亚马逊AWS官方博客

成功秘诀:企业应对欧盟 GDPR《一般数据保护法案》的8点经验总结

安全是 AWS 服务客户的第一要务!从 AWS 诞生开始,我们就已经将安全性融入了我们的服务中。随着欧盟《一般数据保护法案》,即 GDPR 的推出(于2018年5月25日正式生效),隐私和数据保护更加深入到我们以安全为中心的文化之中。上个月(远早于最终生效日期前),我们已经宣布所有的 AWS 服务都已满足 GDPR 的要求,这也就意味着您可以使用 AWS 作为数据处理者(Processor)来帮助应对您在 GDPR 上面临的挑战(请务必访问我们的 GDPR 合规页面以获取更多信息)。

最近我在与许多客户围绕此主题展开交流的过程中发现,企业普遍会关心以下这三个方面:

  • 重要程度: GDPR 很重要!是的,如果您的业务涉及处理归属于欧盟数据主体的个人数据,您就需要事先制定计划。这不仅仅是因为它能更好的帮助您治理企业数据,还因为对于 GDPR 的违规,企业需要承担严重的处罚。
  • 复杂程度:解决 GDPR 合规性问题可能很复杂,可能涉及很多人员和工具。您的 GDPR 合规流程也可能跨越多个企业层面——诸如会影响组织架构,操作流程和信息技术。
  • 个性化程度:每位 AWS 的客户都是独一无二的,同时又有很多方法可以用来评估企业对 GDPR 的遵从性。因此,了解企业自身的业务属性就显得至关重要。

尽管有很多客户在刚接触 GDPR 合规性时无所适从,但仍有许多客户出乎意料的进展顺利。我认为分享一些我们自己的经验教训可能会对您的企业有所帮助。

围绕我们解决 GDPR 挑战的经验进行总结,以下是8个我们认为能够带领企业获得成功的关键:

1.    让您的高层领导参与其中。我们经常与我们的首席执行官 Andy Jassy 进行详细的关于 GDPR 状态的对话。GDPR 是需要重视的,AWS 领导团队知道这一点。如果今天 GDPR 尚未获得企业高层管理人员的关注,那么现在是该去提升关注度的时候了。

2.    同心同德。集约化的开展所有 GDPR 相关工作是很关键的,虽然这听起来很明显,但若以分散的方式进行管理,极有可能会导致重复劳动,或是团队成员由于目标不一致而产生的工作结果偏差。

3.    解决 GDPR 合规性最重要的合作伙伴是您的法律团队。针对企业独特的业务环境,让不从事法务工作的人员对 GDPR 合规性满足情况做出假设,既冒险又浪费时间和资源。您一定希望避免分析上的差错,因此就需要通过获得适当的法务咨询,在共同的目标上开展合作,并以适当的紧迫性向前推进。

4.    与技术领导者密切合作。组织中的“流程”相关人员,即那些已经知道该如何处理治理问题的人员,通常可以轻松地介入关于 GDPR 的讨论。但是包括数据所有者在内的技术团队,通常已经建立了自己的软件环境来为特定的业务和应用程序提供服务。“流程”人员甚至可能不知道他们正在存储,处理或将何种数据转移到其他业务部门。在 GDPR 实践中,他们需要熟悉(或者至少了解)系统之间的数据和数据元素并进行跟踪。这不是一个典型的针对技术团队的要求,所以要准备好如何指导他们并辅助他们理解数据流以保证安全。

5.    不要过分依赖已有的检查清单。有很多种方法来解决 GDPR 的合规性挑战,在 AWS,我们最终是通过建立核心需求的方法,根据 GDPR 中提出的数据控制器和数据处理器的功能进行需求识别,结合与法律部门的合作,基于我们已知的业务现状最终做出了决定,并通过一组项目来解决 GDPR 的挑战。同时在使用已经被系统化了的方法,工具或问卷来管理您的工作时要特别留意。这些通用的评估方法可以提供一定的协助,但让他们完全指导或限制您的工作则可能会导致您错过某些对您的企业而言至关重要的合规性需求。从这个意义上说,通用的“一刀切”式的解决方案可能并没有太大帮助。

6.    不要害怕挑战主流观点。我们很多时候都是根据新的信息去改变现有的观点的。如果您确定某种方法行不通,您不应该因为害怕或是怀疑自己而去错误的坚持。您也不应该害怕将问题升级到高层领导。这是一个必要性的问题。

7.    利用这些合规性活动,并以此为契机提升您的工作成果。GDPR 合规性需要诸多努力,但结果是否仅限于 GDPR?当然不是。您可以使用 GDPR 工作流程来确保更好的推进企业治理。在可预见的将来,隐私和安全性需要持续的保障,因此您的治理计划完全可以被扩展并用于其他和治理相关的目标。

最后一条,也是最与众不同的一条:从考虑保护数据主体开始,并以此为起点开展未来的工作。AWS 始终以客户为中心,我们不禁会问:“客户的期望是什么?数据主体的保护如何更好的实现?又希望我们做什么?”从纯粹的法律或合规角度来看 GDPR 可能在技术上已经足够,但我们相信安全和个人数据保护的目标需要更多全面的观点,并且您可以从 GDPR 旨在保护的“个人”开始,最有效地在企业内塑造该观点并将其最终落地。

如果您想了解更多关于我们的经历,以及我们如何能够帮助您,请立即联系我们。

原文地址戳这里

 

魏俊欣

AWS 资深云计算及安全顾问。目前在 AWS 负责针对企业客户的上云与安全合规咨询服务。具有10年以上 IT,云计算以及信息安全相关工作经验。曾供职于 HP,VMware 等大型跨国企业,在金融,通信等行业有丰富的云计算及安全经验。现致力于为企业客户上云提供战略,安全和迁移层面的规划。