是什么让美国网站拒绝欧洲访问？- GDPR 带来的数据安全思考

当我们置身于网络世界之中，一切的行为都将会被记录下来，互联网企业还会通过『数据画像』让用户具象化、真实化，事实上，在数据面前，我们每个人都只是穿着皇帝的新衣。

那么如何面对这些让人细思极恐的数据世界？欧盟做出了他们的表决，这就是 General Data Protection Regulation - GDPR (关注本公众号，对话栏回复 GDPR ，查看条例全文文档)。

欧盟议会于2016年4月通过了GDPR新规，规范欧盟成员国以及任何与欧盟各国进行交易或持有公民（欧洲经济区公民）数据的公司存储和管理个人数据的方式。这项法规在2018年5月25日生效。

然而在新规生效之后，一些新闻显示：『为遵守刚生效的 GDPR 美国网站屏蔽五亿欧洲居民』。Bloombergquint 网站的报道更是使用了『Blocking 500 Million Users Easier Than Complying With GDPR 』标题。

戏剧化的效果：

欧洲数据保护法 GDPR 于 5 月 25 日生效，众多美国网站纷纷选择站在广告商这边，拒绝了来自欧洲的访客。欧洲有五亿居民，是美国人口的 1.5 倍。

拒绝或暂时拒绝欧洲访客的知名网站包括 The Los Angeles Times、Chicago Tribune、The New York Daily News 和 Instapaper。

USA Today 则选择为欧洲访客专门制作了一个 GDPR 版本，移除了所有跟踪脚本和广告，结果美国版本的大小有 5.2MB，而 GDPR 版本只有 500KB，页面加载速度也从 45 秒减少到 3 秒，JS 脚本数量从 124 个减少到 0 个，请求的网址数量也从超过 500 减少到 34 个，简直就像是最初启用了 ad blocker 的效果。

现在我们知道一个网站到底采集了用户多少数据：

那么GDPR到底是什么？为什么实施起来困难重重，让美国企业选择了简单粗暴的拒绝访问。

GDPR 的本质是赋予欧盟公民个人信息保护的基本权利，其核心是对个人数据的收集和之后的存储使用，规定更高的透明度与管控。在这个条例的约束之下，只要收集欧盟公民数据的企业就要受到GDPR的管辖。

GDPR 主要完成了以下几大使命：

1.明确公民的数据权力和隐私权；

2.明确和扩大了数据保护范围；

3.规范数据收集企业的数据保护、使用权责；

这其中的数据安全事故通知条款，规定在数据安全事故（比如数据泄露）发生之后，应当在72小时内向监督机构报告。

执法和处罚条款则大幅增加处罚标准，对于重大违规事件罚款可高达2000万欧元或前一财年全球收入的4%。

GDPR 进一步扩大了数据保护范围，以下种种信息都被列入：

公民基本的身份信息，如姓名、地址和身份证号等；

网络数据，如位置、IP地址、Cookie数据和RFID标签等；

医疗保健 和 遗传数据；

生物识别数据，如指纹、虹膜等；

种族或民族数据；

政治观点；

性取向;

公民的数据权力被强化保护，条理中有四条明确了『用户许可』：

1. 在数据处理基于用户许可（Consent）的情况下，控制人应能够证明数据主体同意处理其个人数据;
2. 如果数据主体的许可是在书面声明中也涉及其他事项的情况下提出的，则同意书的提交方式应明确区分于其他事项，方便理解和容易理解，使用清晰明了的语言。构成违反本法规的此类声明的任何部分均不具有约束力。
3. 数据主体有权随时撤回其许可。 撤回许可不应影响撤回前基于许可的处理的合法性。在用户许可之前，应明确通知数据主体，并且撤销许可应该同给予它一样容易。
4. 在评估是否自由获得同意时，应最大程度考虑包括提供服务在内的合同的履行是否以同意处理个人数据为前提。

这其实是在明确用户使用协议的获取过程，以及规范不能滥用这些用户许可，在互联网上，因为一个『同意』因此而导致的无穷尽后果应该被约束。

GDPR 对数据泄露会做出高额惩罚，同时也规范了企业的数据管理角色和责任，这其中包括：

数据控制员（Data controller）- 明确个人数据的处理方式和目的，负责确保外部承包商能够遵守相关规定；

数据处理员（Data processor）- 可以是维护和处理个人数据记录的内部团队（如业务分析师或开发商的员工），也可以是执行全部或部分这些活动的任何外部服务提供商。GDPR要求数据处理员为违规和不遵守规定的行为负责。

数据保护员（Data Protection Officer，简称DPO）- 核心活动涉及处理或存储大量的 欧盟公民数据、特殊类别的个人数据（健康记录、犯罪记录）的组织必须指定DPO，DPO主要负责就GDPR规定提供咨询意见，向最高管理层报告。

必要的流程管控是提升安全性的重要手段，设置必要的岗位也非常具备必要性，DPO 会逐渐成为数据安全领域的一个重要角色。

除了明确岗位职责之外，GDPR 还对数据存储安全保护提出了要求：

明确和默认的数据保护；

将安全性作为合作伙伴、服务提供商的合同要求；

加密或假名化；

制定对风险评估做出回应的安全措施；

保留数据以进行额外处理就必须采取相应保护措施；

GDPR 特别 将加密作为安全性要求，这对很多企业是迫切需要改善的关键所在。要知道很多泄密事件就来自于数据的未加密存储。

其实不仅仅是GDPR，对于传统企业来说，同样面对着数据保护、数据加密、数据岗位的挑战，在中国数据泄露和泄密的事件同样层出不穷。尤其是在使用数据库的环境下，数据备份、数据传输都需要置于可信的环境下，避免备份被窃取，数据被篡改。

为满足用户内部审计的需求，云和恩墨近期推出了数据库安全审计产品『云镜』，其目标就是通过全面的内部审计，提供及时、可信的安全审计输出展示。让企业清楚的了解到企业数据安全的现状，实时展示数据的流向和访问情况。

在某客户的应用案例中，云镜已经管理了近100亿条审计信息，及时和清晰的展示数据的访问方式、访问来源，并可以及时做出安全防范：

基于不同数据链路的访问，甚至基于SCN安全，在云和恩墨的产品中，均有贴心的展示：

我曾经在《数据安全警示录》一书中提出了数据安全的五个纬度，可以基于这五个纬度来梳理企业的数据安全，并据此建立相应的安全防护措施。

在数据安全的范畴内，我们将安全划分为五大方面，分别是：

软件安全、备份安全、访问安全、防护安全、管理安全

关于这部分内容，请参考之前文章：防范攻击 加强管控 - 数据库安全的16条军规。

无论如何，数据安全、隐私保护，任何企业都需要不断加强，GDPR 在某种程度上是为企业加强了推动力。我们也一直致力于帮助客户提升数据安全，云和恩墨数据安全解决方案为您的数据安全添砖加瓦。

本文来源于：是什么让美国网站拒绝欧洲访问？- GDPR 带来的数据安全思考-变化吧门户
特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。