GDPR（General Data Protection Regulation，通用數據保護條例）是歐盟針對隱私保護實施的一項新立法，是20年來最重要的數據隱私保護變化，也是有史以來規模最大、最具懲罰性的隱私保護法。該法于今日即2018年5月25日在歐盟正式實施，并取代1995數據保護指令，為歐盟各成員國提供統一的數據保護規則。任何違反GDPR的行為，會產生1000萬到2000萬歐元的罰款，或企業全球年營業額的2%到4%，以數額最大的為準。

GDPR的適用范圍

GDPR適用于歐盟境內設立的實體（公司、組織等）處理個人數據的行為，同時也約束了非歐盟實體處理歐盟境內數據主體的個人數據的活動，只要該活動與向歐盟境內的數據主體提供商品或服務（無論是否收費），或與監控該數據主體在歐盟的活動有關。歐盟發布這個新規定的主要原因：

(1)為歐盟公民提供更多使用自身資料的權力；

(2)加強數字服務提供者與他們所服務的人之間的信任；

(3)為企業提供明確的法律框架，通過在歐盟單一市場上制定統一的法律來消除任何區域差異。

GDPR的核心要求

Ø  數據安全要求：GDPR規定下，企業應采取技術和管理措施，保障數據安全，包括但不限于對個人數據加密處理、實施數據安全評估、隱私保護設計等；

Ø  強制的數據泄露通知：發生數據泄漏事件，數據控制者應當在72小時內向監管機構報告，可能對數據主體產生高風險的，還需告知數據主體；

Ø  數據主體權利：GDPR項下，數據主體享有對自己數據更廣泛的權利，包括增刪改查、數據刪除權、數據可攜帶權和拒絕數據畫像的權利等；

Ø  數據主體的同意：對個人數據的處理普遍須取得數據主體的明確同意，該同意必須是自由做出的、特定的、明確的和知情的；

Ø  數據處理記錄：數據控制者和數據處理者均需保存數據處理記錄。

對于GDPR，華為云已應對就緒

華為云堅持“三不”，即“上不碰應用、下不碰數據，不做股權投資。”高度重視用戶隱私保護，切實貫徹適用法律法規的要求。為此，華為云開展了一系列的工作以落實GDPR的要求，包括但不限于：

Ø  隱私設計:開展隱私保護分析和設計，將隱私保護的要求貫穿流程予以落實執行；

Ø  產品與服務：將隱私保護要求落入產品研發管理體系，從產品與服務的研發及功能設計過程中即滿足數據安全與隱私保護的相關要求，同時提供多種安全服務與功能進一步加強數據安全與隱私保護；

Ø  隱私測試：所有產品和服務發布前，需通過華為內部網絡安全實驗室隱私保護測試;

Ø  隱私認證：通過第三方認證證明符合嚴格的國際隱私標準，包括但不限于： ISO 27018、PCI DSS；

Ø  培訓和教育：對全員開展GDPR合規培訓考試，并在相關部門進一步開展對GDPR的深入解讀與規范培訓。

華為云全棧安全服務，幫您順利滿足GDPR要求

除了上面的措施，華為云提供了系列全棧安全服務及自檢措施，助力用戶和伙伴滿足GDPR的合規要求。

Ø  網絡層：

DDoS流量清洗服務

采用專業的防DDoS設備來為用戶互聯網應用提供精細化的抵御DDoS攻擊能力，包括CC、SYN Flood、UDP Flood等常見DDoS攻擊方式，并提供攻擊攔截實時告警，有效提升用戶帶寬利用率，保障業務穩定可靠。

DDoS高防服務

基于Anti-DDoS清洗中心和大數據運營平臺構建的DDoS高防服務，可以通過配置高防IP，將攻擊流量引流到高防IP，對用戶源站進行隱藏保護，確保源站穩定可靠。

Ø  應用層

Web應用防火墻，針對HTTP(s)請求進行異常檢測，對攻擊者的惡意攻擊進行防護，精準過濾海量攻擊流量，保障客戶網站安全穩定運行，避免數據泄露。

漏洞掃描服務，提前檢測出網站的漏洞并且提供修復建議，提升網站安全性，提前防范黑客利用漏洞進行攻擊，防止利益損失和數據泄露。

Ø   主機層

企業主機安全提供資產管理、漏洞管理、入侵檢測、基線檢查等功能，幫助企業降低主機安全風險。

Ø  數據層

數據庫安全服務，適用于客戶希望使用一站式預集成服務，快速實現多種設備集成，能夠平滑擴展支持上億連接，實現平臺免運維的場景。該服務還可自動檢查數據庫是否滿足GDPR要求，出具報告和解決方案，幫助用戶快速整改，滿足GDPR合規性。

密鑰管理服務，為租戶應用提供等高可靠硬件加密，集成到對象存儲(OBS)、云硬盤(EVS)、云鏡像(IMS)等多個基礎云服務。