距离GDPR不足百日，你准备好了吗？

作者：Veeam中国区总经理施勤

2018年5月，欧盟发布的“一般数据保护条例”(GDPR)就要正式实施了。这是过去20年来处理和管理个人数据方式的重大变化。无论是在欧盟有客户的企业员工，还是欧盟公民，都有可能受到该条例的影响。

何为GDPR？为什么在这个时候实施？

GDPR的核心，是对个人数据的收集和之后的存储使用，规定更高的透明度与管控。GDPR条例制定的目的，是想借赋予欧盟公民个人信息保护的基本权利，来增加消费者对在线服务和电子商务的信心。GDPR不是一个负担，相反，它可被视为在世界第二大贸易集团(欧盟)增加业务的好机会。

GPDR全球适用。无论公司总部在哪儿，无论数据存储和处理地点在哪儿，只要与身处欧盟的人做生意，或者监视欧盟公民的行为，就必须遵从GDPR。再进一步解释：只要收集欧盟公民的数据，就要受到GDPR的管辖。除非公司非常严格地排除了欧盟，否则还是得处理GDPR合规问题。

这一法规的实施非常有必要。在当前社会中，泄露事件经常是协同攻击造成的，能给企业带来高达1亿美元的成本，出现泄露事件后股价平均下跌1.8%。自2013年以来，全球7家证券交易所已经公开披露了200多起泄露事件，其中65起被认为是灾难性的。而被泄露的信息通常是企业用户的信息。这可能会导致欺诈，引发更复杂的攻击，所有这些都会使消费者对出现泄露的企业品牌产生负面看法。

更重要的是，这项条例旨在为个人赋予新的权益，并加强他们现有的权益。这包括知情权、查阅权、纠正权、删除权和数据转移权等基本原则。随着数字化生活的深入，数据对行业发展越来越有价值，个人隐私也变得更加重要。

最近成长起来的一代年轻人，他们生来便处于数字化生活的环境中。对他们来说，互联网和基于互联网的服务必须正常运行，数字体验必须是无缝的，永不间断。同样，为了换取服务而分享和交换信息也带来了数据隐私和所有权的相关问题。

10年前没有智能手机。30年前，没有人有家用电脑。1995年编制《数据保护条例（DPD）》时，连互联网都还不存在。随着周围的世界飞速变化，必须修改规则，以确保能够以安全、保密、负责的方式使用技术。

合规之路

作为一家拥有全球客户群的企业，GDPR当然是Veeam必须面对的问题。而客户对此的看法有很大差异。一些客户认为，这不过是记录他们已经做了什么，但对于某些客户来说，这将要求他们从根本上改变运营、处理风险和管理数据的方式。

GDPR虽然与此前的DPD条例非常相似，其不同之处在于强制性，不合规会受到一系列罚款处理——有的高达2000万欧元，有的则要求处罚集团全球营业额的4%。

在审查企业中GDPR相关问题时，关键一点是要注意这不仅仅是技术问题，更多的是法律和合规问题，涉及很多线下对话、决策和策略。

如果供应商没有认证支持便宣称其软件是GDPR合规的，这是非常值得怀疑的，因为没有一种软件能确保满足GDPR的所有条款。必须采用最严格的标准对产品进行评估。不要购买自称能帮助节省时间，不会受到罚款的解决方案。这种解决方案是不存在的。

Veeam帮助企业顺利实现GDPR合规

Veeam可以从各方面帮助实现GDPR合规。Veeam已经有了很好的仪表板和报告功能，可以帮助验证是否符合GDPR的某些条款，Veeam在计划外中断之后快速恢复数据访问和可用性方面的能力是市场领先的。同样，Veeam的备份验证功可确保企业能够评估为恢复而保存的数据的有效性，以满足GDPR这方面的要求。

Veeam建议所有客户进行一次GDPR差距分析，评估在合规方面的现状。从数据流映射开始，提供所有个人可识别信息（PII）的位置，开始评估过程，包括谁有权访问，在哪里提高效率，数据应移动到哪里等等。

在接下来的一年时间里，Veeam会提供更多协助用户制定GDPR合规计划的信息。在此期间，Veeam建议用户尽早开始GDRP差距评估，因为由此产生的罚款和后果会非常严重： 如果未能遵守GDPR将遭受重罚，业务可用性也将面临极大挑战，消费者信心和忠诚度会大幅下降，这将给企业运营带来不可弥补的重大损失。