GDPR(General Data Protection Regulation,通用数据保护条例)是欧盟针对隐私保护实施的一项新立法,是20年来最重要的数据隐私保护变化,也是有史以来规模最大、最具惩罚性的隐私保护法。该法于今日即2018年5月25日在欧盟正式实施,并取代1995数据保护指令,为欧盟各成员国提供统一的数据保护规则。任何违反GDPR的行为,会产生1000万到2000万欧元的罚款,或企业全球年营业额的2%到4%,以数额最大的为准。
GDPR的适用范围
GDPR适用于欧盟境内设立的实体(公司、组织等)处理个人数据的行为,同时也约束了非欧盟实体处理欧盟境内数据主体的个人数据的活动,只要该活动与向欧盟境内的数据主体提供商品或服务(无论是否收费),或与监控该数据主体在欧盟的活动有关。欧盟发布这个新规定的主要原因:
(1)为欧盟公民提供更多使用自身资料的权力;
(2)加强数字服务提供者与他们所服务的人之间的信任;
(3)为企业提供明确的法律框架,通过在欧盟单一市场上制定统一的法律来消除任何区域差异。
GDPR的核心要求
Ø 数据安全要求:GDPR规定下,企业应采取技术和管理措施,保障数据安全,包括但不限于对个人数据加密处理、实施数据安全评估、隐私保护设计等;
Ø 强制的数据泄露通知:发生数据泄漏事件,数据控制者应当在72小时内向监管机构报告,可能对数据主体产生高风险的,还需告知数据主体;
Ø 数据主体权利:GDPR项下,数据主体享有对自己数据更广泛的权利,包括增删改查、数据删除权、数据可携带权和拒绝数据画像的权利等;
Ø 数据主体的同意:对个人数据的处理普遍须取得数据主体的明确同意,该同意必须是自由做出的、特定的、明确的和知情的;
Ø 数据处理记录:数据控制者和数据处理者均需保存数据处理记录。
对于GDPR,华为云已应对就绪
华为云坚持“三不”,即“上不碰应用、下不碰数据,不做股权投资。”高度重视用户隐私保护,切实贯彻适用法律法规的要求。为此,华为云开展了一系列的工作以落实GDPR的要求,包括但不限于:
Ø 隐私设计:开展隐私保护分析和设计,将隐私保护的要求贯穿流程予以落实执行;
Ø 产品与服务:将隐私保护要求落入产品研发管理体系,从产品与服务的研发及功能设计过程中即满足数据安全与隐私保护的相关要求,同时提供多种安全服务与功能进一步加强数据安全与隐私保护;
Ø 隐私测试:所有产品和服务发布前,需通过华为内部网络安全实验室隐私保护测试;
Ø 隐私认证:通过第三方认证证明符合严格的国际隐私标准,包括但不限于: ISO 27018、PCI DSS;
Ø 培训和教育:对全员开展GDPR合规培训考试,并在相关部门进一步开展对GDPR的深入解读与规范培训。
华为云全栈安全服务,帮您顺利满足GDPR要求
除了上面的措施,华为云提供了系列全栈安全服务及自检措施,助力用户和伙伴满足GDPR的合规要求。
Ø 网络层:
DDoS流量清洗服务
采用专业的防DDoS设备来为用户互联网应用提供精细化的抵御DDoS攻击能力,包括CC、SYN Flood、UDP Flood等常见DDoS攻击方式,并提供攻击拦截实时告警,有效提升用户带宽利用率,保障业务稳定可靠。
DDoS高防服务
基于Anti-DDoS清洗中心和大数据运营平台构建的DDoS高防服务,可以通过配置高防IP,将攻击流量引流到高防IP,对用户源站进行隐藏保护,确保源站稳定可靠。
Ø 应用层
Web应用防火墙,针对HTTP(s)请求进行异常检测,对攻击者的恶意攻击进行防护,精准过滤海量攻击流量,保障客户网站安全稳定运行,避免数据泄露。
漏洞扫描服务,提前检测出网站的漏洞并且提供修复建议,提升网站安全性,提前防范黑客利用漏洞进行攻击,防止利益损失和数据泄露。
Ø 主机层
企业主机安全提供资产管理、漏洞管理、入侵检测、基线检查等功能,帮助企业降低主机安全风险。
Ø 数据层
数据库安全服务,适用于客户希望使用一站式预集成服务,快速实现多种设备集成,能够平滑扩展支持上亿连接,实现平台免运维的场景。该服务还可自动检查数据库是否满足GDPR要求,出具报告和解决方案,帮助用户快速整改,满足GDPR合规性。
密钥管理服务,为租户应用提供等高可靠硬件加密,集成到对象存储(OBS)、云硬盘(EVS)、云镜像(IMS)等多个基础云服务。