技术

通用数据保护条例-进阶指南

我已研读通用数据保护条例(General Data Protection Regulation,GDPR)相关内容一年有余,目前为止我已通读了关于通用数据保护条例及其差异的各种文章,但我仍然没有找到一篇与我的工作相关的文章,我一直在寻求一个答案,作为一名数据湖架构师应该做什么?因此我决定做一些调查并找出问题所在和我应该为此做些什么,那么我们开始吧。

什么是通用数据保护条例

 

欧盟通用数据保护条例(以下简称GDPR)替代了95年出台的《计算机数据保护法》(95/46/EC),它旨在协调欧洲区域数据隐私条例去保护和授权全欧盟公民的数据隐私,并且重塑整个地区的相关组织处理数据隐私的方式。

那么,这仅仅是关于欧洲公民的么?

额,是的,如果你是一个B2C公司并且拥有来自欧盟的客户/消费者/员工,那么是的,你必须了解GDPR,如果你是一家B2B公司并且拥有来自欧洲的员工,那么你也必须要了解GDPR。

这适用于处理所有持有欧盟成员国公民个人资料的公司,无论该公司位于何处。

但是我没有欧盟的员工或客户?

如果是这种情况,那么您可能不需要对此进行过多的了解,但您迟早会期望这类条例在大多数国家都能得到复制。

 

GDPR什么时候开始生效

 

官方网站称,该计划将于2018年5月实施。就是现在!

(译者注:该条例已于2018年5月25日出台)

 

对不遵守的惩罚是什么

 

对违法企业的罚金最高可达2000万欧元或者其全球营业额的4%

所有的数据都是这样吗?

并不是全部如此。它是关于数据主体的个人资料。

 

什么是个人资料

 

个人资料是指可以识别出数据主体的任何资料。以下是一些个人资料示例。

1.姓名、电子邮件、照片

2.银行卡交易明细、信用卡号码

3.就医记录、检查结果、生理指标记录

4.社交媒体网站的帖子

5.电脑IP地址

6.直接或间接可以识别出数据主体的其他信息

如何从B2B公司角度处理该场景

如果你是一家B2B公司,那么你应该只关注员工资料。在HR/非HR系统中识别是否包含上述个人资料。

 

如果你有数据湖怎么办

 

如果你有数据湖,那么请识别您是否正在从存在个人资料的任何此类系统中提取数据。如果数据没有被用于任何身份分析,那么最好删除这些数据,或者对其进行掩码/加密。

如果你一直在使用基于hadoop技术的数据湖,那么管理员将有助于完成这些事情。这里有一篇有详细描述。文章详见链接1。

 

如果我需要使用这些数据呢

 

如果你仍然需要使用数据,并且不能删除或加密数据,那么你需要采取以下具体方法:

1.确定组织中的数据系统

2.区分哪些是个人资料,哪些不是

3.集中访问这些数据

4.监视如何使用这些数据

5.匿名或加密所有此类数据,以避免任何违法行为。

6.自动化数据保留和恢复策略。

 

GDPR下的主体权利有哪些?
 

违反通知

根据GDPR,在所有可能“给个人权利和自由带来风险”的会员国中,违约通知将成为强制性的。这必须在发现漏洞后的72小时内完成。

 

访问权

数据主体有权从数据控制人的确认书中得知有关他们的个人资料是否正在处理,在何处以及为何目的。

 

被遗忘权

也被称为数据删除,被遗忘权赋予数据主体有权从数据控制器上删除他/她的个人资料,终止数据进一步传播,并停止潜在的第三方对数据的处理。

 

数据迁移

GDPR引入了数据迁移——数据主体接收与他们相关的个人资料的权利,它们之前以“通用和机器可读的格式”提供这些数据,并有权将这些数据传输给另一个控制器。

 

隐私设计

隐私设计(保护)需要作为系统不可分割的一部分而不是可选组件。

 

结论

 

综上所述,无论GDPR与否,隐私和安全的规则都是一样的。因此,根据需要采取适当的行动吧。

本文翻自Tanmay Deshpande

链接1:

https://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.6.4/bk_security/content/ranger_column_masking_in_hive.html

封面图片来源:

www.baijingapp.com