美国企业选择了简单粗暴的拒绝访问。

GDPR 的本质是赋予欧盟公民个人信息保护的基本权利,其核心是对个人数据的收集和之后的存储使用,规定更高的透明度与管控。在这个条例的约束之下,只要收集欧盟公民数据的企业就要受到GDPR的管辖。

GDPR 主要完成了以下几大使命:

1.明确公民的数据权力和隐私权; 2.明确和扩大了数据保护范围;

3.规范数据收集企业的数据保护、使用权责;

这其中的数据安全事故通知条款,规定在数据安全事故(比如数据泄露)发生之后,应当在72小时内向监督机构报告。

执法和处罚条款则大幅增加处罚标准,对于重大违规事件罚款可高达2000万欧元或前一财年全球收入的4%。

GDPR 进一步扩大了数据保护范围,以下种种信息都被列入:

公民基本的身份信息,如姓名、地址和身份证号等; 网络数据,如位置、IP地址、Cookie数据和RFID标签等; 医疗保健 和 遗传数据; 生物识别数据,如指纹、虹膜等; 种族或民族数据; 政治观点; 性取向;

公民的数据权力被强化保护,条理中有四条明确了『用户许可』:

  1. 在数据处理基于用户许可(Consent)的情况下,控制人应能够证明数据主体同意处理其个人数据;
  2. 如果数据主体的许可是在书面声明中也涉及其他事项的情况下提出的,则同意书的提交方式应明确区分于其他事项,方便理解和容易理解,使用清晰明了的语言。构成违反本法规的此类声明的任何部分均不具有约束力
  3. 数据主体有权随时撤回其许可。 撤回许可不应影响撤回前基于许可的处理的合法性。在用户许可之前,应明确通知数据主体,并且撤销许可应该同给予它一样容易。
  4. 在评估是否自由获得同意时,应最大程度考虑包括提供服务在内的合同的履行是否以同意处理个人数据为前提。

这其实是在明确用户使用协议的获取过程,以及规范不能滥用这些用户许可,在互联网上,因为一个『同意』因此而导致的无穷尽后果应该被约束。

GDPR 对数据泄露会做出高额惩罚,同时也规范了企业的数据管理角色和责任,这其中包括:

数据控制员(Data controller)- 明确个人数据的处理方式和目的,负责确保外部承包商能够遵守相关规定; 数据处理员(Data processor)- 可以是维护和处理个人数据记录的内部团队(如业务分析师或开发商的员工),也可以是执行全部或部分这些活动的任何外部服务提供商。GDPR要求数据处理员为违规和不遵守规定的行为负责。 数据保护员(Data Protection Officer,简称DPO)- 核心活动涉及处理或存储大量的 欧盟公民数据、特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定DPO,DPO主要负责就GDPR规定提供咨询意见,向最高管理层报告。

必要的流程管控是提升安全性的重要手段,设置必要的岗位也非常具备必要性,DPO 会逐渐成为数据安全领域的一个重要角色

除了明确岗位职责之外,GDPR 还对数据存储安全保护提出了要求:

明确和默认的数据保护; 将安全性作为合作伙伴、服务提供商的合同要求; 加密或假名化; 制定对风险评估做出回应的安全措施; 保留数据以进行额外处理就必须采取相应保护措施;

GDPR 特别 将加密作为安全性要求,这对很多企业是迫切需要改善的关键所在。要知道很多泄密事件就来自于数据的未加密存储。

其实不仅仅是GDPR,对于传统企业来说,同样面对着数据保护、数据加密、数据岗位的挑战,在中国数据泄露和泄密的事件同样层出不穷。尤其是在使用数据库的环境下,数据备份、数据传输都需要置于可信的环境下,避免备份被窃取,数据被篡改。

为满足用户内部审计的需求,云和恩墨近期推出了数据库安全审计产品『云镜』,其目标就是通过全面的内部审计,提供及时、可信的安全审计输出展示。让企业清楚的了解到企业数据安全的现状,实时展示数据的流向和访问情况

在某客户的应用案例中,云镜已经管理了近100亿条审计信息,及时和清晰的展示数据的访问方式、访问来源,并可以及时做出安全防范:

基于不同数据链路的访问,甚至基于SCN安全,在云和恩墨的产品中,均有贴心的展示:

我曾经在《数据安全警示录》一书中提出了数据安全的五个纬度,可以基于这五个纬度来梳理企业的数据安全,并据此建立相应的安全防护措施。

在数据安全的范畴内,我们将安全划分为五大方面,分别是:

软件安全、备份安全、访问安全、防护安全、管理安全

关于这部分内容,请参考之前文章:防范攻击 加强管控 - 数据库安全的16条军规

无论如何,数据安全、隐私保护,任何企业都需要不断加强,GDPR 在某种程度上是为企业加强了推动力。我们也一直致力于帮助客户提升数据安全,云和恩墨数据安全解决方案为您的数据安全添砖加瓦

原文发布于微信公众号 - 数据和云(OraNews)

原文发表时间:2018-05-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Netflix公开漏洞奖励项目,Dropbox修改漏洞披露政策

本周三,Netflix 宣布在 Bugcrowd 平台公开其漏洞奖励项目,单个漏洞奖金高达 15000 美元。此外,Dropbox 也修改了其漏洞披露政策,承诺...

3624
来自专栏黑白安全

流量攻击已形成黑色产业链 江苏四人被提起公诉

利用黑客软件扫描他人电脑,盗取最高管理权限后,非法控制85台计算机,利用这些计算机攻击他人网站,非法获利2万余元。近日,江苏省淮安市洪泽区检察院依法对涉嫌非法控...

761
来自专栏大数据文摘

知道创宇发布Sebug漏洞社区百万奖励计划

2248
来自专栏Zchannel

腾讯发布网络隐私报告:电话诈骗竟然有那么多花样

1605
来自专栏安恒信息

手机购年货需警惕吸费应用,病毒木马多伪装成电商软件

马年春节即将到来,年货市场提前火爆。与以往不同的是,今年随着智能手机的普及和手机购物方式的流行,手机买年货已经成为时下家庭的首选。然而,手机网购...

3404
来自专栏FreeBuf

近400个政企网站感染Coinhive恶意软件,秘密挖掘加密货币

看起来加密货币的流行并没有停止,黑客依然在继续想方设法的窃取用户的计算能力来挖掘加密货币。

972
来自专栏PPV课数据科学社区

谁动了我的数据?

编者按:数据泄漏正成为全球互联网企业信息安全的重灾区,最近一段时间,信息泄露事件可谓接二连三。 故事我们先从一只老鼠说起 2017年1月16日,新浪微博上一只老...

32211
来自专栏我是攻城师

360为什么要花亿元巨资买一个域名?

4685
来自专栏FreeBuf

美国司法部是如何打造漏洞披露计划框架的?

美国司法部(DOJ)刑事部门网络安全分部日前打造了“在线系统漏洞披露计划框架”,旨在帮助组织机构开发正式的漏洞披露计划。 ? 实际上,现在越来越多的企业机构都已...

3669
来自专栏云资讯小编的专栏

腾讯云鼎实验室Killer:面对“想哭”勒索软件,你不知道的几件事儿

比特币勒索软件究竟为什么会在全球大规模爆发?给我们敲响了什么警钟?国内信息安全专业媒体《嘶吼》对腾讯云鼎实验室负责人Killer(董志强)进行了专访,一起来听听...

8080

扫码关注云+社区

领取腾讯云代金券