无论您是否居住在欧盟,过去一周对您和您的个人信息都很重要。
GDPR是一项关于如何收集和处理欧盟公民个人信息的指导方针的一般数据保护法规,现已正式生效。 这是一个好主意 - 关于如何收集信息,如何存储信息以及如何收回信息的统一规则早就应该了。 关于GDPR的优点,缺点和丑陋已经(并将继续)进行了大量讨论,但大多数从事信息安全工作的人都认为目标是善意的,并且会提供我们所需要的保护。 21世纪。
由于您不符合GDPR标准,因此欧洲访问者无法使用大量热门网站。
然而,GDPR的各篇文章并未受到普遍赞誉。 自5月25日星期五生效以来,我们已经看到了影响:纽约每日新闻,芝加哥论坛报,洛杉矶时报和其他知名网站现在在GDPR规定的国家都无法使用,因为他们还没有为新规定做好准备。 许多其他网站和在线服务已经用新的条款轰炸用户同意,并且已经针对着名的科技巨头谷歌和Facebook提出了投诉,因为他们不提供免费服务而不允许用户选择退出数据收集。
更多:Google可以更轻松地理解和管理自己收集的用户数据{.cta.large}
这些问题并不令人惊讶。 由于GDPR的结果,基于云的服务将失去收入并被迫提高价格的情绪也是如此,而2018年Infosecurity Europe的一半参与者认为很快就会发生这种情况。 他们还认为GDPR将扼杀创新,因为小型组织无法负担必要的基础设施以实现合规。 这是需要讨论它的人的良好讨论。 更好的隐私是值得花时间来做正确的来回。
但是我认为GDPR的一部分弊大于利 - 第33条的72小时报告规则。 您可以在此阅读全文,但其中的要点是,无论何种原因,保留欧盟公民个人身份的公司对任何违反安全的行为负全部责任,并且必须在72小时内向监督委员会提供全面披露。违规。 这条规则没什么了不起的,但有两个部分会导致服务提供商掩盖数据泄露,而不是负责任地报告它们。
第一个是监督委员会。 不同的国家有不同的方式来管理他们的公民,但他们都有一个共同点是在创建和配备任何官方委员会时的优惠待遇。 不能停止要求分发的朋友或第三堂兄的朋友是任何委员会席位的主要候选人,当主要目标是保护用户数据时,只应考虑最合格的个人。 让我们希望这里完成的是什么,法规可以由最关心我们并且合格的人来调整和执行。
没有进行全面违规调查所需资源的小公司可能会选择掩盖它们。
更大的问题是强制72小时报告。 即使是一个人员配备齐全的财富500强企业也无法充分了解数据泄露情况,因此无法开始向政府机构提交报告。 鉴于这么短的时间,期待的不仅仅是公司的信息安全官员说有违规行为,我们还不确定任何细节。 对于每个参与者来说,这只是浪费时间,而我宁愿花时间去寻找原因,方式,时间以及围绕任何类型数据泄露的人。
可能已经在努力满足GDPR合规性的小公司将试图调查是否可以包含违规并在没有任何报告的情况下自行减轻损失。 当你面临压力和人手不足时,掩饰可能听起来像是正确的选择。
显然,它永远不会。 但是,众所周知,大家和小公司都会在电线问题上一次又一次地选择错误的选项。 任何旨在保护用户免受做出糟糕决策的公司的规定都会更好,如果没有可能促使他们做到这一点的规则。
负责和及时报告数据抢劫是必须的。 如果没有它,强迫那些收获并持有我们数据的公司做正确的事情并没有多大用处。 建立一个由合适人员组成的合适的监督委员会来修改闯入的处理方式 - 甚至在发生闯入时提供帮助 - 将大大有助于使GDPR成为世界其他地方的模板。
