史上最严GDPR信息安全条例将如何影响大数据市场？

今年3月，Facebook的一起“泄密门”事件轰动全球，让Facebook遭遇了自创业以来的最大危机，股票暴跌，政府调查等一系列噩耗接踵而至…最后，创始人扎克伯格在其个人社交媒体上发文表示“Facebook 有义务保护用户的隐私数据，如果没有做到，就不配继续为用户提供服务”。

近年来用户信息安全事件频发，以FB泄密门为最大的导火索，欧盟为了有效应对消费者信息与隐私保护这一时代命题，加急颁布了一项举足轻重的条例：GDPR（一般数据保护条例），旨在规范与加强对于用户的数据和隐私保护。可以说，任何在欧盟从事和消费者有关的交易，将都必须严格遵从该条例。以下TMO就以GDPR为例，来帮助品牌一窥欧盟国出境电商的信息法律环境。

GDPR条例（一般数据保护条例），将于2018年5月25日正式生效。旨在进一步加强用户数据及隐私的保护政策。此规定不仅适用于欧盟公司，但凡涉及欧盟公民信息的非欧盟公司也同样适用。鉴于现代商业的全球化发展，GDPR条例的颁布无疑具有深远意义。

GDPR新规之下，品牌须知的用户数据权

GDPR着重强调了“数据拥有者（即用户）”应享有的一系列合法权益。尽管用户信息被长久存储在由服务商托管或控制的服务器中，但用户依然拥有如下数据处理权：

○ 删除权：用户有权要求其个人数据从系统中被清理删除。

○ 数据限制处理权：用户有权请求将其数据标记为“限制访问”状态。即如果未经用户授权，则其数据不得被随意访问或处理。

○ 数据可转移权：应用户之要求，可将数据导出为能被识别的通用格式，以便其数据在各个服务商之间的转移传输。

○ 纠正权：用户应有将其个人错误数据纠正的权利。并且，如果用户个人数据遭到入侵，则用户会实时收到相关的通知警告。

○ 知情权：用户可通过可读和易懂的表格形式（或其他易于理解的展现形式），随时访问其个人数据。

跨境电商信息安全合规化，始于PII

中国品牌若想在欧盟国家从事跨境电商，就必需符合GDPR条例的规定。其中，了解什么是PII（Personally Identifiable Information）非常重要。PII指的是可以用来标识唯一用户个体的任意数据。值得注意的是，PII不仅包括用户主动提供的个人数据，还包括服务提供商收集的用户数据，比如商品的页面，购物车收藏，商品购买等数据。当然，也包括从第三方收集的个人数据。值得注意的是，GDPR条例的颁布，还涉及到先前的欧盟数据隐私条例更新。曾经，欧盟对于PII的定义为“当两个或两个以上的数据元素存在，且这些数据元素经过整合后，可以用于识别用户唯一身份时，则这些数据可以被称之为PII，如个人姓名和 SSN（Social Security Number社保号码）”。在GDPR新规之下，欧盟对于PII的定义发生了本质转变，现在用户的个人的任何单一数据项都将被定义为PII。因此，如果信息中只有一个敏感数据元素（如个人姓名）存在，现在也会被定义为PII，因为任何敏感信息都可能因为那个敏感数据元素（如个人姓名）被追踪到。

GDPR之于跨境电商搭建，有何影响

为了保护“数据拥有者（即用户）”在GDPR语境下的一系列权益，从事欧盟国家跨境电商的品牌，在其电商平台开发和更新过程中，需要满足以下一系列要求，包括（但不限于）用户授权管理，数据极小化和使用化名等。GDPR在数据安全方面提出的要求，对程序开发人员，DevOps和数据维护人员来说，都有着巨大的影响。 随着越来越多的开发团队采用敏捷开发的方法，除了行业约定俗成的产品运行稳定性外，为了响应GDPR条例，开发设计过程中的数据与隐私安全性也必需纳入考虑范围中。当然，这对于产品的交付和维护也提出了一个巨大挑战。以下，就让我们来仔细分析一下其中即将面临的具体挑战：

数据无界化

数据将不存在边界，因为数据已经深深的沉浸到组织的任意细节架构之中。

所有数据都存在一个完整的生命周期。在其生命周期中，数据将存在两种形态。首先，当处于被创建或传输过程中时，数据是呈流动形态的，则其可被定义为流动数据。然而，当这些数据通过系统间的传输交互，最终被储存下来并停止流动，这就可被定义为静态数据。一般来讲，执行和衡量合规性的工具会应用于静态数据。 虽然静态数据有时被认为没有流动数据脆弱，但攻击者经常发现静态数据其实比流动数据更有价值。为了保护静态数据，企业可以在敏感文件存储之前对其进行加密，或者对存储驱动器本身进行加密，或者应用策略来保护存储边界。“数据加密”在保护静止数据方面起着重要作用。为了保护流动数据，企业通常在传输之前对敏感数据进行加密，或使用加密连接（HTTPS，SSL / TLS，FTPS等）或两者兼而有之。对于静态数据和流动数据的加密保护，是数据安全性保护的最重要一步，但这并不能保证敏感数据就能完全得到保护。如果将PII数据与SaaS合作伙伴或外部服务提供商共享，并且产生违规行为，则数据发出公司和数据接收公司都有可能要承担GDPR条例下的违规责任。因此，确保与敏感信息交互的每一层基础框架结构的安全性都至关重要。

数据剖析

为了制定符合GDPR要求的安全措施，我们必须理解数据在其生命周期内的创建、转换和流动：

○ 数据来自哪里？

○ 数据在哪里使用？（识别数据共享的所有地方）

○ 数据如何在每个被使用的阶段受到保护？

○ 掌握了这些信息后，组织可以识别数据安全违规和漏洞，并且完成合规化部署。

衡量合规性与否不会影响 CI / CD （持续集成或部署）的速度。随着应用程序的每一次构建，都会添加，修改，删除数据元素，并在应用程序服务的边界内和跨应用程序的服务启用新的通信渠道。从安全的角度来看，任何这些变化都会严重影响应用程序的风险状况。

符合GDPR的优先顺序

平台必须优先考虑以下五条准则，以应对即将到来的GDPR新规要求：

○ 数据发掘和分类（用户的私有敏感数据与平台的自有商业数据）。

○ 数据流分析（微服务，业务合作伙伴和服务提供商）。

○ 身份验证和授权控制。

○ 通过编译有效的追踪代码，追踪服务过程中，以及服务商与商务合作伙伴之间的数据流向。

○ 持续衡量合规性和违规情况。

可见，在GDPR新规的语境之下，用户数据与隐私的安全性已经都被放到了一个至关重要的高度之下。而对于想要到欧盟国家从事跨境电商业务的中国品牌，不断了解并遵守目标国家的最新法律政策是一门需要经常研习的必修课。除了法律之外，目标国家的市场环境，文化环境等也是日常研习的重要一环。

关于TMO Group

TMO GROUP是一家国际性的技术解决方案供应商，致力于为企业在电子商务，跨境电商，移动和云增值服务领域提供前沿的技术解决方案。我们引领客户从最初的商务需求，战略策划，开发平台至为客户提供长期的技术和运营支持。我们已经为国内外B2B和B2C多家企业提供国内和境外市场上的多个解决方案。

TMO电子商务专家可以为您提供实时国际市场和平台本地化的数据和市场知识，并进行季度性地更新。目前该数据涵盖德国，法国，英国，意大利，荷兰，西班牙，波兰和亚洲 – 中国。

如果您需要更为详细的跨境电商本地化指南，请随时和我们取得联系。