慧聪芯城 | 慧聪智能硬件网 | 慧聪新能源网 | 慧聪LED网 | 慧聪电气网 | 慧聪电源网 | 慧聪IT网 | 慧聪变频器网
特惠新品微信
投稿
热门推荐:传感器专栏 | 半导体专栏 | 晶振专栏 | 热门展会 | CES 2018 | 2017中国行业资讯大全 | 买芯片 采购 | 2017年活动回顾 | 中国电子展 | 2017品牌盛会TOP10榜单

慧聪电子网首页 > 行业资讯 > 国内资讯 > 正文

分享到

GDPR实施在即 国内物联网企业应当如何应对?

http://www.ec.hc360.com2018年05月15日17:01 来源:慧聪电子网T|T

    在上一篇文章中(深度整理|欧盟《一般数据保护法案》(GDPR)核心要点),我为大家分享了GDPR法案的核心要点,便于企业直观的了解到什么是GDPR以及对企业未来业务将会产生什么样的影响。本文将着重针对GDPR中的核心要点来深度分析物联网行业的企业应该如何应对。这里的应对方案涉及到系统架构、人员管理、流程管理、风险评估、业务逻辑、应急响应等众多环节,由于不同企业的具体业务情况不同,以下内容可作为物联网企业自查的一种分析方式。

    物联网行业的特殊性在于:原来很多设备是不联网的,所以不存在用户隐私泄露的风险。而如今,设备联网是大势所趋,数据的控制者和处理者都会直接或者间接的接触到非常多的个人用户数据,比如:姓名、性别、年龄、身份证号、手机号等等,另一方面,由于需要对设备和用户数据进行运营画像及监控,也会收集到更多关于用户行为的隐私数据。所以,GDPR对物联网企业的影响还是非常深远和重要的

    青莲云作为一家物联网安全解决方案公司,通过多年来在网络安全、云安全、黑客攻防对抗和数据隐私保护等领域的经验积累,针对GDPR施行后,国内物联网企业的应对思路,总结出以下要点,可以作为企业在实践GDPR合规过程中的参考方向,以此分享出来与大家探讨。

    国内物联网企业应对GDPR的建议思路:

    1、企业高管的直接重视

    2、合理区分数据控制者和数据处理者

    3、从设计之初保护隐私

    4、明确的获得客户的数据授权同意

    5、识别数据的存储位置

    6、识别数据的类型和风险

    7、识别数据的使用授权

    8、识别数据的移植和传输能力

    9、必要时能够清除个人数据

    10、具备快速识别并及时报告数据泄露事件的能力

    11、遵循数据最小化原则

    12、针对数据进行匿名化处理

    13、保证网络通信的机密性和数据完整性

    14、保证网络通信的强身份认证

    15、重视数据生命周期管理

    16、重视企业内部的隐私管控

    17、检查第三方供应商是否符合GDPR

    18、考虑设置专门的隐私保护人员

    19、具备其他安全合规性要求

    20、与专业安全公司保持紧密合作

    企业高管的直接重视

    无论是GDPR还是其他安全合规性的法规要求,更多的是与企业的管理/研发流程息息相关。而内部流程的推动更多的依赖企业高管的重视程度和实践决心。推动一项流程的正确实施需要自上而下有序进行,如果企业高管对推动合规性流程的意识不足或者重视程度不够,往往会造成非常多的人力时间成本浪费,也会影响到正常业务的开展进度。所以我们把企业高管的重视程度放在第一位。

    合理区分数据控制者和数据处理者

    GDPR中针对控制者和处理者有明确的描述。在实践GDPR中,企业首先要明确自己到底是属于数据的控制者还是处理者,这个定位非常重要。举个例子:如果企业使用GoogleAnalytics(或者其他第三方数据分析服务商)针对网站进行用户行为分析,那么企业就是数据控制者,GoogleAnalytics就是数据处理者。当数据主体(消费者)依据GDPR中的要求执行“被遗忘权”的时候,企业有责任去履行用户的合法要求,企业应当能够删除交给第三方数据分析服务商的用户个人数据。

    从设计之初保护隐私

    万丈高楼平地起。道理很简单,安全是IT系统的基石,如果基础的IT系统出现安全漏洞,特别是针对物联网行业,通过批量的远程升级往往都不能解决关于业务逻辑的安全问题。物联网企业在设计系统架构之初就应该把安全因素纳入架构设计范围。让安全从早期介入,才能避免后期因产生安全事故导致更严重的企业损失。

    明确的获得客户的数据授权同意

    GDPR在此处也有明确的描述,需要企业用非常明显且直白的方式告诉客户将会采集哪些数据(类似于APP的权限授权),特别是针对未成年人的物联网产品(如儿童手表、儿童故事机等),必须获得监护人的直接授权同意才可以收集相关数据。

    识别数据存储的位置

    数据是企业IT资产的一部分。当实践GDPR之前,企业必须要做的一件事就是识别数据存在哪了。物联网的底层架构的是云计算,云计算会用不同的数据存储技术来存储不同类型的数据,比如用Redis来存储缓存数据、用Hadoop来存储离线的大型日志文件、用Cassandra来存储一些碎片化的小文件。企业技术负责人必须清晰的意识到内部用到了哪些数据存储的技术或者组件,不同的组件存储了哪一类数据,识别“数据战场”是数据隐私保护的第一步。

    识别数据的类型和风险

    当识别清楚数据存储的位置之后,就需要对数据资产进行风险评估。思考企业所存储的数据种类都有哪些:如个人身份数据、定位数据、行为数据、金融数据?数据的类型有哪些:整型?浮点型?布尔型?图片/视频?不同数据的泄露风险有哪些:如会导致用户信用卡被盗刷?会导致用户遭受垃圾邮件攻击?会导致用户身份被仿冒?会要导致用户行踪被跟踪?等等,依据企业建立的数据风险模型,可以为今后有针对性的部署安全解决方案提供有力支持。

    识别数据的使用授权

    在大部分的数据使用场景中,并不是只有企业自己对数据有完全的控制权和处理权。在大数据解决方案中,往往需要借助外部第三方企业的能力来对数据进行深入挖掘和分析,这时,对数据的使用授权管理就极为重要。企业需要明确的知道有哪些数据存在与第三方的数据服务交换或者直接把数据发送给了第三方。当有这种情况出现时,企业就变成了数据的控制者,如果由于第三方服务商出现了数据泄露问题,按照GDPR的法规约定,企业作为控制者也同时存在连带责任。

上一页12下一页

声明:本网站中,来源标明为“ 慧聪电子网”的文章,转载请标明出处。

欢迎投稿,邮箱:yusy@hc360.com

活动推荐

更多

2017年电子产业品牌盛会暨采购经理人年会

2017年12月22日

深圳会展中心5F簕杜鹃厅

精彩现场

友情链接

申请友情链接

赛迪网 RFID世界网电子信息产业网畅享网与非网电子产品世界慧聪智能硬件网慧聪电气网慧聪电源网慧聪IT网慧聪变频器网慧聪LED网慧聪芯城慧聪新能源网

慧聪电子网总部

北京市海淀区海淀大街3号鼎好大厦B座7层

慧聪电子网分部

上海市普陀区中山北路3000号长城大厦5层

深圳市福田区深南中路2018号兴华大厦A座七楼

关于我们 | 加入我们 | 我要投稿
| 寻求报道 | 申请合作

Copyright?2000-2014 hc360.com. All Rights Reserved
京ICP证010051号 海淀公安局网络备案编号:11010802015485